Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Revista Informatica Revista Informatica, Diapositivas de Informática

Revista InformaticaRevista InformaticaRevista Informatica

Tipo: Diapositivas

2019/2020

Subido el 19/05/2020

bruno-mj2-1
bruno-mj2-1 🇨🇷

2 documentos

1 / 17

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
HACKERS
edicion 01
La revista de ciberseguridad en español
HOME OFFICE
en tiempos de
COVID-19
Cuarentena &
Ciberseguridad
PENTESTING:
El qué y el cómo
¡Capacítate en
CUARENTENA!
HACKEO
a hoteles
MARRIOT
ZOOM
hackeado
whitesuithacking.com
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Vista previa parcial del texto

¡Descarga Revista Informatica Revista Informatica y más Diapositivas en PDF de Informática solo en Docsity!

HACKERS

edicion0 1

Larevistadeciberseguridadenespañol

HOMEOFFICE

entiemposde

COVID- 19

Cuarentena&

Ciberseguridad

PENTESTING:

Elquéyelcómo

¡Capacítateen

CUARENTENA!

HACKEO

ahoteles

MARRIOT

ZOOM

hackeado

whitesuithacking.com

Eldirectorde WhiteSuitHacking haceunllamadoalos directoresdelasempresasparadarellugarquecorres- pondealaseguridaddelainformación.Loanterior, considerandoqueesunerrorcomúnnoempoderar suficientementeal DirectordeSeguridad olimitarlo materialmenteconescasesderecursos.

MeMenncciioonnaatextualmente: “Aunqueseaelmejorprofesional deinformática,sinelpresupuestonecesariosuesfuerzoserá envano”.

Respectoalasacciones post-incidente, comentaque: “Estánreaccionandoadecuadamente.Reconocieronelerror ylocomunicarontanprontocomoellosdicenquesupieron quehabíanvulneradoasuscuentas.Además,pagaronun sseerrvviicciiopopaarraaqquuesesuusscclliieenntteessppuuddiieerraannrevisarsisuinforma- ciónestácomprometidayquépartedesuinformaciónse comprometió.”

Recordemosquemásalládelainformaciónensí,un ataquedeestevolumenaunaempresaprestigiosa implicauna exageradapérdidareputacional .Porlo anterior,esindispensableunbuenprotocolodemane- jjododececrriissiiss..

Noseconocenlasmedidasadoptadasalinterior,pero unabuenarutadeacciónsería:

ï Implementarunaauditoríaparadictaminarlas causasdelincidente.

ïEstrategiademejoramientodeseguridaddela información(hardening+mejorgobiernode sseegguurriiddaadd))

ïCapacitacionesperiódicasafuncionariosclaves.

Enopiniónde PabloGutiérrezSalazar, estosedebea unafallaenelprotocolodeseguridadderivadade: A) Noacatarestándaresinternacionaleso B) Notenerunapolíticade ciberseguridad.

Graciasaeso,profesionalesdel cibercrimen vulneraron lainformaciónde 5 .2millones declientesde Marriot.

PPaaraelataque,queinicióenenero,seutilizaroncre- dencialesdedosempleadosdelahotelera.Lainfor- maciónfiltradaesesencialmenteinformaciónprivada como:nombres,correos,teléfonos,dirección,fechasde nacimientoynombredelbancoenelquetienencuenta.

Sedicequenohanfiltradoaúnlainformacióndelas tarjetasdecrédito. Esainformaciónnormalmentese vvendeporcanalesilícitosyesposteriormenteutilizada pararobarsuidentidad(porejemplo,enpréstamosy altadecuentasbancarias)obienparaenviarles campañasde phishing oextorsióntelefónica.

¿Dequiéneslaculpa?

Laculpapuede A) Serdelusuariopornoestarbien educadoinformáticamente, B) DelJefedeSeguridad, ddeellCCIISSO,O,ddeellCCSSOO oeoengngeenneeraldelencargadodenor- matividaddelacompañíao C) DelConsejode Administración.

Porunlado,explicaelentrevistado: “Esciertoqueelgru- esodelapoblaciónnoestásuficientementeeducadopara identificarlasmáselementalestécnicasdehacking.Para mitigarlosriesgosbastaríacontenersuficientecuriosidad ppaarraaiinnffoormarsedeloqueloscibercriminaleshacenconma- yorfrecuencia.Porelladocorporativodebemosconsiderar algoquelosprofesionalesdelainformáticaconocemosbien: lasempresasnoconocenelvalordelaseguridaddesu información.”

“Esteataquenohasidoelúnicoaunacadena

hoteleragrandeynoseráelúltimo.

Ypensarquelasmultasmillonariasyel

costoreputacionalpudohaberse

prevenidoconunapequeñafracción

de susactualespérdidas”

N

a

t

u

r

a

l

e

z

a

d

e

l

a

s

C

R

I

P

T

O

MO

N

E

D

A

S

y

l

a

r

e

g

u

l

a

c

i

ó

n

d

e

L

O N

U

E

V

O

P

o

r

R

ig

o

b

e

r

t

oG

a

r

z

a

D

ir

e

c

t

o

r

J

u

r

íd

ic

o

d

e

Wh

it

e

S

u

it

H

a

c

k

in

g

rivacidad.

Lascriptomonedas,sonbienesde

cambioqueintegranunsistema

descentralizadoutilizandotecnología

criptográficaytienenmásde 1 1AÑOS

enelmercado.

ero¿quéesjurídicamente una criptomoneda ?Las criptomonedasson,sintanto rodeo,bienesmuebles.Elartículo 75 3delCódigoCivilFederal estable- celosiguiente:“ Artículo7 53. - Son mumueebblleessppoorrssununaattuuraleza,los cuerposquepuedentrasladarsede unlugaraotro,yasemuevanporsí mismos,yaporefectodeunafuerza exterior.”

Comosabemos,unacriptomoneda puedetrasladarsedeunacarteradi- ggiittaallaoaottra,medianteunafuerza exteriorqueeslasumadeuna cadenadebloques,lasredesyel sistemainformáticodetrás.Sieste fundamentonobastaraparacon- vencerle,leinvitoaconsiderarel artículosiguiente:“ Artículo7 59. - En ggeenneeral,sonbienesmuebles,todos losdemásnoconsideradosporla leycomoinmuebles.”

Alnoestarcomprendidodentrodel listadodispuestoporelartículo 750 delCódigoCivilFederal setieneque, jurídicamentelascriptomonedas ssoonbnbiieenneessmumueebblleess..SSiinenembmbaarrggoo,, lacategorizacióndeesteparticular biennosedetieneahí.

Esimportantemencionarque ademásdeserunbienmueble,es unbienfraccionable.Contrarioalas motocicletas,quetambiénson bbiieenneessmumueebblleess,,llaassccrriipptomonedas puedendividirsesinperdersuuso.

Quizásesaseaunadesusmayores virtudes.Lasmonedastradicionales solopuedenfraccionarseenpropor- ciónalamínimaunidadmonetaria encirculación.

EEll pesomexicano sólopuedefra- ccionarseefectivamenteporel

P

númerode_. 05_ ,pueslamínimaun- idadmonetariaencirculaciónesde cincocentavos.

Lautilidadprácticadedefiniruna cosadesdesuscategoríasjurídicas esindispensablesisepretende ccalcularsusventajasyriesgoslegales.

Porejemplo,deloanteriorsabemos que,sialguienseapoderadenues- trascriptomonedas,sinnuestro consentimiento,procederádenun- ciarleporroboynopordespojo.

Otroejemplopuedesereldelos ddronesylasprisiones. Unhelicóptero privadonopuedesobrevolar,auna alturamenordeXmetros,unapri- sión.Eldron,noporsernuevo, escapaalaregulacióndelaLeyde AviaciónCivil y,portanto,tampoco puedesobrevolarunaprisión.

PPaarafinalizarconlosejemplos,pro- pondréunodemayorinterésparael lector.¿Hackearunacuentade Facebookesilegal?Sibiennoexiste untipopenalqueestablezcaexplí- citamentequehackearunacuenta de Facebook esilegal,hacerloimpli- ccaríanecesariamentelacomisiónde otrasconductassítipificadascomo robo(decredencialesdeacceso), robodeidentidad,extorsión,fraude, etcétera.Existelatentación,antela llegadadeuninventodisruptivo,de asumirquesusconsecuenciasjurí- ddiicasnoseencuentranreguladas. Sinembargo,noesasí.Enlossiste- masromanogermánicoscasitodo encontraráregulación.Larazónes sencilla,laleyregulasujetosyno objetos.Porello,másalládelapro- liferacióndenuevosymodernos oobbjjeetos,lasaccioneshumanasse- guirán reguladas, hastaentantono surjannuevossujetosdederecho.

Asíquerecuerdatenercuidadolapróximavezquees- cojasunaplataformadevideoconferenciaymonitorea lasutilizadasportushijosparaevitarqueseanvíctimas dealgúnataqueatravésdelainseguridadde Zoom o bien,queveancontenidonobienvenidoensesiones privadas.

PPaabblloo agregóque Zoom noutilizacifradodepuntaa puntaensusvideos,ytécnicamentecualquieraque tengaaccesoalaconexión,incluyendoZoom, partners deZoom oquienestéenlaredpuedetener acceso a lasgrabacionesdecadasesión.

¿Sabíasquela

informaciónde

medioMILLÓN

decuentas

enZOOM

hackeadas

eessttáánn

disponibles

enla

DEEPWEB

pormenosde

uncentavo

d eDÓLAR

ccaaddauaunnaa??

PENTESTING

Alcanzandola DEFENSA pormediodel ATAQUE

PorRigobertoGarza/DirectorJurídicodeWhiteSuitHacking.

D

igamosqueustedfuesedueñodeunasucur- ssaallddebebaannca.Dentrodelagranvariedadde t temasqueleincumben,evidentementeuna d delaspreocupacionesmásrelevantesque tendrá,seráladelaseguridaddesubanco.Paraesta necesidad,ustedprobablementeadquieraguardiasde seguridad,vidriosblindados,cámarasCCTV,entreotras defensas.

SSiinenembmbaarrggoo,,ppeesseaeatodasestassolucionesdeseguri- dadqueadquirieron,undíasubancocaevíctimade un robonocturno. Ustedsólosedacuentaqueel ladrónlogróeludirtodoslossistemasdeseguridady salirseconlasuya.¿Cómopodráevitarseesto?Pues bien,aunqueexistaninnumerablesdefensasenel banco,losladrones,usandosupropiametodologíade aattaaqquueyeyssuuexperienciaprevia,siemprepodránconse- guiradaptarsealasdefensasycomoquieracometerel delito.

Pero,¿quépasaríasisetuvieralarara oportunidaddecontrataralladrón?

Imaginaqueelladrónvuelvaaplanearyejecutarun nuevo“robo”atubanco,conlapequeñaparticularidad dequealfinaldelrobo,envezdellevarseeldinero:re- gresealdíasiguienteparaentregarlealbancolo robadoyexplique,adetalle,cómolohizo.Pormedio deesaexplicación,elladrónpodráexponerlospeque- ñosdetallesqueidentificócomo vulnerabilidades entu ssiisstemadeseguridad.Mismasvulnerabilidadesque puedenserignoradaspordesconocimientodesuexis- tencia,peroquerepresentanlaoportunidadcrítica quepermitealladrónaccederalbancoyrobarlosintu conocimiento.

Enestecaso,seadquiriócapacidadde seguridadde- fensiva, alpermitirunataqueofensivoencontradetu banco.Esteeselprincipiodelas PruebasdePenetra- ción (Conocidasporsutérminoeninglés “Pentesting” ). Enestecomúnejerciciode ciberseguridad :tuinfraes- tructuracibernética(séaseunapáginaweb,unabase dedatosconinformaciónsensible,unaaplicación móvil,olascomputadorasqueutilizanlosempleados) sonrepresentadascomoelbanco.Elladrón,seríael hackerético quecontratasylapruebadepenetración eselrobo.

Dadoqueel ciberespacio esunadimensiónintangible sumamentedinámicayquerequieredeconocimiento altamenteespecializadoparadomar,sevuelvecada vezmásdifícilquelasorganizacionesseencuentren totalmenteconscientesdelasvulnerabilidadespresen- tesensuinfraestructuradigital.Porloanterior,éstasse encuentranconlanecesidadderecurrircon hackers ééttiicosparaque “ataquen” sussistemasenarasde identificarlasvulnerabilidadescríticasquetienen.

Unavezqueelhackersabecualserálavulnerabilidad máscríticayfácildeexplotar: ataca .Aestoselellama explotaciónylepermitealhacker“acceder”o“vulnerar” elactivo.Pues,cuandosetratadeunataquequebusca sustraerinformaciónomodificarlafuncionalidaddel activo,nobastaconsimplemente“tumbarlo”.Estosería equiparableconquererrobarunbanco,peroparaha- ccerloselelanzaráunabombamilitaralasucursal física:ladestructividadnoesnecesariamentepartedel objetivo. Yaquesehaexplotadoelobjetivoysehaaccedidoal activosiguenlaetapadepost-explotaciónenlacual,el hacker sedalatareadever“quépuedohacer”yaseac- cedióalobjetivo,peroaunnosesabequenivelde podertieneeseaccesoqueobtuvoel hacker ,sisetrata- radebancaenlínea:sepodríancontemplarloshipoté- ticosde:robodedinero,modificacióndeinformación deusuarios,robodeidentidaddeusuarios,cambiode privilegiosdeadministrador,entreotras. Alfinalizaresto,elhacker(aquelloséticosquetrabajan bajocontrato)realizaunreportajeintegrodetodoslos pasosquesiguióparavulnerarelactivoyledemuestra asuempresaclientecómofue,queelladrónrobóel banco.Asímismo,muchasveceselproveedordelpen- test(comoloesenelcasodeWhiteSuitHacking) puedeofrecerlealclienteencargarsedeltemade remediación.Locualserefiere,alprocesoporelcual, posterioraidentificarlasvulnerabilidadescríticasenel activodelcliente,serealizaun“parcheo”yunareconfi- guracióndeseguridad,lacual,blindelosriesgosidenti- ficadospormediodelpentest. Esimportantetambiénmencionarqueun pentest se puederealizarentresdiferentesversiones.Cajanegra, cajagris,ocajablanca.Estoserefierealniveldeinfor- maciónoayudaqueserecibedepartedelclientepara realizarelataque.

EEnununanattaaqquueeeenmonmoddaalliiddaadd cajanegra ,elhackercon- tratadonorecibeningúntipodeinformaciónoapoyo departedelcliente,essimpleysencillamenteun ataquegeneradodesdecero.Enlamodalidad cajagris , elhackerrecibeunpocodeinformacióncontextualdel clienteydelosobjetivosaatacar.Comúnmente,se puedetratardelasdireccionesIPdelosactivosyun mémétododeaccesoalaredendondeseencuentranlos activos(tradicionalmentepormedioderedesprivadas virtuales,oconocidasporsussiglaseninglés:VPNs).

En cajablanca ,el hacker recibeamplioaccesoalainfor- macióninternadelclientequepuedeservirdeayuda ensuataque,porejemplo:lascredencialesdeacceso (usuarioycontraseña)alosactivosobjetivo.Dichasmo- dalidadesexistenconelobjetivodesimularunataque cibernéticoconayudainterna.Puessiempreexistela posibilidadqueelladróndelbancotieneinformación privilegiadagraciasaundelincuenteinfiltradocomo empleado.

También,existenloscasosdeempresasquetienenun sistemadeciberseguridadbastanterobusto,porloque seríaimposibleunataquecibernéticoexitososinayuda interna,estoeselcasodelagranmayoríadelasinstitu- cionesfinancieras.

¿Quéleconvendríaamiempresa,unAnálisisdevulnera- bilidadesounPentest?

Lasdiferenciasentreunanálisisdevulnerabilidades (AV)yunpentestsonbastanteevidentes.Ambosservi- ciossiguenlamismametodología,peroelAVsolamen- tellegaalpasodeidentificarycatalogarvulnerabilida- desenvezdeexplotarlas,mientrasqueel pentest esli- teralmenteunapenetracióndelactivoobjetivo.Pesea queestosserviciospuedenparecerqueproveenel mismovalor,larealidadesotra.Existenempresasque porrequerimientolegaloporsunaturalezasonreque- ridasaalcanzarelnivelmáximodeseguridaddelain- formación,elcualimplicalanecesidadde pentests ruti- nariosdondeseejerceestrésytensiónsobrelossiste- masomecanismosdedefensaexistentes,paraverqué tandurablesson.Asímismo,enun pentest ,porel simplehechodetenerunainteracciónagresivaconel activo,puedensalirvulnerabilidadessecundariasque noseanidentificadasfácilmentepormediodeunAV. Encambio,empresasqueaúnnoestándeltodoletra- daseneltemadeciberseguridadyestáncomenzando aadentrarseeneltema,podríanadquirirmayorvalor deunAVqueunaempresaexperimentadaqueya conduce pentests recurrentemente.

N

¿Teinteresaaprenderde

CIBERSEGURIDAD, ytienes

tiempolibre durantela

épocade COVID- 19?

oessecretoqueestaépocade cuarentena n noshapegadoatodosdedistintasmaneras: ll llaaaamemennazadelaenfermedad,elconfina- i mientoobligatorio,laincertidumbreeconómi- caypolítica,entreotrascosas.Noobstante,también nosdaunararayúnicaoportunidad:hacerusode nuestrotiempolibrecomoqueramosdesdecasa. Muchaspersonasvivenenundíaadíamuyajetreado, sinteneroportunidaddedarseundescansoounrespi- ro.Sinembargo,estaépocadecuarentenanoshaobli- gadoadesacelerarnuestrarutinadiariayadoptarun estilodistintodevida,elcual,puedevenirincluidocon ampliotiempolibre.

Porende,siacasodestacatuinterésporeltemadela Ciberseguridad ,la cuarentena presentalaoportunidad peculiardehacerusodetutiempoparaaprender acercadeestanuevaramanovedosa(yconaltovaloren elcampolaboral)delascienciascomputacionales. Paraello, WhiteSuitHacking (WSH)ponelasiguiente ofertaatudisposición: PPoorreennddee,,ssiiaacasodestacatuinterésporeltemadela Ciberseguridad,lacuarentenapresentalaoportunidad peculiardehacerusodetutiempoparaaprender acercadeestanuevaramanovedosa(yconaltovaloren elcampolaboral)delascienciascomputacionales.

CAPACITACIONES

¿¿Tegustaríacapacitartepormediodeleccionesen líneaconinstructoresampliamenteexperimentados ensusenseñanzas? WSH telopuedeofrecer.Almo- mentoactualcontamoscontrescapacitacionesespe- cializadasquepuedenentrenarteparaquete conviertasenunprofesionaldelaseguridaddelain- formación. Porende,siacasodestacatuinterésporeltemadela Ciberseguridad,lacuarentenapresentalaoportuni- dadpeculiardehacerusodetutiempoparaaprender

Esuncampo NUEVO

conmuchofuturo

Hay ALTA demanda

laboralypocaoferta

Oportunidadpara

laborarenel

EXTRANJERO

UUnnododeleloossccaampmpooss

con MEJOR paga

HACKERS 12

LIBROS

Sieresalguienqueprefiereel autoaprendizaje yllevartu propioritmodeentendimiento,seguramenteencontrarás interésenloslibrosqueofrece WSH :

Hacker’sWhiteBook: CómoconvertirteenunHackerprofesional

EEllHacker’sWhiteBooko “Ellibroblancodelhacker” ,esel best- seller internacional,ydeloslibrosmascompletos,actualiza- dosyreconocidosdeltemaescritoenespañol,noexiste ningúnlibromascompletoparainiciarteenlaciberseguri- daddesdecero,además,esellibroqueseutilizacomoel materialdidácticoparalacertificación G.H.O.S.T .,fueescrito por PabloGutiérrez ,f undadoryDirectorGeneral de WhiteSuit Hacking .Estelibrodetallalametodologíaquesesigueen pentesting :Reconocimiento,AnálisisdeVulnerabilidades,Ex- plotación,Post-explotaciónyReportaje,ademásdevarios casosdeestudio.Asímismo,ellibroahondaenlasherra- mientasquesenecesitandominarparaserunhackerprofe- sionalefectivo.Inclusive,setocantemascomoloshackeos recurrentes,metodologíasdehackeoa softwares deuso diariocomolopudieraser Whatsapp ylateoríadetrásde todoesto.

Esimportantedestacarqueelconocimientoqueadquieras enestelibrodebeserutilizadodeformaética,yque WSH no sehaceresponsableporelmalusodedicho

Ligaallibro: https://bit.ly/ 2 WD 2 SpP

Viernes 1 5demayo

11 : 0 0am –Crónicadeunhacker ético:Cómodetenerauncibercri- minal- PabloGutiérrez

1 pm –Desarrollosegurovscibercri- minales– RodrigoMartínez

04 : 0 0pm –HackersenCasa- RodrigoMartínez

06 : 0 0pm –Leyesquetodohacker debeconocer- RigobertoGarza

Sábado16demayo

11 : 0 0am –InformáticaForense- LuisTorres

0033 :: 00 0p0pm -m -Q&Q&AA,,pprreeppaaraciónpara laOSCP- LuisElizondo& “Takito”

05 : 0 0pm –Homeofficeseguro– BryanLópez

06 : 3 0pm –Datospersonalesenpe- ligroenlacuarentena- JaimePrieto

Domingo17demayo

11 : 0 0am –Crónicadeuncibercri- men,comounhackersesaleconla suya- PabloGutiérrez

04 : 0 0pm –Teletrabajoseguroen tiemposdeCOVID- 1 9- DavidDimas

06 : 0 0pm –GuerraFría2. 0 : Unalecturadelaciberseguridad desdelaperspectivainternacional- CristóbalCárdenas

Ligaderegistro: https://bit.ly/ 3 bfIrVs

WEBINARS

AAllddaarrssececuueennttaa WhiteSuitHacking delagrancantidad deinterésquehayacercadeltemade ciberseguridad , asícomoelbajoconocimientoqueexistealrespecto delmismo.Determinóofrecerseminariosespecializa- dosacercadetemáticasatractivasdeseguridaddela informacióndeformagratuitadurantelaépocadela pandemia COVID- 19 enel 2020 .Estasconferenciasson vvariadasennaturaleza,algunasiendoampliamente técnicas,mientrasqueotrasestándiseñadaspara atraeraestudiantesreciéningresadosaestaramade lasTecnologíasdelaInformación. WSH creequeestaes unaformaenlaquelepuedeproveeravalora México y almundoduranteestostiemposretadores,creando contenidoyfomentandolaconcientizacióndelagran rreellevanciaquejuegala ciberseguridad enlasociedad moderna.

Acontinuación,semuestranloshorariosyponentesde lostemasqueseestaránimpartiendopormediode estos webinars :