SYLLABUS

MAGÍSTER EN CIBERSEGURIDAD
MCS 2022

Asignatura : Taller de Hacking Ético

Nombre Profesor : Jaime Gómez González
Horario Atención :
E-mail : Jaime.a.gomez.g@gmail.com
Nombre Ayudante : N/A
E-mail : N/A

1. INTRODUCCIÓN

Uno de los desafíos más importantes en la Ciberseguridad es determinar si los

activos de información de una compañía tienen brechas de seguridad que
puedan ser aprovechadas por algún atacante, más importante aún es descubrir
estas brechas de seguridad antes que lo haga un atacante.
De esta forma nace la disciplina de Hacking Ético, la que permite, utilizando las
mismas técnicas y herramientas de los ciberdelincuentes, determinar si existen
vulnerabilidades que puedan ser explotadas y evidenciarlas, además de entregar
una serie de recomendaciones para que la compañía las pueda remediar y de
esta forma disminuir el riesgo de un potencial ciberataque.

2. OBJETIVOS DE LA ASIGNATURA

El objetivo del curso es:

• Conocer las principales técnicas de obtención de información de diferentes
objetivos tecnológicos, con el propósito de determinar vectores de atauqes
de los activos de información expuestos.
• Conocer las principales técnicas y herramientas utilizadas por los ciber
atacantes para vulnerar la ciberseguridad de una compañía.
• Conocer las principales técnicas de explotación de aplicaciones web,
basado en la metodología de OWASP para determinar y evidenciar brechas
de seguridad.

3. METODOLOGIA

La metodología de clases se basa en clases expositivas breves en los cuales se explicar

el concepto fundamental de cada tópico abordado.
A continuación, se realizarán experiencias practicas demostrativas de cada uno de
los ítems contemplados en el programa.
Se realizarán un total de 8 clases en modalidad online, dos veces por semana y se
entregará a cada alumno la grabación de la sesión y una guía practica de desarrollo
con el detalle de las actividades realizadas en clases.

4. EVALUACION

Evaluaciones

1. Informe de Trabajos por Grupo

Se realizarán 2 informes grupales durante el módulo con la realización de
actividades practicas atingentes a los contenidos, con las siguientes fechas
de entrega:
a) Informe 1: sábado 25 de junio
b) Informe 2: sábado 09 de julio

2. Control Individual

c) Evaluación individual mediante un control de alternativas en

Webcursos el que quedara habilitado por 1 semana
d) Fecha Control: 02 de julio 2022

Nota Final del curso = Informe1 * 40% + Informe2 * 40% + Control Individual * 20%

Restricciones según Reglamento:

• Nota mínima de aprobación curso: 4.0 (cuatro coma cero décimas).
• Nota mínima de examen: 3.0 (tres coma cero décimas).
• En caso de reprobar el curso, el alumno podrá incurrir a una instancia de
examen o trabajo recuperativo optando a la nota máxima de aprobación
del curso de un 4.0 (cuatro coma cero décimas).
5. BIBLIOGRAFIA

Pérez, P. G. (2020). Metasploit para pentesters (5.a ed.). Madrid, España: Oxword.

González, P. (2016). Hacking web technologies (2.a ed.). Madrid, España: 0xword.

García, C. G., González, P., Pérez, P. G., & Martín, V. (2017). Hacking Windows. Madrid, Santiago:
ZeroXword Computing.

Gonzalez, P. G. (2020). Ethical Hacking: Teoría y práctica para la realización de un pentesting

(2.a ed.). Madrid, España: 0xword.

Seisdedos, C. S., & Aguilera Diaz, V. A. D. (2020). Open Source INTelligence (OSINT). Madrid,
España: 0xword.

González, P., Alonso, C., Cebrián, J. M. A., & González, P. (2016). Hacking de aplicaciones web
(Hacking de Aplicaciones Web: SQL Injection. ed., Vol. 3). Madrid, España: Zeroxword
Computing.

6. CURRICULUM RESUMIDO DEL PROFESOR

Jaime Gómez González

Ingeniero Civil en Electrónica PUCV
Magister en Administración de Empresas (MBA) UAI
CEH desde el 2013
CEH Master desde el 2020
Instructor Oficial de CEH Ec-Council (CEI) desde el 2018
25 años de experiencia en Seguridad Informática y Ciberseguridad
10 años de experiencia docente en Ciberseguridad
Actualmente Líder de iSecurity Labs
7. PROGRAMA

SESION 1: SÁBADO 10-JUNIO-2022

TEMA: OSINT y Reconocimiento Activo

Objetivos:
reconocer las principales técnicas de búsqueda de información usando fuentes abiertas

Contenidos:
• Búsqueda utilizado DNS
• Google Hacking
• Herramientas de búsqueda de información.
• Técnicas de scanning
• Uso de NMAP
• Uso de auxiliares para reconocimiento de Metasploit
• Hping

Actividad Práctica de Seguridad:

• Búsqueda de información de diferentes objetivos en fuentes abiertas y revisión de
puertos de servicio y versiones de aplicaciones

SESION 2: MIÉRCOLES 15-JUNIO-2022

TEMA: Enumeración y Análisis de vulnerabilidades

Objetivos:
Reconocer las principales técnicas de búsqueda de información en servicios específicos y
obtener el listado de vulnerabilidades de Sistemas operativos y aplicaciones web

Contenidos:
• Enumeración sobre servicios (SNMP, LDAP, SMTP)
• Enumeración sobre servidores Windows
• Enumeración sobre servidores Linux
• Enumeración sobre aplicaciones web
• Análisis de Sistemas Operativo con herramientas automatizadas
• Análisis de aplicaciones web con herramientas automatizadas
• Análisis manual de vulnerabilidades

Actividad Práctica de Seguridad

• Realizar búsqueda de información basado en enumeración y análisis de
vulnerabilidades de Sistemas Operativos y aplicaciones web
SESION 3: SÁBADO 18-JUNIO-2022

TEMA: Hacking con Metasploit y análisis de malware

Objetivos:
Utilizar Metasploit en diferentes ejercicios de explotación y escalamiento de privilegios y
reconocer las principales técnicas de análisis de malware estático y dinámico

Contenidos:
• Explotación de servicios con Metasploit
• Escalamiento de privilegios con Metasploit
• Explotación de aplicaciones con Metasploit
• Creación de malware
• Ofuscación de malware
• Análisis de malware estático
• Análisis de malware dinámico

Actividad Práctica de Seguridad

• Realizar ejercicios de explotación con Metasploit y creación y análisis de malware

SESION 4: MIÉRCOLES 22-JUNIO-2022

TEMA: Sniffing y ataques de red

Objetivos:
Reconocer los principales ataques a nivel de red y su forma de mitigación, así como las
principales técnicas de sniffing y reconocer las principales técnicas de ataques a nivel de
red en IPv4 e IPV6, tales como DHCP Spoofing, IP Spoofing, SLAAC, etc.

Contenidos:
• Captura de tráfico cifrado y en texto plano
• Ataque ARP Spoofing
• Robo de contraseñas
• Ataques IPv4
• Ataques IPv6

Actividad Práctica de Seguridad

• Realizar captura de tráfico y análisis de diferentes tipos de ataques a nivel de red
SESIÓN 5: MIÉRCOLES 29-JUNIO-2022

TEMA: Hacking web

Objetivos:
reconocer la forma de explotar las principales vulnerabilidades en aplicaciones web tales
como XSS, CSRF, LFI, Inyección de comandos, Inyección SQL etc.

Contenidos:
• Explotación Cross Site Scripting
• Explotación CSRF
• Explotación de inyección de comandos
• Explotación de LFI
• Inyección manual de SQLi
• Inyección automatizada de SQLi
• Inyección automatizada de SQLi con credenciales

Actividades Práctica de Seguridad:

• Realizar diferentes ejercicios de explotación de diversas vulnerabilidades de
aplicaciones web

SESIÓN 6: SÁBADO 02-JULIO-2022

TEMA: Ingeniería Social y Hacking Wireless

Objetivos:
Reconocer las principales técnicas de Ingeniería Social y la forma de evaluar en una
empresa si los usuarios pueden reconocer ataques tipo Phishing y realizar ataques de redes
WiFi.

Contenidos:
• Creación de phishing
• Vulnerabilidades de browser
• One-click attack
• Ataques a redes WiFi con WEP
• Ataques a redes WiFi con WPA/WPA2
• Generación de Access Point Rogue

Actividad Práctica de Seguridad:

• Realizar ataques de Ingeniería Social y Wireless para obtener datos de usuario tales
como contraseñas, archivos, etc.