Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Hacking Ético Tres

    Cargado por

    Dennis Raúl Gutiérrez
    2 vistas10 páginas
    sqa

    Título original

    Hacking ético tres

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    sqa

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    2 vistas10 páginas

    Hacking Ético Tres

    Cargado por

    Dennis Raúl Gutiérrez
    sqa

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    Hacking ético

    QUÉ ES EL HACKING ÉTICO

    • se define a través de lo que hacen los profesionales que se dedican a ello, es


    decir, los piratas informáticos éticos. Estas personas son contratadas para
    hackear un sistema e identificar y reparar posibles vulnerabilidades, lo que
    previene eficazmente la explotación por hackers maliciosos. Son expertos
    que se especializan en las pruebas de penetración de sistemas informáticos y
    de software con el fin de evaluar, fortalecer y mejorar la seguridad.
    • Este tipo de pirata informático a menudo se denomina como hacker de
    ‘sombrero blanco’ (White hat), con el fin de diferenciarlos de los piratas
    informáticos criminales, que se conocen como hackers de ‘sombrero negro’.
    • Una de las armas más poderosas en la lucha contra los ciberdelincuentes ha
    sido la de los piratas informáticos. Los profesionales con un profundo
    conocimiento de cómo penetrar en la seguridad de una infraestructura en
    línea se implementan comúnmente para encontrar vulnerabilidades.
    ORIGENES
    • Existen múltiples teorías respecto al origen de la palabra “Hacker”, no obstante la
    mayoría relaciona la aparición de esta palabra con uno de los inventos que ha permitido
    la existencia de lo que actualmente conocemos como Internet: el teléfono.
    Adicionalmente, este término ha sido relacionado continuamente con el Instituto
    Tecnológico de Massachusetts (MIT) enfocándose en las décadas de 1950 y 1960.
    • La enorme cantidad de teorías existentes, destacan particularmente tres de ellas que
    describen una de las características fundamentales del hacking: el espíritu, Pasión
    ,Libertad ,Anti-corrupción y igualda social .
    • La primer teoría describe que durante dichas épocas, en el MIT era utilizada la palabra
    “hack” para definir una solución simple
    • Otra de las teorías se enfoca nuevamente en el MIT, específicamente en el club de
    maquetas de trenes.
    • Finalmente, la tercer teoría se enfoca en la compañía AT&T, la cual en 1878, durante los
    primeros años de la telefonía contrató a un grupo de adolescentes para fungir como
    operadores telefónicos del sistema Bell
    ALCANCE
    • El test de intrusión interno intenta a su vez emular las
    condiciones de un ataque desde uno o varios puntos de la
    red interna de la organización partiendo de una cuenta sin
    privilegios de administrador y con un conocimiento
    superficial de la estructura interna de la red de la
    organización  (Análisis Tipo Caja Gris).
    • El test de intrusión externo emula las condiciones reales de
    un ataque por parte de un atacante que no posee
    información previa de la empresa (Análisis Tipo Caja Negra),
    partiendo solamente de las direcciones IP públicas que se
    definan dentro del alcance del proyecto.
    • El análisis de la seguridad Wireless trata de emular un ataque
    por parte de un intruso con acceso al perímetro de la
    organización, tratando de vulnerar la seguridad de la red
    inalámbrica.  El análisis incluye la revisión de los siguientes
    aspectos:
    -Estudio del alcance físico de la red inalámbrica de la
    organización
    -Descubrimiento de puntos de acceso inalámbricos no
    autorizados
    -Análisis de la configuración de los elementos inalámbricos
    (routers, switches)
    -Análisis de la configuración del cifrado (WEP, WPA, etc.) y de la
    autenticación de la red (802.1x, PKI, etc.)
    -Vulnerabilidad del servicio a Ataques de Denegación de Servicio
    • Revisión Aplicativos web
    • La revisión de aplicativos web trata de evaluar la exposición de una
    aplicación publicada en Internet de manera exhaustiva. La revisión se
    basa en la metodología OWASP v4.0:

    -Vulnerabilidades de inyección SQL


    -Vulnerabilidades XSS
    -Falsificación de peticiones cross-site (CSRF)
    -Ejecución de código
    -Gestión de autenticación y sesiones
    -Búsqueda de puertas traseras y accesos de administración mal
    configurados
    -Vulnerabilidades de directorio transversal
    • La auditoría interna de seguridad profundiza en una revisión
    global de  una organización, para ello se parte de una
    información completa de la estructura integra de la red y
    aplicaciones de la organización (Análisis Tipo Caja Blanca).
    • -Revisión de políticas de dominio, actualizaciones, antivirus, etc.
    -Revisión profunda de la seguridad en los S.O., BBDD y
    aplicaciones más relevantes.
    -Revisión de protocolos circulantes por la red interna.
    -Revisión de privilegios de cuentas de usuarios y segregación de
    tareas.
    -Técnicas de ingeniería social para comprobar la concienciación 
    de los empleados
    OBJETIVOS
    • Evaluar la seguridad informática e identificar vulnerabilidades en
    sistemas, redes o infraestructuras de sistemas.
    • Corregir vulnerabilidades de los sistemas.
    •  Burlar las diferentes vallas de seguridad que tiene la red para
    diferentes organizaciones, con la única intención de probar su
    efectividad, o por el contrario, demostrar la vulnerabilidad de aquel
    sistema.
    • Descubrir direcciones IP´S
    • Descubrir los servicios ejecutándose y presentes en el sistema.
    • Detectar sistemas vivos en la red
    Aspectos legales
    • La Ley 1273 de 2009 creó nuevos tipos penales
    relacionados con delitos informáticos y la
    protección de la información y de los datos con
    penas de prisión de hasta 120 meses y multas de
    hasta 1500 salarios mínimos legales mensuales
    vigentes. (www.secreteriasenado.gov.co, 2020)

    • Hacking ético es el término inicialmente usado por


    los profesionales para hacer el sistema más
    seguro y confiable. Una persona es llamada como
    un hacker ético cuando no destruye la seguridad
    en los sistemas, tiene cuidado con la seguridad y
    salvaguardara el sistema desde el punto de vista
    del Hacker.
    • Los riesgos legales de los hackers éticos derivan
    de la divulgación de información personal o
    confidencial sin autorización.
    Beneficios Riesgos
    • El hacking ético constituye una • Conocer los riesgos asociados a la
    herramienta moderna de prevención y ciberdelincuencia e identificar las buenas
    protección de datos, para evitar fugas prácticas para enfrentarlos fortalece el
    de información y por consiguiente, el avance de la cultura de la seguridad de la
    riesgo de afectar la reputación y información además de elevar la
    credibilidad de la organización. confianza digital de las empresas y los
    ciudadanos.
     
    • El principal beneficio de las empresas
    por medio del hacking ético es que
    podrán adelantarse a posibles delitos
    cada vez más habituales en la
    actualidad.
     
     

    También podría gustarte