









Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Revista InformaticaRevista InformaticaRevista Informatica
Tipo: Diapositivas
1 / 17
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!










PENTESTING:
Elquéyelcómo
¡Capacítateen
CUARENTENA!
Eldirectorde WhiteSuitHacking haceunllamadoalos directoresdelasempresasparadarellugarquecorres- pondealaseguridaddelainformación.Loanterior, considerandoqueesunerrorcomúnnoempoderar suficientementeal DirectordeSeguridad olimitarlo materialmenteconescasesderecursos.
MeMenncciioonnaatextualmente: “Aunqueseaelmejorprofesional deinformática,sinelpresupuestonecesariosuesfuerzoserá envano”.
Respectoalasacciones post-incidente, comentaque: “Estánreaccionandoadecuadamente.Reconocieronelerror ylocomunicarontanprontocomoellosdicenquesupieron quehabíanvulneradoasuscuentas.Además,pagaronun sseerrvviicciiopopaarraaqquuesesuusscclliieenntteessppuuddiieerraannrevisarsisuinforma- ciónestácomprometidayquépartedesuinformaciónse comprometió.”
Recordemosquemásalládelainformaciónensí,un ataquedeestevolumenaunaempresaprestigiosa implicauna exageradapérdidareputacional .Porlo anterior,esindispensableunbuenprotocolodemane- jjododececrriissiiss..
Noseconocenlasmedidasadoptadasalinterior,pero unabuenarutadeacciónsería:
ï Implementarunaauditoríaparadictaminarlas causasdelincidente.
ïEstrategiademejoramientodeseguridaddela información(hardening+mejorgobiernode sseegguurriiddaadd))
ïCapacitacionesperiódicasafuncionariosclaves.
Enopiniónde PabloGutiérrezSalazar, estosedebea unafallaenelprotocolodeseguridadderivadade: A) Noacatarestándaresinternacionaleso B) Notenerunapolíticade ciberseguridad.
Graciasaeso,profesionalesdel cibercrimen vulneraron lainformaciónde 5 .2millones declientesde Marriot.
PPaaraelataque,queinicióenenero,seutilizaroncre- dencialesdedosempleadosdelahotelera.Lainfor- maciónfiltradaesesencialmenteinformaciónprivada como:nombres,correos,teléfonos,dirección,fechasde nacimientoynombredelbancoenelquetienencuenta.
Sedicequenohanfiltradoaúnlainformacióndelas tarjetasdecrédito. Esainformaciónnormalmentese vvendeporcanalesilícitosyesposteriormenteutilizada pararobarsuidentidad(porejemplo,enpréstamosy altadecuentasbancarias)obienparaenviarles campañasde phishing oextorsióntelefónica.
Laculpapuede A) Serdelusuariopornoestarbien educadoinformáticamente, B) DelJefedeSeguridad, ddeellCCIISSO,O,ddeellCCSSOO oeoengngeenneeraldelencargadodenor- matividaddelacompañíao C) DelConsejode Administración.
Porunlado,explicaelentrevistado: “Esciertoqueelgru- esodelapoblaciónnoestásuficientementeeducadopara identificarlasmáselementalestécnicasdehacking.Para mitigarlosriesgosbastaríacontenersuficientecuriosidad ppaarraaiinnffoormarsedeloqueloscibercriminaleshacenconma- yorfrecuencia.Porelladocorporativodebemosconsiderar algoquelosprofesionalesdelainformáticaconocemosbien: lasempresasnoconocenelvalordelaseguridaddesu información.”
“Esteataquenohasidoelúnicoaunacadena
hoteleragrandeynoseráelúltimo.
Ypensarquelasmultasmillonariasyel
costoreputacionalpudohaberse
prevenidoconunapequeñafracción
de susactualespérdidas”
N
a
t
u
r
a
l
e
z
a
d
e
l
a
s
C
R
I
P
T
O
MO
N
E
D
A
S
y
l
a
r
e
g
u
l
a
c
i
ó
n
d
e
”
L
O N
U
E
V
O
”
Lascriptomonedas,sonbienesde
cambioqueintegranunsistema
descentralizadoutilizandotecnología
criptográficaytienenmásde 1 1AÑOS
enelmercado.
ero¿quéesjurídicamente una criptomoneda ?Las criptomonedasson,sintanto rodeo,bienesmuebles.Elartículo 75 3delCódigoCivilFederal estable- celosiguiente:“ Artículo7 53. - Son mumueebblleessppoorrssununaattuuraleza,los cuerposquepuedentrasladarsede unlugaraotro,yasemuevanporsí mismos,yaporefectodeunafuerza exterior.”
Comosabemos,unacriptomoneda puedetrasladarsedeunacarteradi- ggiittaallaoaottra,medianteunafuerza exteriorqueeslasumadeuna cadenadebloques,lasredesyel sistemainformáticodetrás.Sieste fundamentonobastaraparacon- vencerle,leinvitoaconsiderarel artículosiguiente:“ Artículo7 59. - En ggeenneeral,sonbienesmuebles,todos losdemásnoconsideradosporla leycomoinmuebles.”
Alnoestarcomprendidodentrodel listadodispuestoporelartículo 750 delCódigoCivilFederal setieneque, jurídicamentelascriptomonedas ssoonbnbiieenneessmumueebblleess..SSiinenembmbaarrggoo,, lacategorizacióndeesteparticular biennosedetieneahí.
Esimportantemencionarque ademásdeserunbienmueble,es unbienfraccionable.Contrarioalas motocicletas,quetambiénson bbiieenneessmumueebblleess,,llaassccrriipptomonedas puedendividirsesinperdersuuso.
Quizásesaseaunadesusmayores virtudes.Lasmonedastradicionales solopuedenfraccionarseenpropor- ciónalamínimaunidadmonetaria encirculación.
EEll pesomexicano sólopuedefra- ccionarseefectivamenteporel
P
númerode_. 05_ ,pueslamínimaun- idadmonetariaencirculaciónesde cincocentavos.
Lautilidadprácticadedefiniruna cosadesdesuscategoríasjurídicas esindispensablesisepretende ccalcularsusventajasyriesgoslegales.
Porejemplo,deloanteriorsabemos que,sialguienseapoderadenues- trascriptomonedas,sinnuestro consentimiento,procederádenun- ciarleporroboynopordespojo.
Otroejemplopuedesereldelos ddronesylasprisiones. Unhelicóptero privadonopuedesobrevolar,auna alturamenordeXmetros,unapri- sión.Eldron,noporsernuevo, escapaalaregulacióndelaLeyde AviaciónCivil y,portanto,tampoco puedesobrevolarunaprisión.
PPaarafinalizarconlosejemplos,pro- pondréunodemayorinterésparael lector.¿Hackearunacuentade Facebookesilegal?Sibiennoexiste untipopenalqueestablezcaexplí- citamentequehackearunacuenta de Facebook esilegal,hacerloimpli- ccaríanecesariamentelacomisiónde otrasconductassítipificadascomo robo(decredencialesdeacceso), robodeidentidad,extorsión,fraude, etcétera.Existelatentación,antela llegadadeuninventodisruptivo,de asumirquesusconsecuenciasjurí- ddiicasnoseencuentranreguladas. Sinembargo,noesasí.Enlossiste- masromanogermánicoscasitodo encontraráregulación.Larazónes sencilla,laleyregulasujetosyno objetos.Porello,másalládelapro- liferacióndenuevosymodernos oobbjjeetos,lasaccioneshumanasse- guirán reguladas, hastaentantono surjannuevossujetosdederecho.
Asíquerecuerdatenercuidadolapróximavezquees- cojasunaplataformadevideoconferenciaymonitorea lasutilizadasportushijosparaevitarqueseanvíctimas dealgúnataqueatravésdelainseguridadde Zoom o bien,queveancontenidonobienvenidoensesiones privadas.
PPaabblloo agregóque Zoom noutilizacifradodepuntaa puntaensusvideos,ytécnicamentecualquieraque tengaaccesoalaconexión,incluyendoZoom, partners deZoom oquienestéenlaredpuedetener acceso a lasgrabacionesdecadasesión.
¿Sabíasquela
informaciónde
medioMILLÓN
decuentas
enZOOM
hackeadas
eessttáánn
disponibles
enla
DEEPWEB
pormenosde
uncentavo
d eDÓLAR
ccaaddauaunnaa??
PENTESTING
Alcanzandola DEFENSA pormediodel ATAQUE
D
igamosqueustedfuesedueñodeunasucur- ssaallddebebaannca.Dentrodelagranvariedadde t temasqueleincumben,evidentementeuna d delaspreocupacionesmásrelevantesque tendrá,seráladelaseguridaddesubanco.Paraesta necesidad,ustedprobablementeadquieraguardiasde seguridad,vidriosblindados,cámarasCCTV,entreotras defensas.
SSiinenembmbaarrggoo,,ppeesseaeatodasestassolucionesdeseguri- dadqueadquirieron,undíasubancocaevíctimade un robonocturno. Ustedsólosedacuentaqueel ladrónlogróeludirtodoslossistemasdeseguridady salirseconlasuya.¿Cómopodráevitarseesto?Pues bien,aunqueexistaninnumerablesdefensasenel banco,losladrones,usandosupropiametodologíade aattaaqquueyeyssuuexperienciaprevia,siemprepodránconse- guiradaptarsealasdefensasycomoquieracometerel delito.
Pero,¿quépasaríasisetuvieralarara oportunidaddecontrataralladrón?
Imaginaqueelladrónvuelvaaplanearyejecutarun nuevo“robo”atubanco,conlapequeñaparticularidad dequealfinaldelrobo,envezdellevarseeldinero:re- gresealdíasiguienteparaentregarlealbancolo robadoyexplique,adetalle,cómolohizo.Pormedio deesaexplicación,elladrónpodráexponerlospeque- ñosdetallesqueidentificócomo vulnerabilidades entu ssiisstemadeseguridad.Mismasvulnerabilidadesque puedenserignoradaspordesconocimientodesuexis- tencia,peroquerepresentanlaoportunidadcrítica quepermitealladrónaccederalbancoyrobarlosintu conocimiento.
Enestecaso,seadquiriócapacidadde seguridadde- fensiva, alpermitirunataqueofensivoencontradetu banco.Esteeselprincipiodelas PruebasdePenetra- ción (Conocidasporsutérminoeninglés “Pentesting” ). Enestecomúnejerciciode ciberseguridad :tuinfraes- tructuracibernética(séaseunapáginaweb,unabase dedatosconinformaciónsensible,unaaplicación móvil,olascomputadorasqueutilizanlosempleados) sonrepresentadascomoelbanco.Elladrón,seríael hackerético quecontratasylapruebadepenetración eselrobo.
Dadoqueel ciberespacio esunadimensiónintangible sumamentedinámicayquerequieredeconocimiento altamenteespecializadoparadomar,sevuelvecada vezmásdifícilquelasorganizacionesseencuentren totalmenteconscientesdelasvulnerabilidadespresen- tesensuinfraestructuradigital.Porloanterior,éstasse encuentranconlanecesidadderecurrircon hackers ééttiicosparaque “ataquen” sussistemasenarasde identificarlasvulnerabilidadescríticasquetienen.
Unavezqueelhackersabecualserálavulnerabilidad máscríticayfácildeexplotar: ataca .Aestoselellama explotaciónylepermitealhacker“acceder”o“vulnerar” elactivo.Pues,cuandosetratadeunataquequebusca sustraerinformaciónomodificarlafuncionalidaddel activo,nobastaconsimplemente“tumbarlo”.Estosería equiparableconquererrobarunbanco,peroparaha- ccerloselelanzaráunabombamilitaralasucursal física:ladestructividadnoesnecesariamentepartedel objetivo. Yaquesehaexplotadoelobjetivoysehaaccedidoal activosiguenlaetapadepost-explotaciónenlacual,el hacker sedalatareadever“quépuedohacer”yaseac- cedióalobjetivo,peroaunnosesabequenivelde podertieneeseaccesoqueobtuvoel hacker ,sisetrata- radebancaenlínea:sepodríancontemplarloshipoté- ticosde:robodedinero,modificacióndeinformación deusuarios,robodeidentidaddeusuarios,cambiode privilegiosdeadministrador,entreotras. Alfinalizaresto,elhacker(aquelloséticosquetrabajan bajocontrato)realizaunreportajeintegrodetodoslos pasosquesiguióparavulnerarelactivoyledemuestra asuempresaclientecómofue,queelladrónrobóel banco.Asímismo,muchasveceselproveedordelpen- test(comoloesenelcasodeWhiteSuitHacking) puedeofrecerlealclienteencargarsedeltemade remediación.Locualserefiere,alprocesoporelcual, posterioraidentificarlasvulnerabilidadescríticasenel activodelcliente,serealizaun“parcheo”yunareconfi- guracióndeseguridad,lacual,blindelosriesgosidenti- ficadospormediodelpentest. Esimportantetambiénmencionarqueun pentest se puederealizarentresdiferentesversiones.Cajanegra, cajagris,ocajablanca.Estoserefierealniveldeinfor- maciónoayudaqueserecibedepartedelclientepara realizarelataque.
EEnununanattaaqquueeeenmonmoddaalliiddaadd cajanegra ,elhackercon- tratadonorecibeningúntipodeinformaciónoapoyo departedelcliente,essimpleysencillamenteun ataquegeneradodesdecero.Enlamodalidad cajagris , elhackerrecibeunpocodeinformacióncontextualdel clienteydelosobjetivosaatacar.Comúnmente,se puedetratardelasdireccionesIPdelosactivosyun mémétododeaccesoalaredendondeseencuentranlos activos(tradicionalmentepormedioderedesprivadas virtuales,oconocidasporsussiglaseninglés:VPNs).
En cajablanca ,el hacker recibeamplioaccesoalainfor- macióninternadelclientequepuedeservirdeayuda ensuataque,porejemplo:lascredencialesdeacceso (usuarioycontraseña)alosactivosobjetivo.Dichasmo- dalidadesexistenconelobjetivodesimularunataque cibernéticoconayudainterna.Puessiempreexistela posibilidadqueelladróndelbancotieneinformación privilegiadagraciasaundelincuenteinfiltradocomo empleado.
También,existenloscasosdeempresasquetienenun sistemadeciberseguridadbastanterobusto,porloque seríaimposibleunataquecibernéticoexitososinayuda interna,estoeselcasodelagranmayoríadelasinstitu- cionesfinancieras.
¿Quéleconvendríaamiempresa,unAnálisisdevulnera- bilidadesounPentest?
Lasdiferenciasentreunanálisisdevulnerabilidades (AV)yunpentestsonbastanteevidentes.Ambosservi- ciossiguenlamismametodología,peroelAVsolamen- tellegaalpasodeidentificarycatalogarvulnerabilida- desenvezdeexplotarlas,mientrasqueel pentest esli- teralmenteunapenetracióndelactivoobjetivo.Pesea queestosserviciospuedenparecerqueproveenel mismovalor,larealidadesotra.Existenempresasque porrequerimientolegaloporsunaturalezasonreque- ridasaalcanzarelnivelmáximodeseguridaddelain- formación,elcualimplicalanecesidadde pentests ruti- nariosdondeseejerceestrésytensiónsobrelossiste- masomecanismosdedefensaexistentes,paraverqué tandurablesson.Asímismo,enun pentest ,porel simplehechodetenerunainteracciónagresivaconel activo,puedensalirvulnerabilidadessecundariasque noseanidentificadasfácilmentepormediodeunAV. Encambio,empresasqueaúnnoestándeltodoletra- daseneltemadeciberseguridadyestáncomenzando aadentrarseeneltema,podríanadquirirmayorvalor deunAVqueunaempresaexperimentadaqueya conduce pentests recurrentemente.
N
oessecretoqueestaépocade cuarentena n noshapegadoatodosdedistintasmaneras: ll llaaaamemennazadelaenfermedad,elconfina- i mientoobligatorio,laincertidumbreeconómi- caypolítica,entreotrascosas.Noobstante,también nosdaunararayúnicaoportunidad:hacerusode nuestrotiempolibrecomoqueramosdesdecasa. Muchaspersonasvivenenundíaadíamuyajetreado, sinteneroportunidaddedarseundescansoounrespi- ro.Sinembargo,estaépocadecuarentenanoshaobli- gadoadesacelerarnuestrarutinadiariayadoptarun estilodistintodevida,elcual,puedevenirincluidocon ampliotiempolibre.
Porende,siacasodestacatuinterésporeltemadela Ciberseguridad ,la cuarentena presentalaoportunidad peculiardehacerusodetutiempoparaaprender acercadeestanuevaramanovedosa(yconaltovaloren elcampolaboral)delascienciascomputacionales. Paraello, WhiteSuitHacking (WSH)ponelasiguiente ofertaatudisposición: PPoorreennddee,,ssiiaacasodestacatuinterésporeltemadela Ciberseguridad,lacuarentenapresentalaoportunidad peculiardehacerusodetutiempoparaaprender acercadeestanuevaramanovedosa(yconaltovaloren elcampolaboral)delascienciascomputacionales.
¿¿Tegustaríacapacitartepormediodeleccionesen líneaconinstructoresampliamenteexperimentados ensusenseñanzas? WSH telopuedeofrecer.Almo- mentoactualcontamoscontrescapacitacionesespe- cializadasquepuedenentrenarteparaquete conviertasenunprofesionaldelaseguridaddelain- formación. Porende,siacasodestacatuinterésporeltemadela Ciberseguridad,lacuarentenapresentalaoportuni- dadpeculiardehacerusodetutiempoparaaprender
LIBROS
Sieresalguienqueprefiereel autoaprendizaje yllevartu propioritmodeentendimiento,seguramenteencontrarás interésenloslibrosqueofrece WSH :
Hacker’sWhiteBook: CómoconvertirteenunHackerprofesional
EEllHacker’sWhiteBooko “Ellibroblancodelhacker” ,esel best- seller internacional,ydeloslibrosmascompletos,actualiza- dosyreconocidosdeltemaescritoenespañol,noexiste ningúnlibromascompletoparainiciarteenlaciberseguri- daddesdecero,además,esellibroqueseutilizacomoel materialdidácticoparalacertificación G.H.O.S.T .,fueescrito por PabloGutiérrez ,f undadoryDirectorGeneral de WhiteSuit Hacking .Estelibrodetallalametodologíaquesesigueen pentesting :Reconocimiento,AnálisisdeVulnerabilidades,Ex- plotación,Post-explotaciónyReportaje,ademásdevarios casosdeestudio.Asímismo,ellibroahondaenlasherra- mientasquesenecesitandominarparaserunhackerprofe- sionalefectivo.Inclusive,setocantemascomoloshackeos recurrentes,metodologíasdehackeoa softwares deuso diariocomolopudieraser Whatsapp ylateoríadetrásde todoesto.
Esimportantedestacarqueelconocimientoqueadquieras enestelibrodebeserutilizadodeformaética,yque WSH no sehaceresponsableporelmalusodedicho
Ligaallibro: https://bit.ly/ 2 WD 2 SpP
11 : 0 0am –Crónicadeunhacker ético:Cómodetenerauncibercri- minal- PabloGutiérrez
1 pm –Desarrollosegurovscibercri- minales– RodrigoMartínez
04 : 0 0pm –HackersenCasa- RodrigoMartínez
06 : 0 0pm –Leyesquetodohacker debeconocer- RigobertoGarza
11 : 0 0am –InformáticaForense- LuisTorres
0033 :: 00 0p0pm -m -Q&Q&AA,,pprreeppaaraciónpara laOSCP- LuisElizondo& “Takito”
05 : 0 0pm –Homeofficeseguro– BryanLópez
06 : 3 0pm –Datospersonalesenpe- ligroenlacuarentena- JaimePrieto
11 : 0 0am –Crónicadeuncibercri- men,comounhackersesaleconla suya- PabloGutiérrez
04 : 0 0pm –Teletrabajoseguroen tiemposdeCOVID- 1 9- DavidDimas
06 : 0 0pm –GuerraFría2. 0 : Unalecturadelaciberseguridad desdelaperspectivainternacional- CristóbalCárdenas
Ligaderegistro: https://bit.ly/ 3 bfIrVs
WEBINARS
AAllddaarrssececuueennttaa WhiteSuitHacking delagrancantidad deinterésquehayacercadeltemade ciberseguridad , asícomoelbajoconocimientoqueexistealrespecto delmismo.Determinóofrecerseminariosespecializa- dosacercadetemáticasatractivasdeseguridaddela informacióndeformagratuitadurantelaépocadela pandemia COVID- 19 enel 2020 .Estasconferenciasson vvariadasennaturaleza,algunasiendoampliamente técnicas,mientrasqueotrasestándiseñadaspara atraeraestudiantesreciéningresadosaestaramade lasTecnologíasdelaInformación. WSH creequeestaes unaformaenlaquelepuedeproveeravalora México y almundoduranteestostiemposretadores,creando contenidoyfomentandolaconcientizacióndelagran rreellevanciaquejuegala ciberseguridad enlasociedad moderna.
Acontinuación,semuestranloshorariosyponentesde lostemasqueseestaránimpartiendopormediode estos webinars :