Vicerrectoría Académica IP – CFT

Dirección de Desarrollo Curricular

PROGRAMA DE ASIGNATURA

, NTECEDENTES GENERALES

CARRERA : INGENIERÍA EN INFORMÁTICA

ASIGNATURA : HACKING ÉTICO
CÓDIGO : IEI-076
PRERREQUISITOS : TECNOLOGÍA DE CONECTIVIDAD Y REDES
RÉGIMEN : SEMESTRAL
CARÁCTER : OBLIGATORIO
NIVEL : VI SEMESTRE
CRÉDITOS Y HORAS TOTALES : 06 CRÉDITOS SCT = 168 TOTAL HORAS CRONOL.
: 108 HORAS PEDAGÓGICAS (54 LABORATORIO / 54
CÁTEDRA)
HORAS TPE* : 96 HORAS CRONOLÓGICAS
ULTIMA MODIFICACIÓN : MARZO 2018
*Trabajo personal del estudiante

I. DESCRIPCIÓN DE LA ASIGNATURA

Hacking Ético, es una asignatura que permitirá a los estudiantes escanear, probar, hackear y asegurar
sistemas y redes virtuales. Adquirirá habilidades de penetración de sistemas – con permiso legal,
enfatizando en las restricciones legales y las directrices éticas - para encontrar el eslabón más débil y luego
analizar maneras de corregir los defectos de seguridad, para evaluar la postura de seguridad de una
compañía.

II. COMPETENCIA(S) DE EGRESO A LA(S) CUAL(ES) TRIBUTA LA ASIGNATURA

Gestionar la seguridad de la organización y sus sistemas, de acuerdo a estándares establecidos.

III. ELEMENTOS DE COMPETENCIA

- Definir acciones ante violaciones de seguridad, analizando brechas, según procedimientos definidos por
la organización. (SCAD-4)
- Mantener la seguridad en sistemas de mediana complejidad, evaluando riesgos y utilizando herramientas
de especialidad propias de la seguridad, según procedimientos de la organización. (SCTY-3-4) (TECH-4)

IV. UNIDADES DE APRENDIZAJE

UNIDAD I TÓPICOS GENERALES DE HACKING ÉTICO, ÉTICA Y CUMPLIMIENTO 30 HORAS

LEGAL
UNIDAD II SCANNING, ENUMERACIÓN Y HACKING DE SISTEMAS 42 HORAS
UNIDAD III NETWORK HACKING 36 HORAS

1
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
V. DESCRIPCION DE LAS UNIDADES DE APRENDIZAJE

UNIDAD I: TÓPICOS GENERALES DE HACKING ÉTICO, ÉTICA Y CUMPLIMIENTO LEGAL

TOTAL HORAS: 30
TOTAL HORAS CÁTEDRA: 15
TOTAL HORAS LABORATORIO: 15
Elementos de Definir acciones ante violaciones de seguridad, analizando brechas, según procedimientos
Competencias definidos por la organización. (SCAD-4)
Aprendizajes Criterios de
Conocimiento Habilidades Actitudes
Esperados Evaluación
Reconocer Leyes de delitos Reconocer el Riguroso en el Identifica la
características informáticos. conjunto de leyes de cumplimiento legal aplicabilidad de las
éticas y legales en derecho informático. para evitar leyes de delitos
Conceptos iniciales
el rol que violaciones de informática.
de hacking: Identificar
desempeña el privacidad o
- Seguridad terminología común Fundamenta sobre
hacker en su actuar. violaciones a la
Informática: del hacking ético. la legalidad de un
privacidad de las
Confidencialidad- acto de hacking.
Reconocer las personas.
disponibilidad –
diferentes fases de Diferencia las
integridad. Utiliza lenguaje
un ataque. actividades de un
- Definición de técnico.
hacker y un hacker
hacking. Reconocer el término
ético.
- Implicancias hacktivismo y sus
legales del implicancias éticas y Describe las fases
hacking. legales. de un proceso de
- Clases de hacking ético.
Identificar las
hackers. diferentes clases de Identifica la
- Hacktivismo. hacker. estrategia de un
- Tecnologías de plan de evaluación
hacking. Identificar las
de seguridad,
diferentes formas de
Hacker ético: detectando brechas
reconocer
- Definición. de seguridad o
vulnerabilidades en
- Fases de un información
los sistemas.
proceso de profesional
hacking ético. relevante.
- Etapas de
Hacking Ético.
- Investigación de
vulnerabilidades.
Actualizar aspectos Footprinting: Recopilar Metódico en el Investiga brechas
de seguridad - Conceptos. información de la análisis de grandes de seguridad de
relacionados con - La inteligencia organización, cantidades de información de la
vulnerabilidades competitiva. utilizando técnicas y datos. organización, según
detectadas a nivel - Sistema de herramientas la información
Hábil para crear
de información de la Nombres de complementarias, recopilada y
escenarios que
organización. Dominio (DNS). entre ellas, de procedimientos
permitan revelar
- WHOIS. levantamiento. establecidos.
información de una
- Registro Regional
Identificar la víctima. Recomienda
de Internet.
2
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
- Seguimiento de información acciones ante
correo relevante sobre un eventos según
electrónico. objetivo. procedimientos
- Web spiders. establecidos.
Identificar diferentes
- El trazado de
tipos de registros Realiza seguimiento
Footprinting.
DNS. a las acciones
Fuentes de ejecutadas según
Reconocer el
Información: procedimientos
funcionamiento de
- Seguridad física. establecidos.
Whois y búsqueda
- Dumpster Diving.
de ARIN. Analiza información
- Google earth.
interesante de
- Google Hacking. Utilizar web spider
empleados objetivos
- Website. en la recopilación de
para detectar
- Search Engine información.
brechas de
Hacking. Reconocer el seguridad.
- Ingeniería social funcionamiento de
y call centers. Diseña un proceso
seguimiento de
- Redes sociales. de Ingeniería social
correo electrónico.
- Seguimiento de con pretextos
empleados. Identificar las adecuados y
técnicas de artificio.
Ingeniería Social: Ingeniería Social y
- Concepto. Elabora informe de
sus posibles
- Ingeniería social hallazgos.
aplicaciones.
inversa.
- Tipos comunes Reconocer
de ataques. contramedidas de
- Ataques internos. ingeniería social.
- Robo de Identificar los tipos
identidad. comunes de
- Phishing. ataques.
- Estafas en línea.
- Ofuscación de Aplicar las técnicas
URL. para los principales
- Contramedidas tipos de ataque.
de ingeniería Aplicar técnicas de
social. ofuscación de URL.

Evaluación de la unidad

Tipo de Evidencia Conocimiento

Evidencias Prueba escrita
Instrumento Evaluativo Selección múltiple
Contexto Sala de clases
Ponderación de la unidad 30% total de la unidad

3
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
UNIDAD II: SCANNING, ENUMERACIÓN Y HACKING DE SISTEMAS
TOTAL HORAS: 42
TOTAL HORAS PRESENCIALES: 21
TOTAL HORAS NO PRESENCIALES: 21
Elementos de Definir acciones ante violaciones de seguridad, analizando brechas, según procedimientos
Competencias definidos por la organización. (SCAD-4)
Aprendizajes Criterios de
Conocimiento Habilidades Actitudes
Esperados Evaluación
Actualizar aspectos Metodología de Recopilar información Metódico en la Identifica brechas
de seguridad scanning. de la red, utilizando aplicación de de seguridad de
relacionados con técnicas y técnicas de información de la
Análisis de puertos.
vulnerabilidades herramientas descubrimiento. organización, según
detectadas a nivel Análisis de redes. complementarias, procedimientos
Sigiloso al
de la red de la Análisis de entre ellas, de establecidos.
momento de
organización. vulnerabilidades. levantamiento.
ejecutar las Verifica que todos
Enumeración de Enumerar los tipos de tareas de los requerimientos
servicios. sistemas de detección reconocimiento. de soporte son
de intrusos y técnicas realizados según
Sesiones nulas. Cauto en el
de evasión. procedimientos
borrado de
Banner grabbing y establecidos.
Ejecutar análisis de huellas.
técnicas de red e identificación de Recomienda
fingerPrinting. Responsable en
equipos vivos, puestos acciones ante
la actualización
The Network Mapper y arquitectura de red. eventos según
de los procesos
(NMAP): procedimientos
Identificar objetivos de administración
- Barrido de ping. establecidos.
relevantes y brechas de la seguridad
- Escaneo SYN, de vulnerabilidad para según la Realiza seguimiento
STEALTH, XMAS, un ataque informático. operación de la a las acciones
NULL, IDLE y FIN. organización. ejecutadas según
- Flags TCP. Identificar superficie de
procedimientos
ataque sobre
IP Spoofing. establecidos.
equipamiento
Uso de Proxy y tecnológico. Ejecuta proceso sin
Túneles HTTP. generar alertar ni
Dominar técnicas de
dejar huellas de
SNMP. ocultamiento de
intentos de
huellas y evasión de
War dialing. intrusión.
tracking.
Actualizar aspectos Cubrimiento de Cubrir huellas y Cuidadoso en la Identifica la
de seguridad huellas y borrado de borrado de evidencia utilización de existencia de un
relacionados con evidencias: luego de una técnicas que borrado de huella
vulnerabilidades - Ocultamiento de intervención. pueden perjudicar por un atacante.
detectadas a nivel archivos. Utilizar técnicas de la infraestructura
Identifica
de sistemas de la - Esteganografía. cracking de de los sistemas
exitosamente los
organización. contraseñas. de la
Cracking de distintos tipos de
organización.
contraseñas. Identificar el ámbito de amenazas.
uso de keyloggers y Eficaz en la
Keyloggers y otros Aplica técnicas de
otros tipos de utilización de
tipos de spywares. defensa contra
herramientas de
ataques de
4
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
Troyanos, spywares. hacking y su contraseñas de
backdoors, virus y Reconocer similitudes adecuada diferentes tipos.
gusanos. y diferencias entre selección según
Vulnera contraseñas
Malware, Troyanos, contexto.
Escalamiento de basadas en la Web.
privilegios. Backdoors, Virus,
Implementa
Gusanos,
Malware, contramedidas de
Ransomware, Ataques
Ransomware, acuerdo a
de día cero, APT
Ataques de día cero, (Amenazas necesidades de
APT (Amenazas seguridad.
persistentes).
persistentes),
Utilizar técnicas y Identifica las
Arquitectura Web,
herramientas de contramedidas para
Vulnerabilidad de
hacking en la SQL injection y
Sistemas Operativos
vulneración de buffer overflow.
(Windows, Linux,
Mac OS). sistemas. Utiliza Buffer
Aplicar contramedidas Overflow para
Rootkits.
de acuerdo con el tipo sobrepasar un IDS.
Servicios Web: de virus. Ejecuta
- Anatomía de un
Reconocer las exitosamente un
ataque.
similitudes entre los Testing de
- Vulnerabilidades
ataques de inyección Aplicaciones Web.
en el Servidor
Web. de SQL y Fortalece el sistema
- Vulnerabilidades desbordamiento de para enfrentar
en la aplicación búfer. futuros ataques.
Web. Identificar
- SQL Injection y vulnerabilidades de
Buffer Overflow. SQL injection en
- Escáner de sistemas.
aplicaciones web.
Diferenciar los tipos de
ataques no
electrónicos
(Ingeniería social,
shoulder surfing o
dumpster diving).
Reconocer la
diferencia entre un
stack-based overflow y
un heap-based buffer
overflow.
Ocultar archivos.
Ejecutar ataques de
SQL Injection.
Aplicar herramientas
de protección de
sistemas fallos de SQL
Injection.
5
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
Evaluación de la unidad

Tipo de Evidencia Proceso / Producto

Evidencias Simulación en Laboratorio (Informe de hallazgos en sistema vulnerado)
Instrumento Evaluativo Lista de cotejo
Contexto Laboratorio
Ponderación de la unidad 35% total de la unidad

UNIDAD III: NETWORK HACKING

TOTAL HORAS: 36
TOTAL HORAS PRESENCIALES: 18
TOTAL HORAS NO PRESENCIALES: 18
Mantener la seguridad en sistemas de mediana complejidad, evaluando riesgos y utilizando
Elementos de
herramientas de especialidad propias de la seguridad, según procedimientos de la
Competencias
organización (SCTY-3-4) (TECH-4)
Aprendizajes Criterios de
Conocimiento Habilidades Actitudes
Esperados Evaluación
Utilizar Modelo OSI, Modelo Interpretar Eficaz en la Utiliza
herramientas de TCP/IP, Arquitectura correctamente los utilización de apropiadamente un
seguridad para Web. protocolos básicos herramientas de sniffer.
proteger los de comunicación. hacking de red y a
Sniffing: Implementa
sistemas, de interpretación de los
- Concepto. Implementar protocolos de
acuerdo con la protocolos.
- WireShark. contramedidas a los seguridad.
infraestructura y
- MAC Flooding. ataques de sniffing. Certero en la
recursos disponibles Aplica soluciones de
- APR y DNS identificación y
en la organización. Diferenciar un DoS seguridad de
Spoofing. diferenciación de los
de un DDoS. acuerdo al Estándar
- Contramedidas. distintos tipos de
IEEE 802.11.
- Técnicas de Habilitar red botnet ataques.
Hijacking. para explotar Reconoce las
Meticuloso en la
sistemas. vulnerabilidades
Ataques DoS y identificación de las
inherentes del uso
DDoS. Habilitar vulnerabilidades y
de una WLAN.
contramedidas para contramedidas de
Secuestro de
ataques DoS/DDoS. Cloud Computing. Utiliza mecanismos
sesiones.
de seguridad
Identificar el
BOT y Botnets. acordes para la
funcionamiento de
protección de
Smurf Attack. las redes LAN
WLAN.
inalámbricas
SYN Flood.
(WLAN) que se
Wireless Hacking basan en los
- Autenticación. estándares IEEE
- Sniffers. 802.11.
- Spoofing.
Identificar las
- Hacking.
técnicas y modelos
Estándares IEEE de seguridad Cloud.
802.11, 802.11 a,
Identificar las
802.11 b, 802.11 g y
contramedidas y
6
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
802.11 n. tipos de ataques
Cloud.
Sistemas de
autenticación WEP,
WPA, WPA2 y
técnicas de
cracking.
Métodos de
aseguramiento para
redes inalámbricas.
Seguridad en
Servicios Cloud
Computing.
Implementar Parches y Identificar el Meticuloso en la Realiza pruebas de
medidas de actualizaciones funcionamiento de detección de seguridad en
seguridad en algoritmos intrusos que evaden sistemas de
Cortafuegos
sistemas y red de la criptográficos y los sistemas de complejidad media
organización, según Sistemas de cómo son aplicados sistemas de control. según definiciones
estándares. detección de en los procesos de la organización.
Responsable en la
Intrusos (IDS) organizacionales.
decisión del sistema Evalúa brechas de
Honeypots. Identificar técnicas criptográfico a seguridad en
Firewall. de criptografía y utilizar de acuerdo sistemas de
encriptación. al contexto. complejidad media
Criptografía. según impacto en la
Identificar las
Algoritmos MD5, organización.
técnicas de evasión
SHA1, SHA2, de firewall. Investiga la
SHA3, RC4, RC5, ocurrencia de
Blowfish Detectar Honeypots
posibles ataques
para evitar posibles
según
ataques al sistema.
procedimientos
Crear llaves definidos por la
públicas y privadas. organización.
Utilizar métodos de Resuelve los
codificación de incidentes de
datos durante el seguridad según
cifrado. técnicas y
procedimientos
definidos por la
organización.
Capacita en
aspectos de
seguridad a los
usuarios según
requerimientos de la
organización.

7
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
Evaluación de la unidad

Tipo de Evidencia Proceso / Producto

Evidencias Simulación en Laboratorio (Informe de hallazgos en sistema vulnerado)
Instrumento Evaluativo Lista de cotejo
Contexto Laboratorio
Ponderación de la unidad 35% total de la unidad

VI. SUGERENCIAS METODOLÓGICAS

Se sugiere que las actividades sean implementadas bajo la metodología de Aprendizaje Basado en
Problemas (ABP), que requieran la aplicación en simulaciones prácticas, además de la exposición de casos
reales tanto de éxitos como de fracasos. Es importante fomentar el trabajo en equipo para incrementar
habilidades de colaboración y participación y el trabajo personal (proactividad). Las actividades se
desarrollan en dos ambientes: sala de clases, en donde se interiorizarán los principales conocimientos; y el
laboratorio, donde se ponen en practica y generan situaciones simuladas para aplicar lo trabajado en la
cátedra.

VII. REQUERIMIENTOS DE INFRAESTRUCTURA Y EQUIPAMIENTO

Herramientas de hacking:
- Kali Linux
- Windows siete o Windows 10 (ambos con privilegios de administrador para poder instalar herramientas)
Sistemas objetivo:
- Windows 7 sin Service Pack.
- Damn Small Linux, última versión disponible.
- Windows Server 12 sin parchar.
Redes:
- Wireless
- Capacidad de modo promiscuo.

VIII. EXAMEN FINAL

Tipo de Evidencia Evidencias Instrumento Evaluativo

Documento (informe
Producto Lista de Cotejo
técnico y ejecutivo)

IX. PONDERACIÓN DEL PROCESO EVALUATIVO DE LA ASIGNATURA

Evaluaciones Ponderación
Unidades de aprendizaje 70%
Examen final 30%
La ponderación de las evaluaciones parciales del semestre y el examen final está definida por el Reglamento Académico.

8
 Vicerrectoría Académica IP – CFT
Dirección de Desarrollo Curricular
X. PERFIL DOCENTE

Ingeniero (E) en Informática; Magister en Seguridad Informática o a fin; Certificaciones (ideal, pero no
excluyente) CEH, ECSA, OSCP, OSWP, WCNA, CPTS, SCNS.

XI. BIBLIOGRAFÍA

- Engebretson, P. The basics of hacking and penetration testing, second edition: ethical hacking and
penetration testing made easy. Editorial: Syngress. Formato digital. URL:
http://descubridor.santotomas.cl:2056/login.aspx?direct=true&db=nlebk&AN=550423&lang=es&site=eh
ost-live
- Velu, K. Mastering Kali Linux for Advanced Penetration Testing: Secure Your Network with Kali Linux –
the Ultimate White Hat Hackers' Toolkit. Editorial: Packt Publishing. Formato digital. URL:
http://descubridor.santotomas.cl:2056/login.aspx?direct=true&db=nlebk&AN=1547040&lang=es&site=e
host-live
-