ETHICAL HACKING

▪ INTEGRANTES:
▪ - BRYAN ARQUINIGO ARTEAGA

▪ - CHRISTIAN MEDINA RODRIGUEZ

▪ - JEAN-PIERRE SHUAN TINTAYA

▪ - PEDRO TANTAS ROLDAN

▪ - CHRISTIAN VEGA GUIZABALO

 HISTORIA DE LA ETHICAL HACKING
En 1960: Cuando en el MIT(Instituto Tecnológico de Massachusetts) los
estudiantes intentaron aprender los
marcos principales de los sistemas de computación para mejorar sus habilidades. 
Los teléfonos fueron atacados por John Draper conocido como Capitán Crunch.
En 1980: Los hackers comienzan a compartir información y a robar contraseñas en
boletines electrónicos. Fundan clubes de hacking.

En 1988: Esparcen un gusano Morris Internet generan una extendida denegación de

servicio (DoS); el programa fue escrito por Robert Tappan Morris, estudiante de
doctorado de la Universidad de Cornell, infectó aproximadamente 6000 computadores.

En 1993: Realizan la primera conferencia de hacking llamada Def Con, ubicada en las
Vegas.
En 1994: Hackers atacan a los sitios web federales de los EE.UU.,
incluyendo la CIA, el Departamento de Justicia, la NASA y la Fuerza
Aérea.
En 1995: El Departamento de Defensa de EE.UU. sufre 250.000 ataques
en un año. Kevin Mitnick es arrestado bajo sospecha de robar 20.000
números de tarjetas de crédito.
En 1998: Network Associates emite un anuncio anti-hacker durante la
Superbowl en los EE.UU. En él, dos técnicos de misiles soviéticos
destruyen el mundo, inseguros de saber si las ordenes vienen de Moscú o
de los hackers.
En 1999: Nacimiento del software anti-Hacking.
En 2000: Se producen ataques de denegación de servicio (DoS) sobre los
grandes nombres de la Red.
En 2001: XP el Windows más seguro, es crackeado antes de su
lanzamiento.
2007: Se producen varios ataques phishing específicos contra
entidades españolas especialmente agresivos a través de un kit que
comprende a muchos bancos españoles.
En 2008: Se descubre una nueva forma de engañar a los servidores
DNS para que den respuestas falsas, gracias a un fallo inherente del
protocolo.
En 2017: Wanna Cry fue el nombre del Ransomware que afectó a más
de 230 mil computadoras en 150 países, perjudicando a sistemas Kevin Mitnick
médicos y entidades de transporte internacional, marcando un hito en
el mundo de la ciberseguridad.
En 2019: Empresas de diferentes sectores fueron blancos de ataques
informáticos.
 A QUE SE DEDICA UN ETHICAL HACKER?

Un ethical hacker (o hacker ético) brinda un servicio de seguridad. Utiliza

las mismas metodologías, técnicas y herramientas de un black hat hacker
para atacar un sistema con el fin de descubrir sus vulnerabilidades,
explotarlas (o no, depende de lo acordado) y realizar un informe detallado
de los resultados obtenidos. 
Estos resultados permiten a la alta gerencia y a los encargados de
sistemas conocer el estado de la seguridad de sus sistemas informáticos
(lo recomendable es generar dos tipos de informes, uno más técnico para
el personal de sistemas y uno más general para la gerencia).
La prueba realizada por un Ethical Hacker se denomina Penetration Test.
METODOLOGÍAS ETHICAL HACKING

El Ethical Hacking, es de las especializaciones de

seguridad informática más apetecidas por las
grandes empresas a nivel mundial, todos los días
crece la necesidad de tener personas con los
suficientes conocimientos en estas áreas, para
contrarrestar los ataques de la creciente comunidad
de hackers, la cual tiene mayor representación en
Asia y el Medio Oriente, pero que esta regada por
todo el mundo.
Es muy delgada la línea entre un hacker de
sombrero blanco y un hacker de sombrero negro, a
nivel de conocimientos ambos tienen la capacidad
de reconocer vulnerabilidades y/o fallos en sistemas,
para sacar provecho de la situación, el hacker ético
tiene como misión explotar estas vulnerabilidades y
reportar las mismas, el fin nunca es el sacar
provecho económico de la situación, por lo contrario
el objetivo es hacer recomendaciones y/o diseñar
controles para la mejora del sistema.
 OSSTMM(OPEN-SOURCE SECURITY TESTING
METHODOLOGY MANUAL).

1.Visibilidad
2.Acceso
1.Seguridad de la Información 
3.Confianza
2.Seguridad de los Procesos
4.Autenticación
3.Seguridad en las tecnologías de
5.Confidencialidad
Internet
6.Privacidad
4.Seguridad en las comunicaciones
7.Autorización
5.Seguridad inalámbrica
8.Integridad
6.Seguridad Física
9.Seguridad
10.Alarma
 ISSAF (INFORMATION SYSTEMS SECURITY ASSESSMENT
FRAMEWORK).

Brinda medidas que permiten reflejar las condiciones

de escenarios reales para las evaluaciones de
seguridad.
Esta metodología se encuentra principalmente
enfocada en cubrir los procesos de seguridad y la
evaluación de los mismos para así obtener un
panorama completo de las vulnerabilidades existentes.
Permite el desarrollo de matriz de riesgo para
verificar la efectividad en la implementación de
controles.
 OWASP (OPEN WEB APPLICATION SECURITY PROJECT).

Pruebas de firma digital de aplicaciones Web.

Comprobaciones del sistema de autenticación.
Pruebas de Cross Site Scripting.
Inyección XML
Inyección SOAP
HTTP Smuggling
Sql Injection
LDAP Injection
Polución de Parámetros
Cookie Hijacking
Cross Site Request Forgery
 CEH (CERTIFIED ETHICAL HACKER).

Obtención de Información.
Obtención de acceso.
Enumeración.
Escala de privilegios.
Reporte
 OFFENSIVE SECURITY

Enfoque sobre la explotación real de las plataformas.

Enfoque altamente intrusivo.
Enfoque orientado a resultados tangibles y no a estadísticas generadas
por herramientas.
 RECOLECCIÓN DE INFORMACIÓN.

Pruebas Ciegas, en donde el cliente NO

proporciona ningún tipo de información y se
lleva a cabo la tarea de descubrimiento de la
misma, para la planeación del ataque. En este
escenario las pruebas toman más tiempo por
cuanto se debe recolectar más información
inicialmente.
Pruebas con Información, donde el cliente
proporciona información básica de sus redes,
servidores, elementos etc. y se puede
optimizar el tiempo de pruebas orientándolas
a los objetivos específicos definidos.
CASOS DE ESTUDIO

▪ Entre abril y setiembre del

2019, las empresas peruanas
sufrieron más de 3,000 millones
de intentos de ciberataques,
según el servicio de inteligencia
de amenazas de Fortinet.
▪ Fortinet ha encontrado que los
ataques de ingeniería social a
través del correo electrónico
siguen siendo los más
frecuentes en el país.
CASOS DE ESTUDIO: BANCOS

▪ En agosto de 2018 se dio una alerta de

ciberataques en las entidades bancarias. Según
se explica que han sido tres los mecanismos de
ataques que se han identificado:
– El primero a través del Ransomware.
– El segundo, es el de negación de servicios.
– El tercer mecanismo ha sido, a través de un
nuevo virus o una variante de los ya existente
usado de distracción.

▪ El Banco de Crédito del Perú (BCP) reveló que

sufrió un ataque cibernético en el 2018 en el que
delincuentes accedieron a datos financieros
personales de un grupo de clientes.Los delincuentes
cibernéticos publicaron la información sustraída del
BCP el año pasado en la "Deep web" (Internet
profunda) donde se publica información a nivel
mundial, peligrosa e ilegal. Los delincuentes
buscaban vender la base de datos sustraída.
CASOS DE ESTUDIO: BFU

▪ En mayo del presente año se dio a

conocer que  un grupo de hackers
accedió de forma fraudulenta a la página
web del Bono Universal y robó, se
estima, cerca de un millón de soles. Los
hackers accedieron a él debido a ciertas
fallas de seguridad y coordinaban sus
acciones a través de internet y un grupo
de WhatsApp.
– La primera falla fue un tema técnico.
– La segunda falla encontrada se dio en el
diseño del proceso.
– Por último, que el chip o el número
telefónico ingresado al sistema debe
estar relacionado al beneficiario del
bono.
COMANDOS DE CONFIGURACIÓN DE RED, PROCESOS
Y SERVICIOS EN MICROSOFT WINDOWS Y LINUX.

▪ VNStat ▪ Netcat
▪ Ping
▪ Lsof (Unix/Windows)
▪ Traceroute
▪ IPtraf (Linux)
▪ Arp
▪ pathping (Windows)
▪ Curl y wget
▪ getmac (Windows )
▪ Netstat
▪ Whois ▪ Nslookup (Windows/Linux)

▪ SSH (Unix/Linux/Windows) ▪ netsh (Windows)

▪ TCPDump (Unix/Linux/Windows) ▪ ROUTE (Windows/Linux)
▪ Ngrep (Unix/Linux/Windows) ▪ DIG (Linux)
▪ NMAP (Unix/Windows) ▪ IP ADDR LS (Linux)
 SCRIPTING BASH
 Fusión entre programación y el interprete de comandos
 Automatizar acciones repetitivas
 Uso de expresiones matemáticas
 Mejorar la experiencia del usuario
EN WINDOWS
 Subsistema de Windows para Linux
 Acceso a los archivos
 Ejecución de comandos de Linux
 Variables, Condicionales y Bucles
 EN LINUX
 Creación de un script nano nombre-script
 Permisos de ejecución
 Ejecución del script ./nombre-script
GRACIAS!