Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
2
GINGER SALTOS B.
■ BANCO GUAYAQUIL - Subgerente de Ciberseguridad
■ TEMTUM - CTO
■ DINARDAP – Arquitecta de Seguridad Informática
NORMAS DE COMPORTAMIENTO
DURANTE LA CLASE VIRTUAL
■ Respetar la puntualidad, recordemos que no pueden faltar mas del
10% de las clases, es decir 4 horas.
■ Participar de las clases virtuales programadas.
■ Al ingreso a la clase virtual, identificarse y saludar en el chat.
■ Si llega atrasad@, ingresar con micrófono deshabilitado.
■ El estudiante debe poner el micrófono de su dispositivo electrónico en
silencio.
■ Para lograr y favorecer una buena escucha y comunicación, el docente
puede poner los micrófonos en silencio.
■ Levantar la mano o escribir en el chat para realizar consultas.
■ El trato ante el docente y/o compañeros debe ser de respeto y
amabilidad.
4
Calificación
INSTRUMENTOS PUNTAJE
Aprendizaje colaborativo 20 puntos
Aprendizaje Autónomo 20 puntos
Prácticas 30 puntos
Proyecto Final 30 puntos
5
AGENDA
INTRODUCCION FASE PRE-ATAQUE ATAQUE POST-ATAQUE
ATAQUE DE DDOS
NIVELES DE SEGURIDAD CASO DE ESTUDIO
ATAQUE WIRELESS
CICLO DE UN HACKING ETICO
INGENIERIA SOCIAL
CASO DE ESTUDIO
CASO DE ESTUDIO
INTRODUCCIÓN
AL HACKING
ÉTICO
6
Introducción – Conocimientos Básicos
7
explotada
Seguridad
Introducción – Conocimientos Básicos
8
CVE–2021–26855
Common Año de
Vulnerabilities and CVE ID
registro
Exposures
https://cve.mitre.org/
Introducción – Conocimientos Básicos
9
Introducción – Conocimientos Básicos
10
Introducción – Conocimientos Básicos
11
Software
Hardware
Introducción – Conocimientos Básicos
15
CVE vs CWE
■ Common Weakness
Enumeration
■ Lista de tipos de debilidades
en software y hardware
relacionado con la
vulnerabilidad y no con un
producto en específico.
■ Su objetivo principal es
detener las vulnerabilidades
desde la fuente educando
sobre como solventar los
errores mas comunes a los
fabricantes, desarrolladores,
arquitectos, diseñadores,
etc
https://cwe.mitre.org/
https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
Introducción – Conocimientos Básicos
16
CWE-79
https://cwe.mitre.org/data/definitions/79.html
Introducción – Conocimientos Básicos
17
CWE-20
https://cwe.mitre.org/data/definitions/79.html
Introducción – Conocimientos Básicos
18
¿PUEDEN TAMBIÉN
LOS CRIMINALES
USAR ESTAS
MISMAS
HERRAMIENTAS?
Introducción – Conocimientos Básicos
19
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
Introducción – Conocimientos Básicos
21
Introducción – Conocimientos Básicos
22
23 Introducción – Conocimientos Básicos
24
https://cybermap.kaspersky.com/
Live Cyberattack Map
https://www.fireeye.com/cyber-map/threat-map.html
Introducción – Pilares de Seguridad
34
Tipo de Sombreros
Tipos de Cibercriminales
Nivel de sofisticación
https://cyber.gc.ca/en/guidance/cyber-threat-and-cyber-threat-actors
Introducción – Pilares de Seguridad
39
FUNCIONES
https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-teams-6437c1a07700
Introducción – Pilares de Seguridad
41
7 Niveles de Seguridad
Introducción – Pilares de Seguridad
42
43
https://twitter.com/thecybersechub/status/864967300004413440
Introducción – Modalidades de Hacking Ético
44
White Box
Black Box El equipo de EH tiene pleno
El equipo de EH tiene Grey Box conocimiento de cual es la
infraestructura a la que se va a
conocimiento únicamente del
nombre de la organización o la El equipo de EH tiene información “enfrentar”, conoce las IPs, cantidad
URL si se trata de la revision de parcial de la infraestructura, se de equipos, tecnologías, sus
una sola aplicación web brindan accesos mínimos. funciones, aplicacicones
Tiene acceso a la minima web/móviles, usuarios con todos los
información posible para ejecutar níveles de acceso , y se puede
el proceso de EH. solicitor mayor información.
Todos estos tipos de prueba, se pueden aplicar para infraestructuras internas o externas
Introducción – Modalidades de Hacking Ético
46
Todos estos tipos de prueba, se pueden aplicar para infraestructuras internas o externas.
• Interna:
• Conectado a la red alámbrica o inalámbrica.
• Se comporta como un usuario más de la organización.
• No necesariamente un acceso físico.
• Externa:
• Desde el internet hacia la infraestructura de la organización.
• Pone a prueba la red perimetral de la organización.
• Busca saltar los controles de seguridad utilizando como acceso una aplicación web,
servicios publicados, dirección pública, etc.
47
https://niccs.cisa.gov/workforce-development/cyber-security-workforce-framework/workroles?name=Exploitation+Analyst&id=All
Introducción – Niveles de Seguridad
48
Trabajo en
Habilidades de
Equipo
Comunicación
Debido a las diferentes
Debe ser capaz de habilidades que cada
presentar los hallazgos uno adquiere con el
detectados a través del tiempo, es importante
EH, a un plano mas tconformar un equipo
ejecutivo y desde una que complementen sus
óptica más enfocada a conocimientos y
cómo impactan los genereen sinergia.
mismos en el negocio. Creatividad
Manejo de Amplia Una de las cualidades
mas complejas de
Idiomas Percepción ejercitar y desarrollar…
y tal vez la más
La mayoría de los recursos Se desarrolla a medida importante.
están en inglés. que pone en práctica
Herramientas, manuals, una vision mas amplia
comentarios están en su de los desafíos.
mayoría en inglés.
Introducción – Niveles de Seguridad
49
Certificaciones
https://www.eccouncil.org/programs/
https://www.giac.org/ https://www.offensive-security.com/courses-and-certifications/
https://www.isaca.org/credentialing/certifications https://www.isc2.org/
Introducción – Ciclo de un Hacking Ético
50
https://www.netsurion.com/articles/eventtracker-enterprise-and-the-cyber-kill-chain
NUESTRA METODOLOGÍA
Informes previos o
Extraer
Captura de mayor alerta de
usuarios, Evaluar la
información en la vulnerabilidad crítica.
Obtener datos e nombres de información
red. Generación de
información sobre el equipos, recolectada y
Crear y ejecutar informes técnicos y
objetivo. recursos de enumeración de
exploits . ejecutivos.
redes, servicios, vulnerabilidades
Escalar privilegios. Presentación de
etc…
informes
Recolección de
Enumeración Análisis Explotación Documentación
Información