INTRODUCCIÓN AL PENTESTING

(Terminología básica y esencial)

La conexión y proyección que hay ente la clase introductoria al Hacking
Ético y el producto Final que son los Reportes

Reglas del
negocio

Propuesta Técnica
Comercial

Estándares y Buenas Entregables:

Posicionamiento y practicas © www.dsteamseguridad.com Reportes
Visibilidad
DEFINICIÓN:
Pentesting: “Hacking ético” (también conocida como prueba de penetración-
Pentest) es un ciberataque simulado por parte de un experto(s), con el
propósito de explotar las vulnerabilidades en una red y-o sistema informático.
Se enfoca en localizar las vulnerabilidades, luego se intenta explotarlas.
Una persona que realiza una auditoria del tipo Pentesting y/o Hacking ético
puede intentar una intrusión (Violación ala seguridad de forma controlada) de
aplicaciones web, protocolos de red, interfaces de programación de
aplicaciones (API), servidores, firewalls y cualquier otra dispositivos
informático (Host) que pueda explotarse en una red. El objetivo principal del
PenTesting es descubrir las vulnerabilidades de forma previa (Anticipada) que
un atacante real desde el interior y-o exterior de la red, luego explotarlas para
simular el daño que podría causar y medirlo en niveles de riesgos potenciales.
PENTESTING COMO SERVICIO DE AUDITORIA Y COMO CARERRA
PROFESIONAL DE T.I:
Una prueba de intrusión como tal, mantiene lo que es un proceso de auditoría
de T.I, enfocado en seguridad Informática, por lo que de esta especialidad de
la seguridad informática, que es el Pentesting o seguridad ofensiva, se pueden
constituir empresas especializadas en prestar este tipo de servicios, y el
servicio es ejecutado por profesionales que de forma previa han desarrollado
habilidades específicas en seguridad informática, consecuente a las
habilidades base el T.I
PENTESTING COMO SERVICIO DE AUDITORIA Y COMO CARERRA
PROFESIONAL DE T.I:
Un Pentester y/o Hacker ético es un profesional(s) que de forma previa han
desarrollado habilidades específicas en seguridad informática ofensiva,
consecuente a las habilidades base el T.I
El grupo de personas y profesionales que ejecutan labores de
Hacking ético se conocen como Hackers éticos - PenTesters, que
puede ser contratados y-o directamente empleados una
organización para ayudar a fortalecer los niveles de seguridad.
Los hackers éticos trabajan dentro de los límites legales,
asegurando que los datos a los que tienen acceso no sean
explotados ni divulgados a terceras partes (a menos que lo
indique la organización contratante del servicio de Hacking tico).
TIPOS DE PENTESTING:
Con el avance de las tecnologías de la información, los pruebas del tipo
Pentesting se han ido diversificando e incrementando, hasta llegar al punto de
clasificarlas en diferentes tipos, para poder entender e interpretar mejor los
alcances, tipos de pruebas y activos que se deben de auditar.
Network Pentesting Web App Pentesting Wireless Pentesting Pentesting (Acceso Físico)

Mobile Pentesting Cloud Pentesting

Pentesting (Ingeniería
(Android-IOS)
Social-Phising)
 CICLO DEL HACKING ÉTICO
El ciclo del Hacking ético: El hacking ético, es una
Rules Of Engagement replica de un hacking maliciosos real, a razón de los cual
hay pasos lógicos y secuenciales que seguir (Los pasos
ANS-
contratos aplacados a cada organización auditada, pueden variar).
Information
Gathering
Scanning y
Enumeración
Análisis
Vulnerabilidades

Explotación

Post-
Explotación

Reportes
INTRODUCCIÓN AL HACKING ÉTICO
1-Hacking ético: La diferencia fundamental entre el Hacking ético, y el
hacking Ilegal (No ético) se ve representada en los permisos y
autorizaciones que se pactan de forma previa entre el cliente y el equipo de
auditores.
El hacking no autorizado (Ilegal) es cuando una fuente (persona, grupos) no
autorizada(s) acceden de forma parcial o total a una computadora o red
Informática, generalmente por razones maliciosas.
INTRODUCCIÓN AL HACKING ÉTICO
1-Hacking ético: Qué se necesita proteger?
Confidencialidad (Confidentiality): Se define como el proceso de salvaguardar
la información que se tiene y se conoce. Tiene como responsabilidad asegurarse
de que la información no esté en manos equivocadas. La información puede
custodiarse asignando los permisos adecuados y aplicando proceso de cifrado. Si
no se aplican labores de control, hay posibilidades de divulgación de información
confidencial, lo que permite que una persona no autorizada acceda a la
información.
Integridad (Integrity): Es mantener la información en su forma original y no
permitir ningún tipo alteración no autorizada.
Disponibilidad (Availability:): Es mantener la información disponible para
que las personas autorizadas la utilicen.
INTRODUCCIÓN AL HACKING ÉTICO
2-Necesidades respecto al hacking ético: Es importante tener presente que
no se puede proteger todo. Si se desconoce una vulnerabilidad, no hay
forma de protegerse contra ella. Es aquí donde entra de forma
representativa el rol del Hacker ético. Por ejemplo, un atacante puede
descubrir y explotar una vulnerabilidad de día cero (exploit a zero-day) en
una aplicación web. Esto es algo en lo que no se habría pensado de forma
previa, pero el atacante estaba un paso por delante.
Una labor de un hacker ético podría ser haber descubierto esta
vulnerabilidad de forma previa
INTRODUCCIÓN AL HACKING ÉTICO
2-Necesidades respecto al hacking ético: Como profesional en Hacking
ético, se recomienda conocer al respecto de los siguiente:
 Comprender y conocer los sistemas y procesos antes de comenzar
cualquier actividad.
 Conozca las reglas del negocio (Rules Of Engagement) antes de
comenzar cualquier actividad. ------Debes saber lo que hay que hacer.
 Obtener los respectivos permisos por escrito antes de proceder con
cualquier tipo de labor de Hacking.
 Realizar Hacking los sistemas de la organización sin causar ningún daño.
 Descubrir vulnerabilidades y ayudar (Orientar) a la organización cliente
en como repararlas.
INTRODUCCIÓN AL HACKING ÉTICO
2-Necesidades respecto al hacking ético:
 Aplicar de forma práctica y técnica los mismos métodos y técnicas de
ataque que podría usar un atacante real para explotar un sistema,
aplicación o vulnerabilidad informática.
 Asegúrese de NO compartir ninguna vulnerabilidad o información
descubierta en la auditoria de Hacking ético, con nadie más que las
autoridades y-o personas adecuadas.
 Mantener abierto el canal de comunicación con la organización y
personas respectivas para que sean conscientes de las vulnerabilidades.
 Presente sus hallazgos al final de la prueba de Hacking y compártalos con
el cliente ( Es lo que conocemos como el informe).
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS)
Como hacker ético/Pentester, debe conocer los diferentes tipos de actores y
amenazas, que de definen como cualquier entidad (Individuo, grupos,
empresas, entre otros) que están detrás de una amenaza, y que
representan un peligro potencial para un activo tecnológico.
Un actor relacionado con amenazas se puede clasificar en tres categorías:
 Amenaza interna-(Internal Threat). Por ejemplo: un empleado
deshonesto)
 Amenaza externa(External Threat ).Por ejemplo, un grupo criminal)
 Amenaza natural (Natural Threat ) Por ejemplo: huracán o tsunami)
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Los actores de amenazas buscan vulnerabilidades para explotar. Cuando una
vulnerabilidad o debilidad está presente en la red, el servidor o una
aplicación, está en exposición de riesgo para ser aprovechada por parte del
actor de la amenaza. Aquí algunos ejemplos de actores de amenazas.
Hackers: Se distinguen tres tipos de hackers: Black Hat, Grey Hat, & White
Hat.
Los hackers de sombrero negro (Black hat hackers) hackean los sistemas y
redes informáticos con intenciones maliciosas. También se les conoce como
Crackers
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Los hackers de sombrero blanco (White hat hackers) son hackers éticos
(sneakers). Por lo general, las organizaciones los contactan y contratan para
evaluar sus parámetros de seguridad.
Los hackers de sombrero gris (Grey hat hackers) son una combinación de
hackers de sombrero blanco (white hat) y sombrero negro (black hat).
Entran en sistemas sin pedir permiso. Sus intenciones no son maliciosas;
quieren demostrar sus habilidades técnicas. Sus acciones pueden
considerarse invasivas e ilegales, ya que no solicitan permiso para realizar
sus acciones en sistemas, redes y aplicaciones informáticas.
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Script Kiddies Un script kiddie es alguien que no tiene la experiencia de un
hacker real y confía en herramientas listas para usa (Herramientas escritas
por terceros), ya que no tiene las habilidades de escribir su propio código.
Lo anterior a razón de la carencia de experiencia técnica, y como tal sus
ataques no son sofisticados.
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Hacktivists: Los hacktivistas (Algo realmente una amenaza muy seria y
peligrosa) son actores de amenazas que son hackers reales y expertos con
una misión específica, que puede estar relacionada con temas de activismo
política, religioso, social, entre otros. Uno de los ataques más comunes que
utilizan este tipo de hackeos es una denegación de servicio distribuida
(DDoS).
Loas hackitivistas están decididos a cumplir su causa y pueden trabajar en
grupos de hackers informáticos de ideales afines.
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Nation-States/State Sponsored: Expertos patrocinados por naciones y-o
estados-- Estos actores de amenazas son entidades bien financiadas y bien
organizadas que comprometen sus actividades con el respaldo de los
gobiernos o similares. Los atacantes patrocinados por un estado
generalmente se enfocan en infiltrarse en organizaciones más grandes con
la intención de robar grandes cantidades de datos sensibles y de misión
crítica.
TIPOS DE ACTORES Y AMENAZAS (TYPES OF THREAT ACTORS
Insider Threats: Estos actores de amenazas son internos y propios de una
organización y pueden llevar a cabo actividades maliciosas de forma
intencionada o no. Algunas de las actividades que podrían realizar incluyen
entregar información confidencial o sensible a otras personas (entidades
terceras), o vender información a otro actor de amenazas (atacantes) que
quieran hacer un mal uso de la información vendida y-o suministrada. Es
muy algo complejo detectar una amenaza interna ya que la persona es parte
como tal del sistema y en la mayoría de circunstancia de la empresa. Estos
actores tendrían acceso a los datos, junto con el conocimiento de las operaciones
y procedimientos internos. Dado que están dentro de la red, sus acciones son
difíciles de rastrear y detectar por medio de sistemas de defensa como firewalls.
MODELOS DE AUDITORIA SEGÚN EL TIPO DE ACCESO
Diferencias entre Black Box - White Box - Grey Box Hacking:
Importante este concepto no es necesariamente hacker Black-White-Gray
Como hacker ético, es posible que se le solicite que realice diferentes tipos
de pruebas de hacking ético y-o Pruebas de penetración. La organización,
después de decidir el alcance de las pruebas de Hacking ético, también
puede solicitar que realice un cierto tipo de pruebas de Hacking especificas,
que generalmente se clasifican en tres tipos:
 Black box
 Grey box
 White box
MODELOS DE AUDITORIA SEGÚN EL TIPO DE ACCESO
Black box: Una prueba de caja negra (Black Box) también se conoce como
prueba de penetración de conocimiento cero. En la prueba de caja negra,
no tiene ninguna información sobre la red, excepto un rango de IP.
La organización que contrata el servicio de caja negra espera que usted
como hacker ético recopile información por su cuenta, descubra
vulnerabilidades y luego las explote. Una prueba de caja negra lleva más
tiempo, ya que no sabe nada sobre la red o sus sistemas. Sin embargo, es
más eficaz porque puede proporcionar una evaluación precisa de la
seguridad de la red y simula de cerca ( en un alto porcentaje) un ataque de
la vida real que podría ocurrir.
MODELOS DE AUDITORIA SEGÚN EL TIPO DE ACCESO
White box: Una prueba de caja Blanca (White Box) es completamente lo
opuesto a la prueba de caja negra. También se conoce como prueba de
penetración de conocimiento completo. El hacker ético Tiene toda la
información necesaria para realizar pruebas de penetración (PenTesting).
Por ejemplo, la organización cliente comparte con el hacker ético la
siguiente información:
 Diagramas de red
 Lista de sistemas con su dirección IP
 Rangos de IP
 Credenciales de usuario para iniciar sesión en los sistemas auditados
MODELOS DE AUDITORIA SEGÚN EL TIPO DE ACCESO
White box: La prueba de penetración de caja blanca puede demorar menos
tiempo que la prueba de caja negra porque el hacker ético tiene disponible
de forma previa la información requerida. Sin embargo, es posible que los
resultados de este tipo de pruebas no proporcione resultados tan precisos,
ya que no es la misma situación en la que se encontraría un atacante
externo en el modo de auditoria de hacking ético caja negra.
MODELOS DE AUDITORIA SEGÚN EL TIPO DE ACCESO
Grey box: Una prueba de caja Gris (Grey Box) es una combinación de caja
negra y caja blanca. De forma inicial el hacker ético tiene la información
limitada, pero no tiene las credenciales de usuario ni detalles de
configuración. Por ejemplo, la organización puede compartir el nombre de
la aplicación y su dirección IP, pero no proporciona la versión de la
aplicación ni los servicios que está ejecutando el servidor que la contiene.
Los resultados de las pruebas del tipo Caja Gris, pueden ser poco más
preciso que una prueba de caja blanca.
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Las reglas del negocio
También conocidas como:
 Rules Of Engagement
 Reglas de juego
Es donde se deja absolutamente todo claro entre el cliente y la empresa o
consultor que se encarga de realizar las pruebas de seguridad y/o
Intrusión, respecto al proceso de auditoria.

© www.dsteamseguridad.com
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Contrato

© www.dsteamseguridad.com
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Contrato

© www.dsteamseguridad.com
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Contrato

© www.dsteamseguridad.com
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Contrato

© www.dsteamseguridad.com
 Certified Offensive and Defensive Security Professional
- Entrenamiento E-learning -
Introducción al Hacking Ético- Contrato

© www.dsteamseguridad.com