















Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Información sobre el proceso de auditoría informática y cómo ethical hacking (hackeo ético) juega un papel importante en la seguridad de sistemas y redes. Se detalla el objetivo de ethical hacking, herramientas como kali linux y jack the ripper, y cómo auditorías informáticas y ethical hacking se relacionan. Además, se incluyen ejemplos de búsquedas avanzadas usando google.
Tipo: Monografías, Ensayos
1 / 23
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!
















IACC- 2020
Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A.. No se permite copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de Artes y Ciencias de la Comunicación S.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual.
IACC- 2020
El estudiante será capaz de:
IACC- 2020
Es importante entender los procesos generales de la auditoría informática con el fin de identificar a qué riesgos está expuesto el negocio, de esta manera, será posible desarrollar los respectivos controles que minimizarán el impacto de los mismos, conocer los estándares, controles, normas y guías para la realización de auditorías internas y externas y el empleo de herramientas que permitan aplicar estos controles al momento de realizar una auditoría informática. Para realizar una auditoría informática se requiere planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y actividades que se requieren para su ejecución y que serán establecidos de acuerdo a las necesidades de la empresa. Estos procedimientos se adaptarán de acuerdo al tipo de auditoría de sistemas que se vaya a realizar y con el cumplimiento estricto de las necesidades, técnicas y métodos de evaluación del área de sistematización. Los métodos deben seguirse para la determinación de las herramientas e instrumentos de revisión que serán utilizados en la auditoría, mientras que la metodología cubre tres etapas: la primera de planeación, la segunda de ejecución y la tercera, del dictamen de la auditoría.
IACC- 2020
La protección de los sistemas y redes actuales requiere una comprensión amplia de las estrategias de ataque y un conocimiento profundo de las tácticas, herramientas y motivaciones del pirata informático. El creciente uso de metodologías de ataque de ingeniería social exige que cada probador sea consciente de la organización y los hábitos de sus usuarios de TI (personal). A continuación, se estudiarán los principales conceptos de hacking ético, así como herramientas como Kali Linux, Hackeo con Google, Whois y Nslookup, Shodan, redes sociales e Ingeniería social y Maltego.
IACC- 2020
El objetivo fundamental del ethical hacking (hackeo ético) consiste en explotar las vulnerabilidades existentes en el sistema valiéndose de los test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes, aplicaciones web, bases de datos y servidores, con la intención de ganar acceso y demostrar que un sistema es vulnerable, esta información es de gran ayuda al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados. De acuerdo con Rodríguez (2016), a través del ethical hacking es posible detectar el nivel de seguridad interno y externo de los sistemas de información de una organización, esto se logra determinando el grado de acceso que tendría un atacante con intenciones maliciosas a los sistemas informáticos con información crítica.
El mantenimiento de la seguridad de una red o de un sistema informático, requiere de herramientas específicas para monitorizarlas. Un ejemplo de estas herramientas es Kali Linux, que agrupa distintas funcionalidades en una sola distribución GNU/Linux desde la que se puede poner a prueba cualquier sistema informático.
Kali Linux es una herramienta muy potente para el hacking ético , que busca las limitaciones y fisuras en la seguridad de las redes y sistemas informáticos. Pero eso no tiene por qué estar orientado a cometer actos ilegales, ya que ser hacker no está vinculado a la ciberdelincuencia, aunque algunos puedan dedicarse a utilizar sus conocimientos para cometer delitos.
IACC- 2020 De hecho, está concebida como herramienta para tareas de análisis forense , con la cual descubrir por dónde ha sido atacado un sistema informático y encontrar posibles rastros de su atacante. La filosofía sobre la que se asienta Kali Linux es su utilización y desarrollo con fines educativos y éticos, con los que poder explorar las debilidades en la seguridad de las redes y sistemas. Una de las principales virtudes de Kali Linux es que cuenta con más de 300 herramientas y aplicaciones relacionadas con la seguridad informática que incluye esta distribución, destacando algunas tan conocidas como Nmap, que permite escanear los puertos de un sistema, el crackeador de contraseñas Jack the Ripper o la suite Aircrack-ng para comprobar la seguridad de las redes inalámbricas. Primeros pasos con Kali Linux: Un buen punto de partida para comenzar a probar esta distribución es utilizar una de las imágenes preconfiguradas que permiten usar Kali Linux como una máquina virtual. Este formato de Kali Linux está preparado para usarse desde el primer momento, y para su uso se supone una serie de conocimientos previos, por lo que el sistema ya tiene preconfigurada una cuenta de superusuario (root) desde la que iniciar la sesión. Para acceder a esta cuenta, introduce root como usuario y la misma palabra al revés como contraseña. Es decir, toor. Una vez que se accede a la sesión de Kali Linux, se puede modificar el idioma de la interfaz haciendo clic sobre las opciones de encendido que encontrarás en la esquina superior derecha de la pantalla y pulsando sobre el icono de Todas las configuraciones que encontrarás en la parte inferior izquierda del cuadro desplegable. En el cuadro de Todas las configuraciones, accede a Región e idioma y añade un nuevo idioma para luego usarlo como idioma predeterminado. Necesitarás reiniciar la sesión para que se aplique el cambio de idioma. Como en tantas otras distribuciones de Linux, en los menús de Aplicaciones encontrarás todas las herramientas y aplicaciones disponibles en Kali Linux clasificadas por categorías. Entre las aplicaciones que destacan, están:
IACC- 2020 cualquier carácter, caracteres, palabra o grupo de palabras que aparezcan en la búsqueda junto con algún otro literal. Pero es posible que no conozca estos otros:
IACC- 2020 Algunos ejemplos de búsquedas en profundidad utilizando el buscador de Google:
Para saber cuál es la dirección IP asociada a un dominio o página web, solamente tendrás que hacer una consulta a un servidor DNS. En realidad, lo que vas a averiguar es la dirección IP del servidor donde se encuentra alojado ese dominio o página web.
IACC- 2020 Nslookup obtiene directamente la información requerida de la caché DNS del servidor de nombres. Los usuarios disponen de esta herramienta de dos modos: en el modo no interactivo, la herramienta inspecciona las entradas en la memoria caché DNS ( registro de recursos ) almacenadas en el servidor de nombres local. Este modo se recomienda para aquellas peticiones sencillas en las que se ha de buscar una única entrada para un dominio. No obstante, si se utiliza otro servidor DNS para la búsqueda y hay que llevar a cabo un proceso más complejo, es necesario recurrir al modo interactivo , en cuyo caso el programa de líneas de comando se iniciará por separado.
Shodan es un motor de búsqueda en el que, a diferencia de Google y otros buscadores, no podemos buscar, por ejemplo, una imagen o un texto. Este motor de búsqueda está enfocado únicamente a buscar sistemas y servicios conectados a internet. Por este motivo, Shodan está clasificado como uno de los motores de búsquedas más peligrosos, por todo el contenido que tiene. Podemos hacer todo tipo de búsquedas dentro de su ámbito, incluso podemos utilizar los dorks que incluye este motor de búsquedas, como por ejemplo el dork country:es, que nos permite buscar por países, en este caso, España. Imagen 3. Interfaz de Shodan Fuente: elaboración propia
IACC- 2020 Lo que nos permite hacer Shodan tiene una parte buena para los auditores, que sería el hecho de poder buscar servidores que estén auditando o buscar cualquier tipo de servicios, y obtener de ellos mucha información para poder realizar sus auditorías. El gran problema que tiene este tipo de motores de búsqueda, es que también lo usan los ciberdelincuentes, y es por eso que se ha catalogado como uno de los más peligrosos. Ejemplos: Vamos a ver algunos ejemplos de cómo se ha utilizado Shodan para llevar a cabo algunos ciberataques. Podemos realizar, por ejemplo, la búsqueda “iPhone”, así encontraremos teléfonos iPhone que estén conectados a algún tipo de servicio. En el ejemplo vemos todas las IPs localizadas que tienen alguna relación con la búsqueda iPhone o son un iPhone. Utilizando este sistema, se produjo un ataque que se enfocó a los teléfonos iPhone, un ataque volumétrico por el puerto 123 NTP usado por estos dispositivos. También podemos buscar por sistema operativo, en este caso Windows, para lo cual usaríamos el dork os:windows. De esta forma, encontraríamos todo lo que serían sistemas Windows, podemos ver sus puertos, las versiones de SMB, buscar vulnerabilidades, etc. Además, todo esto se podría automatizar. También podemos buscar, por ejemplo, tipo de servidores ( Internet Information Server ), usando el dork iis. Esta es una herramienta con la cual se puede hacer un buen vector de ataque o coger masivamente IPs con un servicio en concreto.
La ingeniería social se basa en cuatro principios básicos que aprovechan la confianza de los usuarios para realizar acciones que no desean. Son los siguientes: A. “Todos queremos ayudar”. El ejemplo más sencillo serían los correos de cadena, en los que se animaba a donar dinero o similares, que ahora también se propaga por las redes sociales más que por correo electrónico. B. “El primer movimiento es siempre de confianza hacia el otro”. Aunque es cierto que la gente suele desconfiar más en Internet. Para ello, se cambian los remitentes para que resulten de confianza para los usuarios, como un paquete para recoger en correos, una notificación para ver el estado de la declaración de impuestos, etc.
IACC- 2020
A veces resulta necesario contar con servicios automatizados que tienen el potencial de encontrar información sobre personas y empresas en Internet, permitiendo cruzar datos para obtener perfiles en redes sociales, servidores de correo, etc. Una herramienta que permite realizar este tipo de servicios es Maltego. Maltego. Este servicio recopila información de internet y la representa de forma gráfica para que sea sencilla de analizar, es una herramienta muy potente, llena de opciones que pueden ser muy útiles para investigar empresas, sitios, personas y mucho más. Su combinación con otra herramienta llamada FOCA resulta muy potente para generar perfiles de usuarios y empresas. Está indicado su uso en las etapas iniciales de un pentesting. Un auditor podría obtener nombres y correos de una empresa, qué sistemas operativos y programas suelen usar, dónde guardan documentos y con quién los comparten, qué recursos compartidos utilizan, así como los antivirus utilizados. Toda esta información es pública y está disponible en la red. Para usar Maltego es necesario instalarlo y registrarse en su página web, creando una cuenta que permite usar la aplicación junto con sus servidores gratuitos. Una vez realizada la instalación, se inicia la sesión, y se debe crear una hoja de búsqueda nueva y arrastrar la entidad (es el tipo de búsqueda que se requiere hacer, en este caso, una persona), para luego hacer la búsqueda y ver qué resultados arroja.
IACC- 2020 Imagen 4. Interfaz de Maltego Fuente: elaboración propia Una vez seleccionado el tipo de búsqueda a realizar, daremos doble clic sobre el icono de la persona para acceder a la configuración y, una vez configurado el nombre a buscar, solo resta hacer clic con el botón derecho sobre el icono de la persona y seleccionar la opción “ run transform”. Dentro de esta categoría hay diferentes subcategorías, donde se puede optar por información puntual a buscar, como correos electrónicos, direcciones IP de un sitio web, etc. En este caso particularmente, vamos a hacer uso de la opción “ all transforms”, para que busque toda la información posible en la web, de modo que rápidamente comenzará a recolectar los datos y se podrá apreciar un resultado similar al que se muestra en la siguiente imagen:
IACC- 2020 Imagen 6. “Entity List” de Maltego Fuente: elaboración propia En este caso, solo mostramos cómo buscar a una persona con esta poderosa herramienta, pero también se pueden hacer búsquedas de dominios, direcciones de correo electrónico, números telefónicos, servidores DNS , entre otros datos. Algo a tener en cuenta es que en la versión free está limitado hasta un cierto número de resultados, aunque es lo suficientemente grande para ejecutar las funcionalidades del software. Este tipo de información obtenida desde Internet es la que muchas veces los ciberdelincuentes usan para ataques de Ingeniería Social. Los invitamos, entonces, a probar la herramienta para que ustedes mismos puedan ver qué tan expuestos están en Internet y tomen las precauciones necesarias.
IACC- 2020
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de informática incluyendo los sistemas de información, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la información. Gracias a la auditoría de sistemas como alternativa de control, seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y segura, garantizando una adecuada toma de decisiones. En definitiva, el comportamiento de los sistemas de información frente al proceso de la auditoría informática se centra en: o La verificación de controles en el procesamiento de la información e instalación de sistemas, con el objetivo de evaluar su efectividad y presentar también alguna recomendación y consejo. o Verificar y juzgar de manera objetiva la información que maneja el sistema. o Examen y evaluación de los procesos en cuanto a informatización y trato de datos se refiere. Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso y su eficacia y eficiencia. El análisis y evaluación realizados a través de la auditoría de sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en cuanto a los procesos y la informatización se refiere, para tomar mejores decisiones. El proceso de auditoría debe permitir dentro del sistema de información lo siguiente: o Mejorar la relación coste-beneficio de los sistemas de información. o Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas informatizados. o Garantizar la confidencialidad e integridad a través de sistemas de seguridad y control profesionales. o Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo. o Optimizar y agilizar la toma de decisiones. o Educar sobre el control de los sistemas de información, puesto que se trata de un sector muy cambiante y relativamente nuevo, por lo que es preciso educar a los usuarios de estos procesos informatizados.