Ilovepdf Merged

SEGURIDAD INFORMÁTICA
Unidad 1
Introducción a la Seguridad Informática
Tema 4
Hacking Ético
Ing. Loyola Romero Carlos Andres, Mgti.

Objetivo
Proporcionar una descripción general del hacking ético,
por qué el hacking ético es necesario, el alcance y las
limitaciones del hacking ético y las habilidades de un
hacker ético.
Introducción
Un hacker ético sigue procesos similares a los de un
hacker malicioso. Los pasos para obtener y mantener el
acceso a un sistema informático son similares,
independientemente de las intenciones del hacker.
Subtemas
» Subtemas:
1. Introducción
2. Fases
3. Gestión de riesgos
4. Leyes y estándares de seguridad de la
información
Actividad de Inicio
Preguntas y Respuestas
Tema 4: Hacking Ético
El hacking ético es la práctica de emplear habilidades
informáticas y de redes para ayudar a las organizaciones a
probar la seguridad de su red en busca de posibles
lagunas y vulnerabilidades.
los activos más valiosos que poseen las empresas son los
activos intelectuales y, por lo tanto, deben protegerse de
amenazas externas y fortalecerse para eliminar todas las
vulnerabilidades potenciales que pueden causar ataques
a las redes de la empresa.
Subtema 1: Introducción
SOMBREROS NEGROS (BLACK HATS)
SOMBREROS BLANCOS (WHITE HATS)
SOMBREROS GRISES (GRAY HATS)
HACKERS SUICIDAS (SUICIDE HACKERS)
CIBERTERRORISTAS (CYBER TERRORISTS)
HACKTIVIST
Subtema 2: Fases
FASES
• Reconocimiento
• Escaneo y enumeración
• Obtener acceso
• Mantener acceso
• Limpiar rastro
Subtema 3: Gestión de riesgo
Objetivo
• Es el proceso de identificar, evaluar,

responder e implementar las
actividades que controlan cómo la
organización gestiona los efectos
potenciales del riesgo.
• Los tipos de riesgos varían de una
organización a otra, pero el acto de
preparar un plan de gestión de
riesgos es común a todas las
organizaciones (EC‐COUNCIL, 2020).
Subtema 3: Gestión de riesgo
Identificación del riego
Evaluación del riesgo
Tratamiento del riesgo
Seguimiento y revisión del riesgo

Subtema 4: Leyes y Estándares de Seguridad de la Información
ISO/CEI 27001
especifica los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de
gestión de seguridad de la información dentro del
contexto de una organización. incluye requisitos para la
evaluación y el tratamiento de los riesgos de seguridad
de la información adaptados a las necesidades de la
organización (ISO, 2021).
Bibliografía
» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and Beyond. Sixth Edition ed.
New York: McGraw Hill.
» Conteh, N. Y., 2021. Ethical Hacking Techniques and Countermeasures for Cybercrime Prevention. Hershey:
IGI Global.
» EC‐Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through 4 ed. Albuquerque: EC‐
Council.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security Principles, Algorithm,
Applications, and Perspectives. Boca Raton: Taylor & Francis Group, LLC.
» Rains, T., 2020. Cybersecurity Threats, Malware Trends, and Strategies. Birmingham: Packt Publishing.
» Rasner, G. C., 2021. Cybersecurity and Third‐Party Risk. Third Party Threat Hunting ed. New Jersey: John
Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New Jersey: Pearson Education,
Inc.
Unidad 2
Seguridad física y lógica
Tema 1
Seguridad Física
Ing. Loyola Romero Carlos Andres, Mgti.

Objetivo
Disminuir el riesgo para los marcos de datos y la
información.
Introducción
Los modelos de control de seguridad física deben incluir
desde seguridad en accesos de entrada y salida a las
diferentes áreas de la misma.
Subtemas
» Subtemas:
1. Controles de presencia y acceso
2. Técnicas y tipos de ingeniería social
3. Herramientas de ingeniería social
4. Contramedidas de ingeniería social
Actividad de Inicio
Preguntas y Respuestas
SUBTEMA 1: Controles de presencia y acceso
• Guardias de seguridad
• CCTV (circuito cerrado de televisión)
• Control de puertas
Son solo algunos ejemplos de seguridad física.
LAS EMPRESAS PODRÍAN EVITAR LA PÉRDIDA

DE DATOS EMPLEANDO ESTOS PROCESOS
SUBTEMA 1: Controles de presencia y acceso
La información confidencial también se puede encontrar en:
• Documentos impresos
• Facturas
• Informes de trabajo
LAS MEDIDAS DE CONTROL DE ACCESO, LE PERMITEN MONITOREAR

QUIÉN ESTÁ EN SU ESPACIO Y DÓNDE ESTÁN CONSTANTEMENTE.
Subtema 2: Técnicas y tipos de ingeniería social
El ciclo de un ataque de ingeniería social es:
RECOLECCIÓN DE INFORMACIÓN
RELACIÓN DE CONFIANZA
MANIPULACIÓN
ESCAPE O SALIDA
SCAREWARE
• APROVECHA LOS ANUNCIOS
EMERGENTES Y TÁCTICAS DE
INGENIERÍA SOCIAL PARA MANIPULAR A
LOS USUARIOS EN LÍNEA HACIÉNDOLES
CREER QUE NECESITAN COMPRAR O
DESCARGAR SOFTWARE QUE EN
REALIDAD ES INÚTIL Y CONTIENE
CÓDIGO MALICIOSO.
WHALING
• HACERSE PASAR POR UN DIRECTIVO DE
ALTO NIVEL EN UNA ORGANIZACIÓN Y
APUNTA DIRECTAMENTE A OTRAS
PERSONAS DE ALTO NIVEL O
IMPORTANTES EN UNA ORGANIZACIÓN,
CON EL OBJETIVO DE ROBAR DINERO O
INFORMACIÓN CONFIDENCIAL U
OBTENER ACCESO A SUS SISTEMAS
INFORMÁTICOS CON FINES DELICTIVOS.
DNS HIJACKING
• LOS CIBERDELINCUENTES PUEDEN
INTERCEPTAR LAS SOLICITUDES DEL
NAVEGADOR Y REDIRIGIR AL USUARIO A
UNA PÁGINA DISTINTA A LA DESEADA.
Subtema 3: Herramientas de ingeniería social
Subtema 3: Herramientas de ingeniería social
Subtema 4: Contramedidas de Ingeniería Social
Capacitación al equipo de trabajo
Detectar enlaces sospechosos
Verificar validez de correos electrónicos

recibidos
Verificar accesos a nombres de dominios

desconocidos.
Bibliografía
» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and Beyond. Sixth Edition ed.
New York: McGraw Hill.
» Conteh, N. Y., 2021. Ethical Hacking Techniques and Countermeasures for Cybercrime Prevention. Hershey:
IGI Global.
» EC‐Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through 4 ed. Albuquerque: EC‐
Council.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security Principles, Algorithm,
Applications, and Perspectives. Boca Raton: Taylor & Francis Group, LLC.
» Rains, T., 2020. Cybersecurity Threats, Malware Trends, and Strategies. Birmingham: Packt Publishing.
» Rasner, G. C., 2021. Cybersecurity and Third‐Party Risk. Third Party Threat Hunting ed. New Jersey: John
Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New Jersey: Pearson Education,
Inc.
UNIDAD 1
Introducción a la Seguridad Informática
Autor: Arevalo Cordovilla Felipe Emiliano

ÍNDICE
1. Unidad 1: Introducción a la Seguridad Informática .............................................. 3

Tema 3: OWASP (Open Web Application Security Project) .......................................... 3
Objetivo ......................................................................................................................... 3
Introducción .................................................................................................................. 3
2. Información de los subtemas............................................................................... 4

2.1 Subtema 1: Introducción .................................................................................... 4
2.2 Subtema 2: Principales Vulnerabilidades ........................................................... 6
2.3 Subtema 3: Metodología de Ataque ................................................................ 12
2.4 Subtema 4: Problemas de Seguridad ............................................................... 18
3. Unidad 1: Introducción a la Seguridad Informática ............................................ 21

Tema 4: Hacking Ético................................................................................................. 21
Objetivo ....................................................................................................................... 21
Introducción ................................................................................................................ 21
4. Información de los subtemas............................................................................. 22

4.1 Subtema 1: Introducción .................................................................................. 22
4.2 Subtema 2: Fases ............................................................................................. 25
4.3 Subtema 3: Gestión de Riesgos ........................................................................ 31
4.4 Subtema 4: Leyes y Estándares de Seguridad de la Información .................... 32
5. Preguntas de Comprensión de la Unidad 1 ........................................................ 34
6. Bibliografía ........................................................................................................ 36
2
Unidad 1 l Introducción a la Seguridad Informática
1. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 3: OWASP (Open Web Application Security
Project)
Objetivo
Educar sobre las consecuencias de las debilidades más comunes y más importantes de
la seguridad de las aplicaciones web, proporcionando técnicas básicas para protegerse
contra estas áreas con problemas de riesgo alto, y proporcionando orientación sobre
cómo continuar desde allí.
Introducción
El problema del software inseguro es quizás el desafío técnico más importante de

nuestro tiempo. La seguridad es ahora el factor limitante clave de lo que podemos crear
con la tecnología de la información. Open Web Application Security Project (OWASP),
trata de hacer del mundo un lugar donde el software inseguro sea la anomalía, no la
norma, y la Guía de prueba de OWASP es una pieza importante del rompecabezas.
No hace falta decir que no puede crear una aplicación segura sin realizarle pruebas de
seguridad. Sin embargo, muchas organizaciones de desarrollo de software no incluyen
pruebas de seguridad como parte de su proceso de desarrollo de software estándar.
© Universidad Estatal de Milagro – UNEMI
Aun así, las pruebas de seguridad, por sí solas, no son una medida particularmente
buena de qué tan segura es una aplicación, porque hay un número infinito de formas en
que un atacante podría hacer que una aplicación se rompa, y simplemente no es posible
probarlos todos. Sin embargo, las pruebas de seguridad tienen el poder único de
convencer absolutamente a los detractores de que existe un problema. Por lo tanto, las
pruebas de seguridad han demostrado ser un ingrediente clave en cualquier
organización que necesite confiar en el software que produce o usa. En conjunto, las
guías de OWASP son un excelente comienzo para crear y mantener aplicaciones seguras.
FORMATO CONTROLADO: FR0018/ v3.01 3

2. Informacion de los subtemas

2.1 Subtema 1: Introducción
El Proyecto OWASP es una comunidad abierta dedicada a permitir que las
organizaciones desarrollen, compren y mantengan aplicaciones en las que se puede
confiar. Todas las herramientas, documentos, foros y capítulos de OWASP son gratuitos
y están abiertos a cualquier persona interesada en mejorar la seguridad de las
aplicaciones. Es importante poder abordar la seguridad de las aplicaciones como un
problema de personas, procesos y tecnología porque los enfoques más efectivos para la
seguridad de las aplicaciones incluyen mejoras en todas estas áreas (Foundation, 2017).
Este proyecto ha estado en desarrollo durante muchos años. Con este proyecto, se
pretende ayudar a las personas a comprender qué, por qué, cuándo, dónde y cómo
probar sus aplicaciones web, y no solo proporcionar una simple lista de verificación o
prescripción de problemas que deben abordarse. El resultado de este proyecto es un
marco de prueba completo, a partir del cual otros pueden crear sus propios programas
de prueba o calificar los procesos de otras personas. El proyecto OWASP es un conjunto
de guías que proporciona una base para probar los controles técnicos de seguridad de
las aplicaciones web y también proporciona a los desarrolladores una lista de requisitos
para un desarrollo seguro (Foundation, 2017).
El objetivo principal del proyecto OWASP Application Security Verification Standard

(ASVS) es normalizar el rango de cobertura y nivel de rigor disponible en el mercado a la
hora de realizar la verificación de seguridad de aplicaciones web utilizando un estándar
abierto comercialmente viable. El estándar proporciona una base para probar los
controles técnicos de seguridad de la aplicación, así como cualquier control técnico de
seguridad en el entorno, en el que se confía para proteger contra vulnerabilidades como
Cross-Site Scripting (XSS) e inyección SQL. Este estándar se puede utilizar para establecer
un nivel de confianza en la seguridad de las aplicaciones web (Foundation, 2017).
Hay un número infinito de formas posibles en que una aplicación puede fallar, y siempre
tiene tiempo y recursos de prueba limitados. Intente concentrarse en los agujeros de

seguridad que tienen más probabilidades de ser descubiertos y explotados por un

atacante, y que conducirán a la no disponibilidad del software causando daños más
graves. EL proyecto OWASP recopila un conjunto de técnicas que puede usar para
encontrar diferentes vulnerabilidades. Existen tres grandes grupos en un proceso de
desarrollo de software: los desarrolladores, los evaluadores de software y los
especialistas en seguridad. Muy importante que el primer grupo use estas técnicas para
asegurarse de que están produciendo un código seguro desde la etapa inicial del
desarrollo de software.

2.2 Subtema 2: Principales Vulnerabilidades

El proyecto OWASP define los 10 principales riesgos de seguridad de las aplicaciones
web. En la Figura 1, se puede observar las diez vulnerabilidades más importantes y su
evolución entre el año 2017 al 2021.
Figura 1. Cambios de los 10 principales riesgos de seguridad de las aplicaciones web
Nota: EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through 4 ed. Albuquerque: EC-Council
Es muy importante considerar que medir y probar aplicaciones web es incluso más
crítico que para otro software, ya que las aplicaciones web están expuestas a millones
de usuarios a través de Internet.
Control de acceso roto (Broken Access Control)
El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto

con una tasa de incidencia promedio de 3,81 %, y tiene la mayor cantidad de ocurrencias
en el conjunto de datos contribuido con más de 318k. Las Enumeraciones de debilidades
comunes (CWE) notables incluidas son (OWASP Top 10, 2021):
 CWE-200: Exposición de información confidencial a un actor no autorizado

 CWE-201: Inserción de información confidencial en datos enviados
 CWE-352: Falsificación de solicitud entre sitios
El control de acceso se refiere a cómo una aplicación web otorga acceso para crear,
actualizar y eliminar cualquier registro/contenido o función a algunos usuarios
privilegiados mientras restringe el acceso a otros usuarios. El control de acceso roto es
un método en el que un atacante identifica una falla relacionada con el control de

acceso, pasa por alto la autenticación y luego compromete la red. Las debilidades del
control de acceso son comunes debido a la falta de detección automatizada y pruebas
funcionales efectivas por parte de los desarrolladores de aplicaciones. Permiten a los
atacantes actuar como usuarios o administradores con funciones privilegiadas y crear,
acceder, actualizar o eliminar cualquier registro (EC-Council, 2020).
Fallas criptográficas (Cryptographic Failures)
Anteriormente conocido como Exposición de datos confidenciales, que es más un

síntoma amplio que una causa raíz, el enfoque se centra en las fallas relacionadas con la
criptografía (o la falta de esta). Lo que a menudo conduce a la exposición de datos
confidenciales. Las enumeraciones de debilidades comunes (CWE) notables incluidas
son (OWASP Top 10, 2021):
 CWE-259: Uso de contraseña codificada

 CWE-327: Algoritmo criptográfico roto o riesgoso
 CWE-331 Entropía insuficiente
Muchas aplicaciones web no protegen adecuadamente sus datos confidenciales de

usuarios no autorizados. Las aplicaciones web utilizan algoritmos criptográficos para
cifrar sus datos y otra información confidencial que necesitan transferir del servidor al
cliente o viceversa. La exposición de datos confidenciales ocurre debido a fallas como el
almacenamiento criptográfico inseguro y la fuga de información (EC-Council, 2020).
Aunque los datos están encriptados, algunos métodos de encriptación criptográfica

tienen debilidades inherentes que permiten a los atacantes explotar y robar los datos.
Cuando una aplicación utiliza un código de cifrado mal escrito para cifrar y almacenar
datos confidenciales en la base de datos, el atacante puede explotar fácilmente esta
falla y robar o modificar datos confidenciales débilmente protegidos, como números de
tarjetas de crédito, SSN y otras credenciales de autenticación. Por lo tanto, pueden
lanzar más ataques como el robo de identidad y el fraude con tarjetas de crédito (EC-
Council, 2020).

Inyección (Injection)
El 94% de las aplicaciones se probaron para alguna forma de inyección con una tasa de
incidencia máxima del 19%, una tasa de incidencia promedio del 3% y 274000
ocurrencias. Las Enumeraciones de debilidades comunes (CWE) notables incluidas son
(OWASP Top 10, 2021):
 CWE-79: Cross-site Scripting

 CWE-89: SQL Injection
 CWE-73: External Control of File Name or Path
Las fallas de inyección son vulnerabilidades de aplicaciones web que permiten

interpretar y ejecutar datos que no son de confianza como parte de un comando o
consulta. Los atacantes aprovechan las fallas de inyección mediante la construcción de
comandos o consultas maliciosos que dan como resultado la pérdida o corrupción de
datos, la falta de responsabilidad o la denegación de acceso. Tales fallas prevalecen en
el código heredado y, a menudo, se encuentran en consultas SQL, LDAP y XPath. Se
pueden descubrir fácilmente mediante escáneres de vulnerabilidades de aplicaciones y
fuzzers (EC-Council, 2020).
Diseño inseguro (Insecure Design)
Se centra en los riesgos relacionados con los defectos de diseño y arquitectura, con un
llamado a un mayor uso del modelado de amenazas, patrones de diseño seguro y
arquitecturas de referencia. Como comunidad, debemos ir más allá de "cambiar a la
izquierda" en el espacio de codificación para precodificar actividades que son críticas
para los principios de Secure by Design. Las Enumeraciones de debilidades comunes

(CWE) notables incluyen (OWASP Top 10, 2021):
 CWE-209: Generación de mensaje de error que contiene información

confidencial
 CWE-256: Almacenamiento desprotegido de credenciales
 CWE-501: Violación de límites de confianza y CWE-522: Credenciales
insuficientemente protegidas.

Configuración incorrecta de seguridad (Security Misconfiguration)
el 90 % de las aplicaciones se probaron en busca de algún tipo de configuración

incorrecta, con una tasa de incidencia promedio del 4. % y más de 208000 ocurrencias
de una Enumeración de debilidad común (CWE) en esta categoría de riesgo. Con más
cambios hacia software altamente configurable, no sorprende ver que esta categoría
sube. Los CWE notables incluidos son (OWASP Top 10, 2021):
 CWE-16: Configuración
 CWE-611: Restricción incorrecta de la referencia de entidad externa XML.
Componentes vulnerables y obsoletos (Vulnerable and Outdated Components)
Los componentes vulnerables son un problema conocido que luchamos para probar y
evaluar el riesgo y es la única categoría que no tiene vulnerabilidades y exposiciones
comunes (CVE) asignadas a los CWE incluidos, por lo que se utiliza un peso de
vulnerabilidad/impacto predeterminado de 5.0. Los CWE notables incluidos son
(OWASP Top 10, 2021):
 CWE-1104: uso de componentes de terceros no mantenidos

 CWE de Top 10 2013 y 2017.
Los componentes como las bibliotecas y los marcos que se utilizan en la mayoría de las
aplicaciones web siempre se ejecutan con todos los privilegios, y las fallas en cualquier
componente pueden tener graves consecuencias. Los atacantes pueden identificar
componentes débiles o dependencias escaneando o realizando un análisis manual. Los
atacantes buscan vulnerabilidades en sitios de exploits como:
 Exploit Database (https://www.exploit-db.com)

 BugTraq (https://bugtraq.securityfocus.com/archive)
 Zero Day Initiative (https://www.zerodayinitiative.com)
Si se identifica un componente vulnerable, el atacante personaliza el exploit según sea

necesario y ejecuta el ataque. La explotación exitosa permite que el atacante provoque
una pérdida grave de datos o tome el control de los servidores. Un atacante

generalmente usa sitios de explotación para identificar las aplicaciones web o realiza un
análisis de vulnerabilidades utilizando herramientas como Nessus y GFI LanGuard para
identificar los componentes vulnerables existentes (EC-Council, 2020).
Fallas de identificación y autenticación (Identification and Authentication Failures)
Anteriormente conocida como Autenticación rota, y ahora incluye Enumeraciones de

debilidades comunes (CWE) relacionadas con fallas de identificación. Los CWE notables
incluidos son (OWASP Top 10, 2021):
 CWE-297: Validación incorrecta del certificado con discrepancia de host

 CWE-287: Autenticación incorrecta y CWE-384: Fijación de sesión
En la actualidad, las aplicaciones web que implementan autenticaciones sólidas fallan

debido a funciones de credenciales débiles, como "cambiar mi contraseña", "olvidé mi
contraseña", "recordar mi contraseña", "actualización de cuenta", etc. Por lo tanto, los
desarrolladores deben tener el máximo cuidado para implementar la autenticación de
usuarios de forma segura. Siempre es mejor utilizar métodos de autenticación sólidos a
través de fichas criptográficas o biométricas especiales basadas en software y hardware.
Un atacante aprovecha las vulnerabilidades en las funciones de autenticación o
administración de sesión, como cuentas expuestas, ID de sesión, cierre de sesión,
administración de contraseñas, tiempos de espera, recordarme, pregunta secreta,
actualización de cuenta y otros para hacerse pasar por los usuarios (EC-Council, 2020).
Fallas de integridad de software y datos (Software and Data Integrity Failures)

Una nueva categoría para 2021 se enfoca en hacer suposiciones relacionadas con
actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la
integridad. Uno de los impactos ponderados más altos de los datos de Common
Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS). Las
enumeraciones de debilidades comunes (CWE) notables incluyen (OWASP Top 10,
2021):
 CWE-829: Inclusión de funcionalidad de esfera de control no confiable

 CWE-494: Descarga de código sin verificación de integridad

 CWE-502: Deserialización de datos no confiables
Registro de seguridad y fallas de monitoreo (Security Logging and Monitoring Failures)
El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando

entrevistas o preguntando si se detectaron ataques durante una prueba de penetración.
No hay muchos datos CVE/CVSS para esta categoría, pero es fundamental detectar y
responder a las infracciones. Aun así, puede tener un gran impacto para la rendición de
cuentas, la visibilidad, las alertas de incidentes y el análisis forense. Esta categoría se
expande más allá (OWASP Top 10, 2021):
 CWE-778 Registro insuficiente para incluir

 CWE-117 Neutralización de salida inadecuada para registros
 CWE-223 Omisión de información relevante para la seguridad
 CWE-532 Inserción de información confidencial en el archivo de registro
Falsificación de solicitud del lado del servidor (Server-Side Request Forgery (SSRF))
El atacante puede abusar de la funcionalidad en el servidor para leer o actualizar los

recursos internos. El atacante puede proporcionar o modificar una URL a la que el código
que se ejecuta en el servidor leerá o enviará datos y, al seleccionar cuidadosamente las
URL, el atacante puede leer la configuración del servidor, como los metadatos de AWS,
conectarse a servicios internos como http habilitado. bases de datos o realizar
solicitudes de correos hacia servicios internos que no están destinados a ser expuestos
(Foundation, 2017).

2.3 Subtema 3: Metodología de Ataque

Control de acceso roto (Broken Access Control)
El control de acceso aplica una política tal que los usuarios no pueden actuar fuera de
sus permisos previstos. Las fallas generalmente conducen a la divulgación, modificación
o destrucción no autorizada de todos los datos. Las vulnerabilidades comunes de control
de acceso incluyen (OWASP Top 10, 2021):
 Violación del principio de privilegio mínimo o denegación predeterminada,

donde el acceso solo debe otorgarse para capacidades, roles o usuarios
particulares, pero está disponible para cualquier persona.
 Eludir las comprobaciones de control de acceso mediante la modificación de la
URL (alteración de parámetros o navegación forzada), el estado interno de la
aplicación o la página HTML, o mediante el uso de una herramienta de ataque
que modifica las solicitudes de API.
 Permitir ver o editar la cuenta de otra persona, al proporcionar su identificador
único (referencias de objetos directos inseguros)
 Elevación de privilegio. Actuar como usuario sin haber iniciado sesión o actuar
como administrador cuando se ha iniciado sesión como usuario.
 Manipulación de metadatos, como la reproducción o manipulación de un token
de control de acceso JSON Web Token (JWT), o una cookie o un campo oculto
manipulado para elevar los privilegios o abusar de la invalidación de JWT.
 Forzar la navegación a páginas autenticadas como usuario no autenticado o a
páginas privilegiadas como usuario estándar.
¿Cómo prevenir?
 Los controles de acceso al modelo deben imponer la propiedad de los registros

en lugar de aceptar que el usuario pueda crear, leer, actualizar o eliminar
cualquier registro.
 Los modelos de dominio deben hacer cumplir los requisitos de límite comercial
de aplicaciones únicas.

 Deshabilite la lista de directorios del servidor web y asegúrese de que los

metadatos de los archivos de copia de seguridad no estén presentes en las raíces
web.
 Registrar fallas de control de acceso, alertar a los administradores cuando sea
apropiado (por ejemplo, fallas repetidas).
 Los identificadores de sesión con estado deben invalidarse en el servidor
después de cerrar la sesión.
Fallas criptográficas (Cryptographic Failures)
Lo primero es determinar las necesidades de protección de los datos en tránsito y en

reposo. Por ejemplo, las contraseñas, los números de tarjetas de crédito, los registros
médicos, la información personal y los secretos comerciales requieren protección
adicional, principalmente si esos datos están sujetos a las leyes de privacidad, por
ejemplo, el Reglamento General de Protección de Datos (GDPR) de la UE, o regulaciones,
por ejemplo, la protección de datos financieros. como el estándar de seguridad de datos
PCI (PCI DSS). Para todos estos datos (OWASP Top 10, 2021):
 ¿Se transmite algún dato en texto claro? Esto se refiere a protocolos como HTTP,
SMTP, FTP que también usan actualizaciones de TLS como STARTTLS. El tráfico
de Internet externo es peligroso. Verifique todo el tráfico interno, por ejemplo,
entre balanceadores de carga, servidores web o sistemas back-end.
 ¿Se utilizan protocolos o algoritmos criptográficos antiguos o débiles de forma
predeterminada o en código antiguo?
 ¿Están en uso las claves criptográficas predeterminadas, se generan o reutilizan
claves criptográficas débiles, o falta una gestión o rotación de claves adecuada?

¿Se registran las claves criptográficas en los repositorios de código fuente?
 ¿No se aplica el cifrado, por ejemplo, faltan directivas de seguridad o
encabezados de encabezados HTTP (navegador)?
 ¿El certificado del servidor recibido y la cadena de confianza están debidamente
validados?
 ¿Se utilizan funciones hash en desuso, como MD5 o SHA1, o se utilizan funciones
hash no criptográficas cuando se necesitan funciones hash criptográficas?

¿Cómo prevenir?
 Clasificar los datos procesados, almacenados o transmitidos por una aplicación.

Identifique qué datos son confidenciales de acuerdo con las leyes de privacidad,
los requisitos reglamentarios o las necesidades comerciales.
 Asegúrese de que se implementen algoritmos, protocolos y claves estándar
sólidos y actualizados; utilizar una gestión de claves adecuada.
 Deshabilite el almacenamiento en caché para las respuestas que contienen datos
confidenciales.
 No utilice protocolos heredados como FTP y SMTP para transportar datos
confidenciales.
 Almacene contraseñas utilizando funciones de hashing con un factor de trabajo
(factor de demora), como Argon2, scrypt, bcrypt o PBKDF2.
 Evite las funciones criptográficas obsoletas y los esquemas de relleno, como
MD5, SHA1, PKCS número 1 v1.5.
Inyección (Injection)
Los atacantes inyectan códigos, comandos o secuencias de comandos maliciosos en las

puertas de entrada de las aplicaciones web defectuosas, de modo que las aplicaciones
interpretan y ejecutan la entrada maliciosa recién suministrada, lo que a su vez les
permite extraer información confidencial. Al explotar las fallas de inyección en las
aplicaciones web, los atacantes pueden leer, escribir, eliminar y actualizar fácilmente
cualquier dato (es decir, relevante o irrelevante para esa aplicación en particular). Hay
muchos tipos de defectos de inyección, algunos de los cuales se analizan a continuación
(EC-Council, 2020):
 Inyección SQL: la inyección SQL es la vulnerabilidad de sitios web más común en

Internet y se utiliza para aprovechar las vulnerabilidades de entrada no validadas
para pasar comandos SQL a través de una aplicación web para que los ejecute
una base de datos de back-end. En esta técnica, el atacante inyecta consultas
SQL maliciosas en el formulario de entrada del usuario para obtener acceso no

autorizado a una base de datos o para recuperar información directamente de la

base de datos (EC-Council, 2020).
 Inyección de comandos: los atacantes identifican una falla de validación de
entrada en una aplicación y aprovechan la vulnerabilidad inyectando un
comando malicioso en la aplicación para ejecutar comandos arbitrarios
proporcionados en el sistema operativo host. Por lo tanto, tales fallas son
extremadamente peligrosas (EC-Council, 2020).
 Inyección LDAP: la inyección LDAP es un método de ataque en el que los sitios
web que construyen declaraciones LDAP a partir de la entrada proporcionada
por el usuario se explotan para lanzar ataques. Cuando una aplicación no puede
desinfectar la entrada del usuario, el atacante modifica la declaración LDAP con
la ayuda de un proxy local. Esto, a su vez, da como resultado la ejecución de
comandos arbitrarios, como otorgar acceso a consultas no autorizadas y alterar
el contenido dentro del árbol LDAP (EC-Council, 2020).
¿Cómo prevenir?
 La opción preferida es usar una API segura, que evita usar el intérprete por
completo, proporciona una interfaz parametrizada o migra a herramientas de
mapeo relacional de objetos (ORM).
 Utilice una validación de entrada positiva del lado del servidor. Esta no es una
defensa completa ya que muchas aplicaciones requieren caracteres especiales,
como áreas de texto o API para aplicaciones móviles.
 Para cualquier consulta dinámica residual, escape los caracteres especiales
usando la sintaxis de escape específica para ese intérprete.

 Utilice LIMIT y otros controles de SQL dentro de las consultas para evitar la
divulgación masiva de registros en caso de inyección de SQL.
Configuración incorrecta de seguridad (Security Misconfiguration)
Los desarrolladores y administradores de red deben asegurarse de que toda la pila de

aplicaciones esté configurada correctamente; de lo contrario, la configuración
incorrecta de la seguridad puede ocurrir en cualquier nivel de la pila, incluida su

plataforma, servidor web, servidor de aplicaciones, marco y código personalizado. Por

ejemplo, si el administrador no configura el servidor correctamente, podría generar
varios problemas que pueden afectar la seguridad del sitio. Los problemas que conducen
a tales instancias incluyen entradas no validadas, alteración de parámetros/formularios,
manejo inadecuado de errores, protección insuficiente de la capa de transporte, etc (EC-
Council, 2020).
La aplicación podría ser vulnerable si no se tiene en cuenta lo siguiente:
 Se habilitan o instalan funciones innecesarias (p. ej., puertos, servicios, páginas,

cuentas o privilegios innecesarios).
 Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin
cambios.
 El manejo de errores revela rastros de pila u otros mensajes de error demasiado
informativos para los usuarios.
 Para los sistemas actualizados, las funciones de seguridad más recientes están
deshabilitadas o no configuradas de forma segura.
 El servidor no envía encabezados o directivas de seguridad, o no están
configurados en valores seguros.
 El software está desactualizado o es vulnerable.
¿Cómo prevenir?
 Un proceso de endurecimiento repetible hace que sea rápido y fácil

implementar otro entorno que esté debidamente bloqueado. Los entornos
de desarrollo, control de calidad y producción deben configurarse de manera

idéntica, con diferentes credenciales utilizadas en cada entorno. Este
proceso debe automatizarse para minimizar el esfuerzo requerido para
configurar un nuevo entorno seguro.
 Una plataforma mínima sin características, componentes, documentación ni
muestras innecesarias. Elimine o no instale características y marcos no
utilizados.

 Una tarea para revisar y actualizar las configuraciones correspondientes a

todas las notas de seguridad, actualizaciones y parches como parte del
proceso de administración de parches.
 Envío de directivas de seguridad a los clientes, por ejemplo, encabezados de
seguridad.
 Un proceso automatizado para verificar la eficacia de las configuraciones y ajustes
en todos los entornos.

2.4 Subtema 4: Problemas de Seguridad

Otras amenazas de aplicaciones web
Las amenazas de aplicaciones web no se limitan a ataques basados en URL y puerto 80.
A pesar de usar puertos, protocolos y capas OSI, los proveedores deben proteger la
integridad de las aplicaciones de misión crítica de posibles ataques futuros al poder lidiar
con todos los métodos de ataque. Los diversos tipos de amenazas de aplicaciones web
son los siguientes (EC-Council, 2020):
Recorrido de directorio (Directory Traversal)
Los atacantes explotan HTTP mediante el cruce de directorios, lo que les da acceso a
directorios restringidos; ejecutan comandos fuera del directorio raíz del servidor web
(EC-Council, 2020).
Redireccionamientos y reenvíos no validados (Unvalidated Redirects and Forwards)
Los atacantes atraen a las víctimas para que hagan clic en enlaces no validados que
parecen ser legítimos. Dichos redireccionamientos pueden intentar instalar malware o
engañar a las víctimas para que revelen contraseñas u otra información confidencial. Los
reenvíos inseguros pueden permitir la omisión del control de acceso, lo que lleva a (EC-
Council, 2020):
1. Ataque de fijación de sesión

2. Exploits de gestión de seguridad
3. Error al restringir el acceso a la URL
4. Ejecución de archivos maliciosos
Watering Hole Attack
Es un tipo de ataque de redireccionamiento no validado en el que el atacante primero

identifica el sitio web más visitado del objetivo, determina las vulnerabilidades en el sitio
web, inyecta código malicioso en la aplicación web vulnerable y luego espera a que la
víctima navegue por el sitio web. Una vez que la víctima intenta acceder al sitio web, el
código malicioso se ejecuta e infecta a la víctima (EC-Council, 2020).

Falsificación de solicitud entre sitios (Cross-Site Request Forgery)
El método de falsificación de solicitudes entre sitios es un tipo de ataque en el que se

hace que un usuario autenticado realice ciertas tareas en la aplicación web que elige un
atacante, por ejemplo, un usuario que hace clic en un enlace particular enviado a través
de un correo electrónico o chat (EC-Council, 2020).
Envenenamiento por cookies/sesión (Cookie/Session Poisoning)
Al cambiar la información dentro de una cookie, los atacantes eluden el proceso de

autenticación. Una vez que obtienen el control de una red, pueden modificar su
contenido, usar el sistema para un ataque malicioso o robar información de los sistemas
de los usuarios (EC-Council, 2020).
Ataques a servicios web (Web Service Attacks)
Un atacante puede ingresar a la aplicación web de destino explotando una aplicación

integrada con servicios web vulnerables. Un atacante inyecta un script malicioso en un
servicio web y luego puede revelar y modificar los datos de la aplicación (EC-Council,
2020).
Espionaje de cookies (Cookie Snooping)
Los atacantes utilizan la indagación de cookies en los sistemas de las víctimas para
analizar los hábitos de navegación de los usuarios y vender esa información a otros
atacantes o para lanzar varios ataques a las aplicaciones web de las víctimas (EC-Council,
2020).
Manipulación de campos ocultos (Hidden Field Manipulation)
Los atacantes que intentan comprometer los sitios web de comercio electrónico realizan
principalmente este tipo de ataques. Manipulan campos ocultos y cambian los datos
almacenados en ellos. Varias tiendas en línea enfrentan este tipo de problemas todos
los días. Los atacantes pueden alterar los precios y concluir transacciones, designando
precios de su elección (EC-Council, 2020).

Secuestro de autenticación (Authentication Hijacking)
Para autenticar a un usuario, cada aplicación web emplea un método de identificación

de usuario, como una identificación y una contraseña. Sin embargo, una vez que los
atacantes comprometen un sistema, pueden realizar varias actividades maliciosas,
como el secuestro de sesiones y la suplantación de identidad del usuario (EC-Council,
2020).
Denegación de servicio (DoS) (Denial-of-Service)
Un ataque DoS es un ataque a la disponibilidad de un servicio, que reduce, restringe o

impide el acceso a los recursos del sistema por parte de sus usuarios legítimos. Por
ejemplo, es posible que un sitio web relacionado con un servicio bancario o de correo
electrónico no funcione durante algunas horas o incluso días, lo que resulta en una
pérdida de tiempo y dinero (EC-Council, 2020).

3. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 4: Hacking Ético
Objetivo
Proporcionar una descripción general del hacking ético, por qué el hacking ético es
necesario, el alcance y las limitaciones del hacking ético y las habilidades de un hacker
ético.
Introducción
El hacking ético es la práctica de emplear habilidades informáticas y de redes para

ayudar a las organizaciones a probar la seguridad de su red en busca de posibles lagunas
y vulnerabilidades. White Hats (también conocidos como analistas de seguridad o
hackers éticos) son las personas o expertos que realizan hacking ético. Hoy en día, la
mayoría de las organizaciones (como empresas privadas, universidades y organizaciones
gubernamentales) están contratando a White Hats para que les ayuden a mejorar su
ciberseguridad (EC-Council, 2020).
Realizan piratería de manera ética, con el permiso del propietario de la red o del sistema
y sin la intención de causar daño. Los piratas informáticos éticos informan todas las
vulnerabilidades al sistema y al propietario de la red para su reparación, lo que aumenta
la seguridad del sistema de información de una organización. La piratería ética implica

el uso de herramientas, trucos y técnicas de piratería que suele utilizar un atacante para
verificar la existencia de vulnerabilidades explotables en la seguridad del sistema (EC-
Council, 2020).
Un hacker ético sigue procesos similares a los de un hacker malicioso. Los pasos para
obtener y mantener el acceso a un sistema informático son similares,
independientemente de las intenciones del hacker.

4. Informacion de los subtemas

4.1 Subtema 1: Introducción
Las empresas recurren a hacker éticos para identificar vulnerabilidades en sus
sistemas. Desde el punto de vista del probador de penetración, no hay
inconveniente: si piratea más allá de las defensas actuales, le ha dado al cliente la
oportunidad de cerrar el agujero antes de que un atacante lo descubra. Si no
encuentra nada, su cliente está aún más feliz porque ahora puede declarar que sus
sistemas son "lo suficientemente seguros como para que ni siquiera los piratas
informáticos pagados puedan acceder a ellos" (Conteh, 2021).
Los activos más valiosos que poseen las empresas son los activos intelectuales y, por
lo tanto, deben protegerse de amenazas externas y fortalecerse para eliminar todas
las vulnerabilidades potenciales que pueden causar ataques a las redes de la
empresa.
¿Quién es un hacker?
Un hacker es una persona que irrumpe en un sistema o red sin autorización para
destruir, robar datos confidenciales o realizar ataques maliciosos. Un hacker es una
persona inteligente con excelentes habilidades informáticas, junto con la capacidad
de crear y explorar el software y el hardware de la computadora. Por lo general, un
hacker es un ingeniero o programador calificado con suficiente conocimiento para
descubrir vulnerabilidades en un sistema de destino. Por lo general, tienen
experiencia en la materia y disfrutan aprendiendo los detalles de varios lenguajes de

programación y sistemas informáticos (EC-Council, 2020).
Para algunos hackers, piratear es un pasatiempo para ver cuántas computadoras o

redes pueden comprometer. Su intención puede ser obtener conocimiento o hurgar
para hacer cosas ilegales. Algunos piratean con intenciones maliciosas detrás de sus
escapadas, como robar datos comerciales, información de tarjetas de crédito,
números de seguro social y contraseñas de correo electrónico (EC-Council, 2020).

Clases de hackers
Los hackers suelen pertenecer a una de las siguientes categorías, según sus
actividades:
Sombreros negros (Black Hats): son personas que utilizan sus extraordinarias
habilidades informáticas con fines ilegales o maliciosos. Esta categoría de piratas
informáticos suele estar involucrada en actividades delictivas. También se conocen
como galletas saladas (EC-Council, 2020).
Sombreros blancos (White Hats): son personas que usan sus habilidades de piratería
con fines defensivos. En estos días, casi todas las organizaciones tienen analistas de
seguridad que conocen las contramedidas de piratería, lo que puede proteger su red
y sus sistemas de información contra ataques maliciosos. Tienen permiso del
propietario del sistema (EC-Council, 2020).
Sombreros grises (Gray Hats): son las personas que trabajan tanto a la ofensiva
como a la defensiva en varios momentos. Los sombreros grises pueden ayudar a los
piratas informáticos a encontrar varias vulnerabilidades en un sistema o red y, al
mismo tiempo, ayudar a los proveedores a mejorar los productos (software o
hardware) comprobando las limitaciones y haciéndolos más seguros (EC-Council,
2020).
Hackers suicidas (Suicide Hackers): son personas que tienen como objetivo derribar
infraestructura crítica por una "causa" y no les preocupa enfrentar penas de cárcel
o cualquier otro tipo de castigo. Los hackers suicidas son similares a los terroristas
suicidas que sacrifican su vida por un ataque y, por lo tanto, no les preocupan las
consecuencias de sus acciones (EC-Council, 2020).
Script Kiddies: son hackers no calificados que comprometen los sistemas al ejecutar
scripts, herramientas y software desarrollados por piratas informáticos reales.
Suelen centrarse en la cantidad más que en la calidad de los ataques que inician (EC-
Council, 2020).

Ciberterroristas (Cyber Terrorists): son individuos con una amplia gama de

habilidades, motivados por creencias religiosas o políticas, para generar temor a una
interrupción a gran escala de las redes informáticas (EC-Council, 2020).
Piratas informáticos patrocinados por el estado (State-Sponsored Hackers): son

individuos empleados por el gobierno para penetrar, obtener información
ultrasecreta y dañar los sistemas de información de otros gobiernos (EC-Council,
2020).
Hacktivist: Hacktivismo es cuando los hackers irrumpen en los sistemas informáticos

gubernamentales o corporativos como un acto de protesta. Los hacktivistas utilizan
la piratería para aumentar la conciencia de sus agendas sociales o políticas, así como
para impulsar su propia reputación tanto en el ámbito en línea como fuera de línea.
Son personas que usan la piratería para promover una agenda política,
especialmente al desfigurar o deshabilitar sitios web (EC-Council, 2020).
Los objetivos comunes de los hacktivistas incluyen agencias gubernamentales,

corporaciones multinacionales y cualquier otra entidad que perciban como una
amenaza. Independientemente de las intenciones de los hacktivistas, obtener
acceso no autorizado es un delito (EC-Council, 2020).

4.2 Subtema 2: Fases

En general hay cinco fases:
Figura 2. Fases del Hacking Ético
Reconocimiento
Escaneo y
enumeración
Fases
Obtener acceso
Hacking Ético
Mantener
acceso
Limpiar rastro
Nota: Elaboración propia.
FASE 1: Reconocimiento
El reconocimiento se refiere a la fase preparatoria en la que un atacante recopila la

mayor cantidad de información posible sobre el objetivo antes de lanzar el ataque.
En esta fase, el atacante recurre a la inteligencia competitiva para aprender más
sobre el objetivo. Podría ser el futuro punto de retorno, conocido por la facilidad de
entrada para un ataque cuando se conoce más sobre el objetivo a gran escala. El
rango objetivo de reconocimiento puede incluir los clientes, empleados,

operaciones, redes y sistemas de la organización objetivo (EC-Council, 2020).
Esta fase permite a los atacantes planificar el ataque. Puede llevar algo de tiempo
mientras el atacante recopila la mayor cantidad de información posible. Parte de
este reconocimiento puede implicar ingeniería social. Un ingeniero social es una
persona que convence a las personas para que revelen información como números
de teléfono no listados, contraseñas y otra información confidencial. Por ejemplo, el

hacker podría llamar al proveedor de servicios de Internet del objetivo y, utilizando

la información personal obtenida previamente, convencer al representante de
servicio al cliente de que el hacker es realmente el objetivo y, al hacerlo, obtener
aún más información sobre el objetivo (EC-Council, 2020).
Tipos de reconocimiento
Las técnicas de reconocimiento se clasifican ampliamente en activas y pasivas.

Cuando un atacante utiliza técnicas de reconocimiento pasivo, no interactúa
directamente con el objetivo. En cambio, el atacante se basa en información
disponible públicamente, comunicados de prensa u otros métodos sin contacto (EC-
Council, 2020).
Las técnicas de reconocimiento activo, por otro lado, implican interacciones directas
con el sistema de destino mediante el uso de herramientas para detectar puertos
abiertos, hosts accesibles, ubicaciones de enrutadores, mapeo de redes, detalles de
sistemas operativos y aplicaciones. Los atacantes utilizan el reconocimiento activo
cuando existe una baja probabilidad de detección de estas actividades (EC-Council,
2020).
Como hacker ético, es importante poder distinguir entre los diversos métodos de
reconocimiento y recomendar medidas preventivas a la luz de las amenazas
potenciales. Las empresas, por su parte, deben abordar la seguridad como parte
integral de sus estrategias comerciales y operativas, y estar equipadas con las
políticas y procedimientos adecuados para detectar posibles vulnerabilidades (EC-
Council, 2020).
FASE 2: Escaneo y enumeración
Es la fase inmediatamente anterior al ataque. Aquí, el atacante usa los detalles

recopilados durante el reconocimiento para escanear la red en busca de información
específica. El escaneo es una extensión lógica del reconocimiento activo y, de hecho,
algunos expertos no diferencian el escaneo del reconocimiento activo. Sin embargo,
existe una ligera diferencia, ya que el análisis implica un sondeo más profundo por

parte del atacante. A menudo, las fases de reconocimiento y exploración se

superponen y no siempre es posible separarlas. Un atacante puede recopilar
información crítica de la red, como el mapeo de sistemas, enrutadores y firewalls,
utilizando herramientas simples como la utilidad estándar de Windows Traceroute.
Alternativamente, pueden usar herramientas como Cheops para agregar
información adicional a los resultados de Traceroute (EC-Council, 2020).
El escaneo puede incluir el uso de marcadores, escáneres de puertos, mapeadores

de red, herramientas de ping, escáneres de vulnerabilidades u otras herramientas.
Los atacantes extraen información como máquinas en vivo, puerto, estado del
puerto, detalles del sistema operativo, tipo de dispositivo y tiempo de actividad del
sistema para lanzar un ataque. Las organizaciones que utilizan sistemas de detección
de intrusos aún deben permanecer alerta porque los atacantes pueden y utilizarán
técnicas de evasión siempre que sea posible (EC-Council, 2020).
FASE 3: Obtener acceso
Esta es la fase en la que se produce el verdadero hackeo. Los atacantes utilizan las
vulnerabilidades identificadas durante las fases de reconocimiento y exploración
para obtener acceso al sistema y la red de destino. Obtener acceso se refiere al
punto en el que el atacante obtiene acceso al sistema operativo o a las aplicaciones
en la computadora o la red. El atacante puede obtener acceso al sistema operativo,
la aplicación o el nivel de red. Aunque los atacantes pueden causar muchos daños
sin tener acceso al sistema, el impacto del acceso no autorizado es catastrófico. Por
ejemplo, los ataques externos de denegación de servicio pueden agotar los recursos
o impedir que los servicios se ejecuten en el sistema de destino. Los procesos de

finalización pueden detener un servicio, usando una bomba lógica o una bomba de
tiempo, o incluso reconfigurar y bloquear el sistema. Además, los atacantes pueden
agotar los recursos del sistema y de la red al consumir todos los enlaces de
comunicación salientes (EC-Council, 2020).
Los atacantes obtienen acceso al sistema de destino localmente (fuera de línea), a

través de una LAN o Internet. Los ejemplos incluyen descifrado de contraseñas,
desbordamientos de búfer basados en pilas, denegación de servicio y secuestro de

sesiones. Usando una técnica llamada suplantación de identidad para explotar el

sistema haciéndose pasar por un usuario legítimo o un sistema diferente, los
atacantes pueden enviar un paquete de datos que contiene un error al sistema de
destino para explotar una vulnerabilidad. La inundación de paquetes también
interrumpe la disponibilidad de los servicios esenciales. Los ataques Smurf intentan
hacer que los usuarios de una red se inunden entre sí con datos, haciendo que
parezca que todos se están atacando entre sí y dejando al hacker en el anonimato
(EC-Council, 2020).
Las posibilidades de que un hacker obtenga acceso a un sistema de destino

dependen de varios factores, como la arquitectura y la configuración del sistema de
destino, el nivel de habilidad del perpetrador y el nivel inicial de acceso obtenido.
Una vez que un atacante obtiene acceso al sistema de destino, intenta aumentar los
privilegios para tomar el control completo. En el proceso, también comprometen los
sistemas intermedios que están conectados a él (EC-Council, 2020).
FASE 4: Mantener acceso
Se refiere a la fase en la que el atacante intenta conservar su propiedad sobre el

sistema. Una vez que un atacante obtiene acceso al sistema de destino con
privilegios de administrador o root (por lo tanto, posee el sistema), puede usar tanto
el sistema como sus recursos a voluntad. El atacante puede usar el sistema como
plataforma de lanzamiento para escanear y explotar otros sistemas o para mantener
un perfil bajo y continuar con su explotación. Ambas acciones pueden causar una
gran cantidad de daño. Por ejemplo, el hacker podría implementar un sniffer para
capturar todo el tráfico de la red, incluidas las sesiones de Telnet y FTP (protocolo
de transferencia de archivos) con otros sistemas, y luego transmitir esos datos donde
quiera (EC-Council, 2020).
Los atacantes que eligen permanecer sin ser detectados eliminan la evidencia de su
entrada e instalan una puerta trasera o un troyano para obtener acceso repetido.
También pueden instalar rootkits a nivel de kernel para obtener acceso
administrativo completo a la computadora de destino. Los rootkits obtienen acceso
al nivel del sistema operativo, mientras que los troyanos obtienen acceso al nivel de

la aplicación. Tanto los rootkits como los troyanos requieren que los usuarios los
instalen localmente. En los sistemas Windows, la mayoría de los troyanos se instalan
como un servicio y se ejecutan como parte del sistema local con acceso
administrativo (EC-Council, 2020).
Los atacantes pueden cargar, descargar o manipular datos, aplicaciones y

configuraciones en el sistema de su propiedad y también pueden usar troyanos para
transferir nombres de usuario, contraseñas y cualquier otra información almacenada
en el sistema. Pueden mantener el control sobre el sistema durante mucho tiempo
cerrando las vulnerabilidades para evitar que otros hackers tomen el control de ellos
y, a veces, en el proceso, brindan cierto grado de protección al sistema contra otros
ataques. Los atacantes usan el sistema comprometido para lanzar más ataques (EC-
Council, 2020).
FASE 5: Limpiar rastro
Por razones obvias, como evitar problemas legales y mantener el acceso, los
atacantes generalmente intentarán borrar todas las pruebas de sus acciones. Borrar
pistas se refiere a las actividades realizadas por un atacante para ocultar actos
maliciosos. Las intenciones del atacante incluyen el acceso continuo al sistema de la
víctima, pasar desapercibido y sin ser detectado, y eliminar evidencia que podría
conducir a su propio enjuiciamiento. Utilizan utilidades como PsTools
(https://docs.microsoft.com), Netcat o troyanos para borrar sus huellas de los
archivos de registro del sistema. Una vez que los troyanos están en su lugar, lo más
probable es que el atacante haya obtenido el control total del sistema y pueda
ejecutar secuencias de comandos en el troyano o rootkit para reemplazar el sistema

crítico y los archivos de registro para ocultar su presencia en el sistema. Los
atacantes siempre cubren sus huellas para ocultar su identidad (EC-Council, 2020).
Los administradores de sistemas pueden implementar IDS (sistemas de detección de

intrusos) basados en host y software antivirus para detectar troyanos y otros
archivos y directorios aparentemente comprometidos. Un hacker ético debe
conocer las herramientas y técnicas que implementan los atacantes para que

puedan defender e implementar las contramedidas que se detallan en los módulos

posteriores (EC-Council, 2020).

4.3 Subtema 3: Gestión de Riesgos

La gestión de riesgos es el proceso de identificar, evaluar, responder e implementar las
actividades que controlan cómo la organización gestiona los efectos potenciales del
riesgo. Tiene un lugar destacado en todo el ciclo de vida de la seguridad y es un proceso
complejo continuo y cada vez mayor. Los tipos de riesgos varían de una organización a
otra, pero el acto de preparar un plan de gestión de riesgos es común a todas las
organizaciones (EC-Council, 2020).
Objetivos de gestión de riesgos
 Identificar riesgos potenciales: este es el principal objetivo de la gestión de

riesgos.
 Identificar el impacto de los riesgos y ayudar a la organización a desarrollar
mejores estrategias y planes de gestión de riesgos Priorizar los riesgos, según el
impacto o la gravedad del riesgo, y utilizar métodos, herramientas y técnicas de
gestión de riesgos establecidos para ayudar en esta tarea Comprender y analizar
los riesgos y reportar los eventos de riesgo identificados.
 Controlar el riesgo y mitigar su efecto.
 Crear conciencia entre el personal de seguridad y desarrollar estrategias y planes
para estrategias duraderas de gestión de riesgos.
La gestión de riesgos es un proceso continúo realizado mediante el logro de objetivos

en cada fase. Ayuda a reducir y mantener el riesgo a un nivel aceptable utilizando un
programa de seguridad bien definido y empleado activamente. Este proceso se aplica
en todas las etapas de la organización, por ejemplo, en ubicaciones específicas de la red,

tanto en contextos estratégicos como operativos (EC-Council, 2020).
Los cuatro pasos clave comúnmente denominados como fases de gestión de riesgos son:
1. Identificación de riesgo
2. Evaluación de riesgos
3. Tratamiento de riesgos
4. Seguimiento y revisión de riesgos

4.4 Subtema 4: Leyes y Estándares de Seguridad de la

Información
Las leyes son un sistema de reglas y pautas que un país o una comunidad en particular
aplican para gobernar el comportamiento. Una norma es un “documento establecido
por consenso y aprobado por un organismo reconocido que establece, para uso común
y reiterado, reglas, lineamientos o características para las actividades o sus resultados,
encaminadas a lograr el grado óptimo de orden en un contexto determinado.” (EC-
Council, 2020)
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un

estándar de seguridad de la información patentado para organizaciones que manejan
información de titulares de tarjetas para las principales tarjetas de débito, crédito,
prepago, monedero electrónico, cajero automático y POS. Este estándar ofrece
estándares sólidos y completos y materiales de apoyo para mejorar la seguridad de los
datos de las tarjetas de pago. Estos materiales incluyen un marco de especificaciones,
herramientas, medidas y recursos de soporte para ayudar a las organizaciones a
garantizar el manejo seguro de la información del titular de la tarjeta. (PCI Security,
2020).
ISO/CEI 27001
Especifica los requisitos para establecer, implementar, mantener y mejorar

continuamente un sistema de gestión de seguridad de la información dentro del
contexto de una organización. Incluye requisitos para la evaluación y el tratamiento de

los riesgos de seguridad de la información adaptados a las necesidades de la
organización (ISO, 2021).
El reglamento está destinado a ser adecuado para varios usos diferentes, que incluyen:
 Uso dentro de las organizaciones para formular requisitos y objetivos de

seguridad.

 Úselo dentro de las organizaciones como una forma de garantizar que los riesgos
de seguridad se gestionen de manera rentable. Úselo dentro de las
organizaciones para garantizar el cumplimiento de las leyes y los reglamentos.
 Definición de nuevos procesos de gestión de la seguridad de la información
 Identificar y aclarar los procesos de gestión de la seguridad de la información
existentes
Uso por parte de la dirección de las organizaciones para determinar el estado de las
actividades de gestión de la seguridad de la información Implementación de la
seguridad de la información que facilita el negocio.

5. Preguntas de Comprension de la
Unidad 1
1. Pregunta de comprensión Nro. 1
¿En qué fase dentro del marco de hacking ético se modifica o elimina la información
de registro?
A. Escaneo y enumeración
B. Obtener acceso
C. Mantener acceso
D. Limpiar rastro

Un atacante está realizando lo siguiente en una máquina destino: nmap -sT
192.168.100.5 ¿En qué fase está el atacante?
A. Limpiar rastro
B. Mantener acceso
C. Escaneo y enumeración
D. Obtener acceso

¿Cuál es el valor TTL predeterminado para el sistema operativo Microsoft Windows
10?
A. 64
B. 128
C. 255
D. 256

¿Cuál de las siguientes contraseñas es más segura?
A. clavesegura
B. pass123!
C. Cl@v3
D. M1Cl@v3s3gur4*!

¿Qué compilación de sistema operativo proporciona un conjunto de herramientas para fines
ofensivos en la red (atacar a su objetivo)?
A. Kali Linux
B. Windows Server 2012 R2

C. FreeBSD
D. Security Onion

6. Bibliografía
» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and
Beyond. Sixth Edition ed. New York: McGraw Hill.
» Conteh, N. Y., 2021. Ethical Hacking Techniques and Countermeasures for

Cybercrime Prevention. Hershey: IGI Global.
» EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
» Foundation, O., 2017. OWASP: The Open Web Application Security Project.
s.l.:OWASP Foundation.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security
Principles, Algorithm, Applications, and Perspectives. Boca Raton: Taylor &
Francis Group, LLC.
» ISO, 2021. ISO Estándares. [En línea]

Available at: https://www.iso.org/isoiec-27001-information-security.html
[Último acceso: 15 05 2022].
» OWASP Top 10, 2021. OWASP Top 10:2021. [En línea]

Available at: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
» PCI Security, 2020. PCI Security Standards Council. [En línea]

Available at: https://www.pcisecuritystandards.org/privacy
» Rains, T., 2020. Cybersecurity Threats, Malware Trends, and Strategies.

Birmingham: Packt Publishing.
» Rasner, G. C., 2021. Cybersecurity and Third-Party Risk. Third Party Threat
Hunting ed. New Jersey: John Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New
Jersey: Pearson Education, Inc..


UNIDAD 2
Seguridad Física y Lógica

ÍNDICE
1. Unidad 2: Seguridad Física y Lógica...................................................................... 3

Tema 1: Seguridad Física .............................................................................................. 3
Objetivo ......................................................................................................................... 3
Introducción .................................................................................................................. 3

2.1 Subtema 1: Controles de Presencia y Acceso ..................................................... 5
2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social .............................................. 9
2.3 Subtema 3: Herramientas de Ingeniería Social................................................ 14
2.4 Subtema 4: Contramedidas de Ingeniería Social ............................................. 16
3. Unidad 2: Seguridad Física y Lógica.................................................................... 20

Tema 2: Reconocimiento y Recopilación de Información ........................................... 20
Objetivo ....................................................................................................................... 20
Introducción ................................................................................................................ 20

1.1 Subtema 1: Introducción y Conceptos.............................................................. 21
1.2 Subtema 2: Tipos de Footprinting .................................................................... 23
1.3 Subtema 3: Herramientas y Técnicas de Footprinting ..................................... 25
1.4 Subtema 4: Contramedidas para Prevenir la Divulgación de Información ...... 27
6. Material Complementario ................................................................................. 31
7. Bibliografía ........................................................................................................ 32
2
Unidad 2 l Seguridad Física y Lógica
1. Unidad 2: Seguridad Física y

Lógica
Tema 1: Seguridad Física
Objetivo
El objetivo de la seguridad física en cuanto a la protección en línea es disminuir el riesgo

para los marcos de datos y la información. Los esfuerzos de seguridad física están
planificados para mantener las estructuras libres de cualquier daño potencial y, al
mismo tiempo, proteger el hardware interior. Básicamente, mantienen alejadas a las
personas no deseadas y permiten la entrada sólo a personas con los permisos
correspondientes.
Introducción
Si bien en las organizaciones la protección en línea es vital, las brechas de seguridad y
los peligros reales deben evitarse para proteger su innovación e información, así como
a cualquier personal o empleado que se acerque a la oficina. Su entorno de trabajo u
oficina estará indefenso contra el crimen si no tiene sistemas de seguridad establecidos.
Las preocupaciones de seguridad física incluyen robo, desfiguración, extorsión e incluso
percances. Los modelos de control de seguridad física deben incluir desde seguridad en
accesos de entrada, salida a las diferentes áreas de la empresa e inclusive mantener
personal que custodio las áreas críticas de la organización. Si bien son útiles, hay muchas
más capas de seguridad real para los lugares de trabajo que en algunos casos se ignoran.
Se alude como seguridad física a los seguros de personas, propiedades y recursos físicos
contra manifestaciones físicas y eventos como incendios, inundaciones, eventos
cataclismos, robos, hurtos, mutilaciones y opresión psicológica. Señales de precaución
o adhesivos para ventanas, paredes, obstrucciones de vehículos, focos de paso
confinado, iluminación de seguridad, etc. son probablemente los modelos más notables.
Cuando las divisiones de seguridad física y ciberseguridad trabajan en los almacenes, no
tienen una imagen completa de los riesgos de seguridad que están enfocadas en su

organización. Posteriormente, es probable que ocurran ataques fructíferos, lo que

posiblemente provoque el robo de datos confidenciales o exclusivos, daños financieros,
interrupción de del servicio.
La seguridad física ayuda con la ciberseguridad al limitar el acceso a las regiones de

capacidad de información, y viceversa. Los programadores, con la mayor frecuencia
posible, tienen como objetivo las piezas de seguridad física asociadas a Internet, por
ejemplo, cerraduras de entrada con tarjeta RFID, teléfonos celulares y cámaras de
reconocimiento de video. Las tareas de seguridad física solían ser supervisadas por
policías con experiencia en el manejo de la seguridad física de una oficina mediante el
uso de cerraduras, cámaras, monitores, cercas y precauciones. La seguridad física es
importante por una variedad de razones, que incluyen evitar que personas no aprobadas
ingresen a su empresa y causen daños, proteger su innovación con licencia del
reconocimiento corporativo y disminuir la crueldad en el entorno laboral (Abdi, et al.,
2018).
Además, a medida que avanza el cambio los representantes se adaptan al nuevo tipo de
trabajo remoto o áreas de trabajo mixtas, la innovación se ha vuelto más asequible, más
razonable y equipada para desempeñar funciones adicionales que en cualquier otro
momento. La totalidad de esta eficacia, sin embargo, conlleva un riesgo. Cuando un
dispositivo interactúa con la organización, se convierte en una posible superficie de
ataque para un programador que intente acceder a la organización. Pueden contaminar
las PC con malware, tomar información o arruinar las actividades corporativas. Para
evitar las brechas de seguridad, cada equipo asociado con IoT en su empresa debe estar
lo suficientemente consolidado. Un procedimiento de combinación de seguridad física

digital une los esfuerzos de seguridad física con estrategias de protección en línea para
proteger la red asociada y evitar el acceso a información básica. La combinación de
seguridad física y de TI tiende a la idea interrelacionada de estas partes y las aborda
como una sustancia solitaria en lugar de asociaciones comerciales aisladas. Un ataque
digital o físico efectivo a los marcos de control modernos (ICS) y las organizaciones
asociadas podría perturbar las tareas o evitar que la sociedad obtenga administraciones
vitales.

2. Infórmación de lós subtemas

2.1 Subtema 1: Controles de Presencia y Acceso
Si bien los esfuerzos de seguridad física son importantes para evitar el acceso no
autorizado, una técnica de combinación de protección física y en línea también se debe
incorporar a las personas que toman las debidas decisiones, analizan y aceptan opciones
comerciales para dispositivos inteligentes basados en la nube y marcos de seguridad, así
como gadgets, aplicaciones y otros servicios para protección de la organización.
Independientemente de la forma en que la seguridad física y de la red están

inseparablemente conectadas, muchas organizaciones las abordan como marcos
autónomos. Esto fue legítimo recientemente debido a la ausencia de innovación para
combinar la protección física y de red. Sea como fuere, el problema actualmente está
en la administración, con énfasis en diseñar un cuerpo unido para estrategias de
seguridad e incorporar grupos de seguridad y protección de red reales para fortalecer
su empresa. A través del comercio de información, la perceptibilidad, el control y la
mecanización, una ingeniería de seguridad incorporada brinda un escenario para
coordinar los universos físico y digital. A medida que nos volvamos más dependientes
de la innovación en nuestras rutinas diarias, CPS se volverá cada vez más importante
para ayudar a su asociación a prevenir el abuso coincidente y posiblemente pernicioso
de estos marcos y activos, así como garantizar que sus misiones esperadas no se vean
alteradas. o comprometido.
Controles de presencia y acceso

Los guardias de seguridad, CCTV (circuito cerrado de televisión) y control de puertas son
solo algunos ejemplos de seguridad física. Las empresas podrían evitar la pérdida de
datos empleando estos procesos, lo que evitaría el robo de dispositivos electrónicos. Los
centros de datos que tienen los servidores de la institución deben mantenerse cerrados
con llave en todo momento y solo debe tener acceso el personal autorizado. Se debe
usar CCTV y un libro de registro para monitorear el acceso (como mínimo). Una puerta
de seguridad con un mecanismo de autenticación, como una tarjeta inteligente o quizás

un escaneo biométrico, sería una opción superior. Otra técnica para garantizar que no
ocurra ningún acceso no autorizado al centro de datos es hacer que un guardia de
seguridad permita el acceso. Fuera del horario de oficina, se pueden usar detectores de
movimiento para vigilar la habitación.
Los dispositivos móviles deben estar bloqueados: la pérdida de datos se puede evitar
asegurando equipos electrónicos como computadoras portátiles y teléfonos móviles. El
robo de un sistema completo es uno de los tipos más fáciles y frecuentes de violación
de la seguridad, lo que lo deja vulnerable a la pérdida de todos los datos y contraseñas
de red guardados en la computadora. Asegúrelos con un candado de cable, colóquelos
en un lugar seguro (como la sala de servidores) o manténgalos consigo para evitar esta
pérdida.
Asegure archivos confidenciales: la información confidencial se puede almacenar en una

variedad de formatos, no solo en versiones digitales. La información confidencial
también se puede encontrar en documentos impresos, como facturas o informes de
trabajo. Cuando ya no los necesite, triture los registros en papel y guarde los
documentos confidenciales bajo llave en cajones o archivadores. Notificar sospechas de
violaciones de datos a la dirección departamental correspondiente. Será necesario
informar una violación de datos personales si es probable que ponga en riesgo los
derechos y libertades de las personas.
Designe guardias de seguridad competentes: los guardias uniformados en el sitio

pueden disuadir el comportamiento delictivo y, al mismo tiempo, garantizar que las
empresas que manejan datos confidenciales sigan los mejores procedimientos.
Trabajando junto a sus empleados, un oficial de seguridad causará la menor cantidad de

interrupciones en su lugar de trabajo.
Cuando muchas personas consideran la seguridad, consideran cerraduras, rejas,

precauciones y relojes biométricos. Si bien estas contramedidas de ninguna manera
son100% eficientes, permiten formar los posibles escudos a tener en cuenta al intentar
obtener un marco de datos, son un excelente lugar para comenzar. La seguridad de los
datos, la seguridad de la programación, la seguridad del acceso del cliente y la seguridad

de la organización son mucho más difíciles, en el caso de que sea posible, ejecutar sin
seguridad real.
La seguridad real se relaciona con evitar robos, desfiguraciones, eventos catastróficos,

debacles provocados por el hombre y daños no intencionales a los destinos y equipos
(así como a los datos y la programación incluidos en ellos) (por ejemplo, de
inundaciones, tormentas eléctricas, temperaturas escandalosas, entre otros). Requiere
un desarrollo sólido, preparación legítima para crisis, suministros de energía confiables,
un entorno satisfactorio para el centro de datos y suficiente protección contra intrusos.
Las medidas de control de acceso, le permiten monitorear quién está en su espacio y

dónde están constantemente. Las personas que utilizan su espacio reciben
identificaciones, que actúan como control de acceso. Un número de reconocimiento
especial para ese titular de la tarjeta está codificado en cada una de las identificaciones,
que pueden aparecer como tarjetas con capacidad de deslizamiento, chips RFID o
incluso códigos QR. Cada número de identificación tiene un nivel de acceso alternativo,
lo que permite a los titulares de tarjetas acceder a diversos departamentos según su
nivel de acceso, además se tendrá un registro con la hora del día y cualquier otro
elemento que desee controlar. Emissary, un software de control de acceso, incorpora
marcos de control de acceso basados en la nube. Puede asignar identificaciones breves
a los invitados utilizando el control de acceso de invitados. Estas identificaciones están
destinadas a terminar después de un período de tiempo establecido, lo que le permite
controlar a dónde puede ir cada invitado dentro de su oficina. En lugar de permitir que
los invitados deambulen sin rumbo fijo, puede monitorear sus desarrollos e incluso
negarles la entrada asumiendo que pasan demasiado tiempo adentro. Cuando los
visitantes ingresan a su oficina, el personal del área de trabajo del frente les da la
bienvenida con una sonrisa reconfortante y una identificación personalizada que se
registra en un marco de pase de invitado, fomentan un sentimiento de confianza. Este
movimiento da la apariencia de que su organización es consciente, tenaz y en general
cumplida. Esta progresión de su parte garantiza que cada persona que ingresa a su
espacio ha ingresado datos distintivos en su marco, lo que sugiere que es responsable
de su forma de comportarse una vez dentro. No se trata solo de ofrecer ese trato
específico al cliente que el control electrónico de acceso de invitados agrega estima. Esta

etapa, además de otras cosas, amplía el valor de su negocio en curso y genera un

potencial de tierra adicional. Todo gira en torno a quién, dónde y con respecto al control
de acceso real. A quién se le permite entrar o salir, dónde se les permite salir o entrar, y
cuándo se les permite entrar o salir no está grabado en piedra por un marco de control
de entrada. Anteriormente, esto se lograba hasta cierto punto usando llaves y
cerraduras. (Alshanfari, et al., 2020)Dependiendo de cómo esté diseñada la cerradura,
solo alguien con una llave puede entrar por la entrada mientras está cerrada. Las
cerraduras y llaves mecánicas no permiten al titular vital restringir su entrada a períodos
o fechas determinadas. Las cerraduras mecánicas y las llaves no controlan qué llave se
usó en qué entrada y, de esta manera, no son difíciles de duplicar o transferir a una
persona no autorizada. Las cerraduras deben cambiarse cuando se pierde una llave
mecánica o cuando el titular de la llave generalmente no está aprobado para utilizar la
región protegida.

2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social

La expresión "ingeniería social" alude a una amplia gama de formas de comportamiento
vengativas ayudadas a través de conexiones humanas. Utiliza acrobacias mentales para
convencer a los clientes de cometer errores de seguridad o descubrir datos básicos. Los
ataques de ingeniería social se completan a través de una progresión de pasos. Para
completar el ataque, un culpable inicialmente inspecciona la víctima planificada para
obtener información básica importante. (Alshanfari, et al., 2020)El atacante entonces,
en ese momento, trata de ganarse la confianza de la víctima para posterior abusar de
las normas de seguridad, por ejemplo, revelando información confidencial u obteniendo
información comprometedora para aprovecharse y obtener una rentabilidad de ello.
Figura 1. Ciclo de un ataque de ingeniería social
Recolección de
información
Relación de
Salida
confianza
Manipulación
Fuente: Elaboración propia
Los ataques de ingeniería social, utilizan una garantía falsa para encender la
insaciabilidad o el interés de una víctima. Engañan a los compradores para que caigan
en una trampa en la que se toman sus propios datos o sus PC se contaminan con
malware. Los medios reales se utilizan para propagar malware en la forma más
despreciada de atormentar. Por ejemplo, los agresores pueden colocar la trampa,
normalmente unidades contaminadas con malware, en entornos donde es probable que
las víctimas potenciales la experimenten (por ejemplo, baños, ascensores y el área de
estacionamiento de una organización designada). La trampa tiene una apariencia
certificada, con una marca que la reconoce como la lista financiera de la organización.
Las víctimas seleccionan la trampa de interés y la detectan en una computadora de
trabajo o doméstica, lo que provoca que el malware se introduzca en consecuencia. Los

planes atormentadores no necesariamente tienen que ocurrir en el mundo real. La

incitación ocurre en línea a través de la promoción atractiva que guía a los observadores
a sitios maliciosos o los tienta a descargar una aplicación contaminada con malware.
Los sobrevivientes de Scareware (software malicioso que engaña a los usuarios de una
computadora para que visiten sitios infestados de malware) son atacados con
problemas engañosos y peligros falsos. Se engaña a los clientes para que acepten que
su marco está contaminado con malware, lo que los lleva a introducir programación que
no tiene ningún motivo (aparte de ayudar al malhechor) o que es malware. La
programación engañosa, la programación de verificación inconformista y la extorsión
son términos utilizados para describir el Scareware. Los banderines emergentes de
apariencia real que aparecen en su programa mientras examinan la web, mostrando
frases como "Su PC podría estar contaminada con terribles aplicaciones de spyware",
son un famoso modelo de scareware. Ofrece introducir la utilidad por usted (que
regularmente está invadida por malware) o lo guía a un sitio rebelde donde su PC está
contaminada. El scareware también se propaga a través del correo electrónico no
deseado, que transmite alertas u ofertas falsas para comprar algo (Idierukevbe, 2019).
La caza de ballenas (Whaling) es un tipo de ataque de phishing que se dirige

explícitamente a líderes empresariales de alto nivel y jefes de organizaciones
gubernamentales. Los ataques de caza de ballenas utilizan regularmente los registros de
correo electrónico de otros representantes de alto nivel en la organización o la oficina
para enviar mensajes nefastos sobre una crisis falsa o un período de oportunidades
delicadas. Debido al gran nivel de acceso a la organización que tienen los líderes y jefes
superiores, los ataques balleneros efectivos pueden revelar una tonelada de datos
secretos y delicados.
El pretexto es un tipo de ataque de diseño amistoso en el que un estafador crea un

disfraz o una situación, por ejemplo, insinuando ser un examinador del IRS, para engañar
a alguien para que revele datos confidenciales personales o financieros, por ejemplo, y
su número de jubilación administrado por el gobierno. Alguien realmente puede
obtener acceso a su información aquí de ataque actuando como un vendedor, un

conductor de transporte o un trabajador del proyecto para ganarse la confianza de su

personal.
A medida que más organizaciones deciden enviar mensajes como su principal método
de correspondencia, el phishing por SMS se está convirtiendo en una preocupación
mucho mayor. Los estafadores envían mensajes instantáneos que imitan solicitudes de
verificación multifacéticas y fallas de conexión a páginas de sitios malignos que capturan
sus credenciales o introducen malware en sus teléfonos en una sola forma de phishing
por SMS.
El ladrón persuade a un conductor de transporte o mensajero para que vaya a algún

lugar inaceptable o entregue un paquete a alguien que no sea el beneficiario esperado
en un plan de robo de redirección obsoleto. Una técnica de redirección de robo basada
en la web incluye a un ladrón que convence a la víctima para que envíe u ofrezca
información delicada a una persona inaceptable. El tramposo generalmente logra esto
imitando a alguien de la organización de la víctima, por ejemplo, una firma de inspección
o una institución monetaria (Idierukevbe, 2019).
El daño a la reserva (reserve harming) es un ataque a la organización que incluye la

infusión de datos erróneos en una tienda web para dar respuestas HTTP maliciosas a los
compradores. La parodia de DNS (DNS parodying) es un ataque comparativo en el que
los atacantes utilizan el Sistema de nombres de dominio (DNS) para desviar el tráfico de
los servidores genuinos hacia servidores malévolos o inseguros. El daño a la reserva y la
satirización del DNS son ataques engañosos que desvían el tráfico de los sitios reales e
inyectan malware al equipo y permite el robo de información.
Un ataque inicial de riego (watering opening assault) incluye enviar o descargar código
malicioso de un sitio real visitado por los objetivos del ataque. Por ejemplo, los agresores
podrían violar un sitio de noticias de la industria financiera, al darse cuenta de que las
personas que trabajan en finanzas probablemente lo visitarán, lo que los convierte en
un objetivo atractivo. Por lo general, se instala un troyano de paso secundario en un sitio
comprometido, lo que permite al atacante pensar dos veces antes de controlar de forma
remota el dispositivo de la víctima. Los asaltos de apertura de riego normalmente los
realizan asaltantes expertos que han encontrado una imperfección de día cero o que

potencialmente están persiguiendo a un "tipo" particular de cliente, por ejemplo,

trabajadores de una asociación particular que usan un activo o dispositivo de recursos
humanos en particular, según las alertas de los bancos en 2017. Para salvaguardar el
valor del esfuerzo que reconocieron, pueden esperar meses antes de lanzar el ataque.
Los ataques de apertura de riego a veces se coordinan directamente contra la
programación débil del grupo de interés principal, a diferencia de un sitio que visitan.
Para salvaguardar el valor de la aventura que protagonizaron, pueden esperar meses
antes de enviar el ataque. Los ataques de apertura de riego a veces se coordinan
directamente contra la programación débil del grupo de interés, a diferencia de un sitio
que visitan.
Un asalto de remuneración es como burlarse, pero en realidad, en lugar de dar algo de

valor significativo a la persona en cuestión, los agresores prometen adoptar un
movimiento que los ayudará a cambio de algo de la persona en cuestión. Un agresor
puede, por ejemplo, ponerse en contacto con expansiones corporativas irregulares
mientras afirma volver en una solicitud de ayuda especializada. Cuando encuentran a
alguien que tiene un problema de soporte certificado, dicen ayudarlos mientras los
entrenan para hacer movimientos que dañarán su máquina.
La introducción de antivirus y otros esfuerzos de seguridad de puntos finales en los

dispositivos de los clientes es el método más fundamental. La programación actual de
seguridad de puntos finales puede identificar y prevenir correspondencias claras de
phishing, así como cualquier mensaje que contenga asociaciones con sitios peligrosos o
tendencias de IP que se hayan identificado en conjuntos de datos de datos peligrosos.
También pueden bloquear y evitar que se ejecuten ciclos perniciosos en la PC de un

cliente. Si bien hay ataques avanzados que desvían o perjudican a los especialistas en
puntos finales y antivirus, por lo general dejan otros signos evidentes de un ataque
fructífero. Con el diseño social, hay un montón de estrategias innovadoras para penetrar
las garantías de una asociación. Cuando contratas a un programador moral para diseñar
ataques/pruebas de acceso al canal, estás permitiendo que alguien con la variedad de
habilidades de un programador encuentre y aproveche las imperfecciones en tu
sistema. Cuando prevalece una prueba de acceso con respecto a comprometer sistemas
delicados, puede ayudarlo a distinguir trabajadores o sistemas que deben protegerse,

así como métodos de diseño amigables a los que puede ser especialmente vulnerable
(Aroyo, et al., 2018).
Fisherman phishing es un tipo de ataque de phishing que explota el entretenimiento en

línea. Los ataques de phishing de pescadores se inician utilizando perfiles de
entretenimiento en línea comerciales falsos, en lugar del phishing habitual, que utiliza
mensajes que reflejan organizaciones reales. Una etapa inicial de ataques de ingeniería
social más intrincados en los que el sinvergüenza se gana la confianza de la persona en
cuestión, generalmente creando una historia confiable (Aroyo, et al., 2018).

2.3 Subtema 3: Herramientas de Ingeniería Social

Metasploit Framework es un dispositivo de prueba de infiltración que puede utilizarse
para encontrar, explotar y evaluar imperfecciones de seguridad. Brinda la sustancia, los
dispositivos y la base necesarios para intentar una evaluación de seguridad exhaustiva y
pruebas de acceso. La capacidad de configurar un servidor SMB falso es uno de los
elementos más fuertes de Metasploit. Cuando un cliente de la empresa intenta acceder
al servidor, su marco se verá obligado a mostrar sus calificaciones en cuanto a su "hash
de clave secreta espacial". Si espera lo suficiente, podría obtener certificaciones de área
cuando los clientes intenten interactuar con el servidor SMB. En el momento en que el
objetivo encaje en él, puede obtener sus acreditaciones espaciales enviándoles un UNC
implantado. MSF se actualiza regularmente cuando sus creadores liberan las nuevas
opciones. Puede enviar Metasploit a través del menú de Kali Linux o ingresando el
pedido adjunto en la terminal.
Maltego es un instrumento perspicaz de conocimiento de código abierto (OSINT) que

muestra cómo se asocian diferentes piezas de información. Puede utilizar Maltego para
rastrear asociaciones entre personas y otros recursos de datos, como direcciones de
correo electrónico, perfiles sociales, nombres de pantalla y otros detalles que conectan
a una persona con una ayuda o asociación. Tener todos estos datos cerca puede
ayudarlo a imitar un ataque de ingeniería social y evaluar la información de seguridad
de sus trabajadores. Maltego tiene una interfaz de usuario gráfica que lo simplifica para
ver las conexiones.
Social Engineering Toolkit (o SET) es un conjunto de herramientas de código abierto

basado en Python para pruebas de acceso de ingeniería social. SET ofrece varios
vectores de ataque específicos que le permiten configurar un posible ataque
rápidamente y de manera efectiva. SET viene con una herramienta de sitio que
transforma su PC en un servidor web, completo con una variedad de exploits. El punto
es darle a su víctima una conexión que los lleve a su sitio web, donde el ataque se
descarga y ejecuta rápidamente. Para que el ataque parezca más real, puede involucrar
los formatos preconstruidos en SET para clonar un sitio legítimo. SET tiene páginas de

phishing prediseñadas para sitios inconfundibles como Facebook, Twitter, Google y

Yahoo.
Wifiphisher es un dispositivo que se utiliza en ataques de ingeniería social excepcional

que computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo. La utilidad puede bloquear (desconfirmar
a todos los usuarios) cualquier vía Wi-Fi cercana y crear una vía de clonación que no
necesita una contraseña para unirse. Cuando los objetivos ingresan una clave secreta,
Wifiphisher envía una advertencia mientras reduce la velocidad por tiempo. Después de
comunicar la clave secreta capturada, mostrará un reloj de reinicio falso y una pantalla
de actualización falsa para que tenga tiempo de probar la clave secreta capturada. Es un
instrumento útil para considerar a sus guardias de seguridad en contraste con el diseño
social basado en Wi-Fi.
 Los ataques de phishing aprovechan los errores humanos para tomar

contraseñas o propagar malware, generalmente a través de conexiones de
correo electrónico corruptas o uniones malévolas a sitios. Ofreciendo
obsequios incondicionales o transmitiendo artilugios contaminados, los
agresores atraen a las víctimas para que, al mismo tiempo, socaven su
seguridad.

2.4 Subtema 4: Contramedidas de Ingeniería Social

El error humano es el objetivo de las contramedidas contra los ataques de ingeniería
social. Los representantes están más preparados para condiciones posiblemente
riesgosas si tienen las estrategias, políticas y técnicas correctamente establecidas.
Realmente lamentando decir "no". Cuando una situación comienza a pasar de las pautas
establecidas, en cualquier caso, su representante estará más seguro de decir "no" y
adherirse a las técnicas corporativas en (lo que podría ser) una situación perturbadora
si las estrategias definidas están en su lugar. A pesar de la forma en que los seguros
físicos y de red están indistinguiblemente asociados, varias asociaciones realmente los
abordan como estructuras libres. Esto fue legítimo recientemente debido a la ausencia
de innovación para combinar la protección física y de red. Sin embargo, el problema a
partir de ahora está en la administración, con énfasis en diseñar un cuerpo unido para
estrategias de seguridad e incorporar seguridad física y grupos de seguridad de red
juntos para reforzar su empresa. A través del conocimiento del comercio, la
permeabilidad, el control y la mecanización, la ingeniería de seguridad coordinada
brinda un escenario para incorporar la física y universos digitales (Costantino, et al.,
2018).
Los sistemas están en constante desarrollo, por lo que su equipo debe ser instruido para
reconocer los ataques o, al menos, las situaciones que se apartan de las estrategias
habituales. Los dones aprendidos pueden ser descuidados después de algún tiempo. No
obstante, los procedimientos y estrategias de nuestros rivales siguen ajustándose. Es
importante que cada individuo de su personal obtenga una preparación estándar e ideal.
La preparación general de atención de seguridad, las pruebas estándar de phishing

recreadas y el compromiso de diseño amigable deben ser importantes para un plan de
preparación completo. También es importante que los trabajadores conozcan la
capacidad de respuesta y la disposición de los datos y los recursos. Mientras trabaja con
datos excepcionalmente delicados, su personal debe saber que deben practicar una
atención plena más notable que al administrar recursos menos importantes.
Uso de la Web: Este segmento cubre la utilización satisfactoria de Internet. Solo se

podría respaldar el uso relacionado con el negocio, por ejemplo. Por lo tanto, los

representantes pueden estar protegidos de los mensajes de phishing no relacionados

con el negocio.
Estrategia de programas: describe qué tipos de programas están permitidos, así como
quién tiene el poder de introducirlos y actualizarlos. Piense en permitir que un puñado
limitado de personas introduzca los programas en las PC. Esto podría ayudar a prevenir
un ataque phishing en el que por medio de ingeniería social un atacante alienta a una
víctima a instalar programas infectados en su PC.
Estrategia de equipo: especifica qué equipo se debe utilizar y cómo se debe utilizar. Las
memorias USB, por ejemplo, pueden ser denegadas. Esto podría impedir que los
representantes coloquen memorias USB dañinas que encuentren en el área de
estacionamiento en sus PC de trabajo.
Se establecen contramedidas especializadas para evitar que el problema se deteriore.

La idea es frustrar a los artistas de peligro antes de que tengan la oportunidad de
aprovechar el instinto humano, en cualquier caso. Aquí hay una variedad de opciones,
incluida la administración de desechos que descarta de manera segura cualquier
información delicada, marcos de acceso reales seguros (entradas, puertas, etc.), tarjetas
de entrada complejas, control individual, acompañando a cualquier visitante, etc.
Dentro o en un esfuerzo conjunto con un tercero, dichas revisiones pueden completarse.
Deben ser posibles de forma latente o contundente. El estudio latente implica solo una
evaluación hipotética de la superficie de ataque. Una auditoría funcional incluye
esforzarse de manera efectiva por arriesgar el secreto, la respetabilidad o la
accesibilidad potencial de los datos. El equipo de trabajo es la parte más significativa del
plan de seguridad de cualquier asociación. Intente atraer a su personal de una manera

que eleve su inversión inicial a la cultura de seguridad más amplia de la organización
mientras evalúa cómo se mantendrá al día con su empresa protegida de los peligros de
seguridad de la red (Opazo, et al., 2018).
Para protegerse, debe instruir a su equipo de trabajo sobre temas, por ejemplo, qué es
la ingeniería social, cómo detectarlo y qué hacer al respecto. Los representantes deben
aprender sobre los efectos secundarios especializados y de conducta de un truco de
ingeniería social como parte de su preparación. Los indicadores técnicos de un correo

electrónico malicioso, por ejemplo, podrían incluir: Enlaces sospechosos: examinar los
enlaces y archivos adjuntos del correo electrónico puede revelar su validez. Las URL
largas o complejas, así como los errores tipográficos en los nombres de dominio, son
sospechosos. Los indicadores de comportamiento, por otro lado, podrían incluir:
Solicitudes urgentes: los ingenieros sociales entienden el valor de ejercer presión y

pueden usar la urgencia como parte de su ataque.
Solicitudes de cambios en los detalles financieros o transacciones: las solicitudes de

cambios en la información financiera son típicas, pero los empleados deben tener
cuidado.
Remitentes que son inusuales o inesperados: recibir un correo electrónico de alguien

que nunca conoció o con quien nunca trabajó podría ser un síntoma de un ataque de
ingeniería social.
Cambios en el comportamiento: si un colega escribe de manera diferente o hace

demandas inusuales, es posible que su cuenta haya sido pirateada.
En general, una de las contramedidas más efectivas contra la ingeniería social es educar
a sus empleados sobre qué es, por qué es peligrosa y cómo prevenirla. Los empleados
pueden ser educados en una variedad de métodos. Considere brindar a sus empleados
conocimientos sobre los siguientes temas: Ingeniería basada en redes sociales. Se han
producido varias violaciones importantes de la seguridad cibernética dentro de grandes
instituciones como resultado de fraudes basados en las redes sociales. Debido a que los
empleados poseen y operan cuentas personales de redes sociales, monitorear la
información que las personas publican es casi imposible. Sin embargo, puede compartir
información sobre los peligros reales de compartir información en exceso. También
puede proporcionar información sobre las señales de alerta que indican una estafa. La
ubicación, una dirección de correo electrónico del trabajo, las credenciales, las fechas
de vacaciones inminentes, los números de teléfono y las ubicaciones físicas son
ejemplos de información que los empleados no deben compartir en las redes sociales.
Los ataques de smishing tienen una variedad de objetivos (robo de credenciales,

recopilación de datos, implementación de malware), pero el objetivo final suele ser

infiltrarse en los límites digitales de una empresa. Por más banal que pueda parecer un
mensaje de texto, una víctima de este tipo de ataque puede causar pérdidas
corporativas accidentalmente. (Rashid, et al., 2018)Los empleados pueden utilizar una
VPN para evitar el smishing, ejecutar una búsqueda en la web tanto del número de
teléfono vinculado con el mensaje como del contenido en línea, y volver a verificar la
autenticidad de los mensajes que parecen provenir de un colega, pero suenan
sintácticamente "incorrectos".
Los marcos de seguridad son más inteligentes que nunca en la memoria reciente, gracias
al Internet de las cosas, que se está preparando para avances asociados y coordinados
entre empresas. Las etapas basadas en la nube, las fuerzas laborales dispersas y la
innovación portátil, por otra parte, aumentan el riesgo. Para una forma total de lidiar
con la seguridad, la combinación de seguridad digital y real une estos dos marcos y
grupos particulares. Las decepciones de seguridad reales podrían dejar a su empresa
indefensa, independientemente de si utiliza estrategias estrictas de protección de la red,
como el cifrado y los impedimentos de IP. Las personas pueden obtener acceso a la
información y los datos privados con mayor eficacia si la metodología de seguridad
actual incluye fallas, como certificaciones débiles o capacidades de verificación
deficientes. Es básico evaluar los posibles peligros y agujeros en su seguridad actual
antes de agregar esfuerzos de seguridad en su estructura o ambiente de trabajo. En
cuanto a la seguridad real, el descubrimiento es vital. Si bien es difícil mantenerse
alejado de todas las invasiones o rupturas de seguridad reales, tener los avances
correctos configurados para reconocer y responder ataques disminuye el impacto
general en su negocio. Piense en todos sus focos de paso público mientras encuentra
zonas de peligro potencial en su oficina.


Lógica
Tema 2: Reconocimiento y Recopilación de Información
Objetivo
Conocer cómo examinar y reconocer las debilidades de la red y las imperfecciones de

seguridad. Aplicando estrategias que permitan acercarse al objetivo y adquirir datos
para ataques digitales.
Introducción
El reconocimiento se refiere a recopilar información sobre un objetivo, que es el primer
paso en cualquier ataque a un sistema. Tiene sus raíces en las operaciones militares,
donde el término se refiere a la misión de recopilar información sobre un enemigo.
La seguridad de la información permite a las organizaciones proteger tanto la

información avanzada como la simple. La criptografía, el registro portátil, el
entretenimiento basado en la web, así como las organizaciones y fundaciones que
transmiten datos privados, monetarios y corporativos, están indudablemente cubiertos
por la seguridad de la información. La ciberseguridad, por otro lado, protege tanto la
información cruda como la significativa, pero solo contra los peligros que comienzan en
la web.
Las organizaciones llevan a cabo la seguridad de la información por una variedad de

razones. Los objetivos esenciales son en su mayor parte garantizar la clasificación,
confiabilidad y accesibilidad de la información de la organización. Dado que la seguridad
de la información es tan amplia, de vez en cuando requiere la ejecución de diferentes
tipos de seguridad, como seguridad de aplicaciones, seguridad básica, criptografía,
reacción ante eventos, gestión de vulnerabilidades y recuperación de fiascos.


1.1 Subtema 1: Introducción y Conceptos
El reconocimiento ayuda a los atacantes a reducir el alcance de sus esfuerzos y ayuda
en la selección de armas de ataque. Los atacantes utilizan la información recopilada
para crear un modelo o "huella" de la organización, que les ayuda a seleccionar la
estrategia más eficaz para comprometer la seguridad del sistema y de la red. De
manera similar, la evaluación de seguridad de un sistema o red comienza con el
reconocimiento y la huella del objetivo. Los piratas informáticos éticos y los
evaluadores de penetración (pen) deben recopilar suficiente información sobre el
objetivo de la evaluación antes de iniciar las evaluaciones. Los hackers éticos y los
pentesters deben simular todos los pasos que suele seguir un atacante para obtener
una idea clara de la postura de seguridad de la organización objetivo.
La seguridad de la información es un conjunto de dispositivos y métodos que puede

utilizar para proteger información simple y computarizada. La seguridad, el examen
y las pruebas de la organización están completamente incluidos bajo el paraguas de
la seguridad de la información. Se evita que los clientes no aprobados accedan a
datos clasificados mediante la utilización de técnicas como la verificación y el
consentimiento. Estos escudos lo ayudan a mantenerse alejado de los peligros del
robo, la alteración o la desgracia de la información. A pesar de que la protección en
línea y la seguridad de los datos son estrategias de seguridad, tienen varios puntos
y extensiones, con algunos cruces. Criptografía, cálculo versátil y entretenimiento en
línea todo el otoño bajo el paraguas de la seguridad de datos. Está relacionado con
la confirmación de datos, que se utiliza para proteger los datos de peligros no
individuales, como decepciones del servidor o eventos catastróficos. En correlación,
la protección de la red solo cubre los peligros basados en Internet y la información
computarizada. Además, la seguridad de la red permite la inclusión de información
cruda y no clasificada, mientras que la seguridad de los datos no. (Husari, et al., 2018)
Suponiendo que una actualización indistinguible se recibe dos veces, no brinda el
doble de la información que proporcionó el evento principal: el evento posterior no

brinda información de ninguna manera, excepto si la cantidad de eventos se

considera crítica por acuerdo anterior.
Las redes, los servidores, los dispositivos de los clientes, los dispositivos móviles y
los centros de datos se encuentran entre los componentes de la infraestructura que
están protegidos por técnicas de seguridad de la infraestructura. Sin la protección
suficiente, la mayor interconexión entre estos y otros componentes de la
infraestructura pone en riesgo la información. Debido a que la conexión propaga
vulnerabilidades a través de sus sistemas, esto es un peligro. Todos los componentes
dependientes se ven afectados si una parte de su infraestructura falla o se ve
comprometida. Como resultado, minimizar las dependencias y aislar los
componentes sin dejar de permitir las intercomunicaciones es un objetivo clave de
la seguridad de la infraestructura (Husari, et al., 2018).

1.2 Subtema 2: Tipos de Footprinting

Una de las metodologías utilizadas para recuperar datos sobre la máquina objetivo es el
Footprinting. El Footprinting se puede clasificar en Footprinting pasivo y Footprinting
activo:
Footprinting Pasivo: Implica recopilar información sin interacción directa. Este tipo de
Footprinting es principalmente útil cuando existe el requisito de que el objetivo no
detecte las actividades de recopilación de información.
Footprinting Activo: Implica recopilar información con interacción directa. El objetivo

puede reconocer el proceso de recopilación de información en curso, ya que
interactuamos abiertamente con la red objetivo.
Footprinting normalmente recopila información relacionada con la red, por ejemplo, ID

de red, nombre de espacio, nombre de área interior, instrumentos de control de acceso,
dirección IP, puertos de red, VPN, autorizaciones, datos de recopilación y de clientes,
tablas de dirección, servidor web. Servidor de base de datos, entre otras. Suponiendo
que un atacante adquiere información confidencial, puede utilizarla para cometer
extorsión, crear perfiles falsos, etc. Al obtener más tipos de información comparativa
sobre las ventajas y actividades del objetivo, el agresor puede unirse a una variedad de
otros lugares y reuniones de entretenimiento en línea, provocando problemas
considerablemente graves.
Diferentes tipos de Footprinting existen continuamente reflejadas en aplicaciones,

como Spam Footprinting, Email Footprinting, Site Footprinting, etc. Varios tipos de
dispositivos de Footprinting, como traceroute, búsqueda Whois, herramienta Nmap y

otros recopilan información. Nmap es una de las herramientas más utilizadas para la
obtener información de los hosts de las organizaciones. Traceroute es uno de los
sistemas para seguir la información de los paquetes a medida que se mueve entre
direcciones IP inconfundibles. Le brinda datos del paquete, como el tiempo de reacción
del ping, la dirección IP y el nombre de host. Las dos técnicas descritas arriba son los
dispositivos más ampliamente involucrados para obtener los datos de la red: Nmap y
traceroute. Al utilizar Footprinting, el cliente debe evaluar algunas contramedidas para

salvaguardar la información. Una de las principales etapas del hacking ético es el

Footprinting. El Footprinting ocupa el segundo lugar en la etapa de recopilación de
información en piratería en la que el agresor asegura los datos del objetivo. Así,
involucrar la estrategia de Footprinting en la etapa de observación ofrece información
sobre el objetivo o aplicación, e investiga el camino con anticipación para conocer los
métodos de persecución y cláusulas de escape en la zona de ataque. Disminuye el efecto
probable de ir tras el espacio. Los atacantes necesitan filtrar y conocer datos sobre el
objetivo y el programa de aplicación para desglosar los procedimientos y los tipos de
debilidades que los afectan.
Hoy en día, se puede acceder a la información en una variedad de etapas, y los atacantes
se esfuerzan continuamente por obtener la información confidencial de los clientes y las
organizaciones. En este sentido, los datos individuales de los clientes se adquieren a
través de sitios web de entretenimiento como Facebook, Twitter y otros. En general,
también se designan valores de acciones, perfiles corporativos, organizaciones,
licencias, cálculos y una variedad de componentes de estrategia. Posteriormente, es
juicioso practicar la alerta antes de ser perseguido. Por lo general, los índices web, como
Google Chrome, Bing y Yahoo, son los mejores dispositivos para recopilar información
sobre el elemento que el cliente está buscando. Las herramientas de búsqueda web
utilizan la web para recopilar muchos tipos de información. Aquí los atacantes obtienen
datos sobre el conjunto de experiencias o patrones de la información de conducción.
Esto ayudará a los atacantes a acceder a la información privada y social del cliente. El
atacante recopila información jerárquica oficial, información privada confinada,
información del sitio, etc. El atacante puede utilizar herramientas de búsqueda
monetarias en la web como Google, Yahoo y otras para adquirir información financiera
sobre la máquina objetivo.

1.3 Subtema 3: Herramientas y Técnicas de

Footprinting
La mayoría de las organizaciones reclutan representantes publicando oportunidades de
empleo y datos de la empresa en destinos como LinkedIn, Multi trabajo y otros. El área,
los datos de contacto, los requisitos comerciales, el pago y los detalles del equipo, entre
otros; todo esto es publicado en la web y se puede obtener información importante. Los
datos individuales exclusivamente designados pueden ser recopilados por destinos de
trabajo engañosos. Del mismo modo, los datos delicados están contenidos en reuniones,
debates, sitios y redes, y hay una apuesta de robo con datos delicados. Técnicas de
pirateo de Google de alto nivel para Footprinting: Los piratas informáticos utilizan
rastreadores web de manera astuta para recopilar información delicada. La piratería de
Google, por ejemplo, es la utilización del rastreador web de Google para recuperar
datos.
A continuación de detallan algunas técnicas y herramientas de Footprinting:
Suplantación de identidad (Phising)
La suplantación de identidad incluye el envío de mensajes a un objetivo u objetivos

escogidos que contienen mensajes que tienen todas las características de ser reales. El
cliente se esfuerza por abrir la conexión en el cuerpo del mensaje ya que da la impresión
de ser certificable y bueno. Cuando un cliente abre la conexión, se ejecutan las
aplicaciones básicas, recuperando todos los datos confidenciales, como nombres de
usuario y contraseñas, y desviando al cliente a una ubicación falsa.
Contenedor de basura (Dumpster)
Es uno de los métodos de ingeniería social más experimentados para recopilar

información de la basura del sistema objetivo. Por ejemplo, un agresor podría recopilar
solicitudes mensuales, datos bancarios y otra información delicada de la basura.
Quien Es (WHOIS)
El Footprinting de WHOIS, que obtiene información, por ejemplo, direcciones IP,

servidor de nombres de dominio, fecha de creación y expiración del dominio, entre

otros. Los Registros Regionales de Internet se mantienen por regiones geológicas que
no son parte de naciones o distritos (RIR). Los RIR mantienen actualizado el conjunto de
datos de WHOIS. El conjunto de datos es mantenido por RIR como LACNIC (Registro de
Direcciones de Internet de América Latina y el Caribe) y APNIC (Centro de Información
de Redes de Asia Pacífico). Una URL, por ejemplo, brinda datos sobre el nombre del área
y el nombre del host. La Corporación de Internet para la Asignación de Nombres y
Números (ICANN) luego, en ese momento, confirma que el nombre del espacio está en
manos de una sola organización. La Corporación de Internet para la Asignación de
Nombres y Números (ICANN) garantiza esto al exigir que los nombres de los espacios se
registren de una manera única. Por cierto, ARINA (Registro estadounidense de números
de Internet) mantiene el RIR de direcciones IP estáticas de América del Norte. El
dispositivo WHOIS consulta el conjunto de datos de alistamiento para asuntos sociales
y los datos relacionados con el espacio.
Email Footprinting
La herramienta Polite Mail se utiliza para recopilar información del intercambio de

correo entre los equipos de destino. Utiliza Microsoft Outlook para rastrear los correos
electrónicos de destino. Se transmitirá un enlace malicioso a una lista de direcciones de
destino para recopilar eventos clave. Polite Mail recopila encabezados de correo
electrónico que pueden revelar información confidencial, como la fecha y la hora de la
comunicación, la dirección de destino, la dirección IP del remitente, etc.
DNS Footprinting
Es un método para reconocer el nombre de DNS y usarlo para las transferencias de

zonas de destino. La técnica de transferencia de zona permite que los servidores DNS
actualicen su información mediante la transferencia de la base de datos. Cuando un
pirata informático solicita información de DNS, la solicitud se enruta a través de la
estructura jerárquica de DNS.

1.4 Subtema 4: Contramedidas para Prevenir la

Divulgación de Información
La información es uno de los recursos más valiosos de una organización. Las
contramedidas son accesibles en una amplia gama de tamaños, estructuras y niveles
de complejidad. El objetivo de este texto es brindar una variedad de estrategias que
podrían utilizarse en entornos instructivos. Las contramedidas que probablemente
no se utilizarán en asociaciones instructivas no se registran aquí para mantener esta
concentración. Suponiendo que su grupo de seguridad acepte que su empresa
requiere contramedidas de primera línea, como escaneo de la red o analizar la
seguridad de la organización, tendrá que asesorar a su equipo sobre medidas de
seguridad y posiblemente conectarse con un experto especializado en el área.
El correo electrónico solo debe utilizarse para la correspondencia comercial

convencional: enviar material delicado por correo electrónico nunca es realmente
inteligente. Suponiendo que debe elegir la opción de usar el correo electrónico,
codifique el registro y envíelo como una conexión en lugar de en el cuerpo del
mensaje.
Al dejar su PC, bloquéela: su clave secreta debe codificarse antes de transferir la

estación de trabajo y acceder al servidor de la empresa; si no, podría ser atrapado
mientras pasa por las asociaciones de la red. Proteja sus equipos y claves de
encriptación de datos: mantenga a las personas ajenas alejados de la PC, pero
controle dónde están.
Informar a los representantes de que todos los mensajes enviados a través de los
sistemas de la organización son de su propiedad: este es un enfoque decente para

decir que todo eso en el lugar de trabajo es susceptible de verificación. Revise la
correspondencia de marcación solo cuando sea importante: hágalo únicamente
después de que la línea haya sido evaluada satisfactoriamente por seguridad.
Asegúrese de que las organizaciones externas desde las que se realizan llamadas
cumplan con sus requisitos previos de seguridad: Instale terminales programadas
que identifiquen la prueba, el tono y las funciones de encriptación (planes
especializados que protegen las transmisiones hacia y desde clientes externos).

El Footprinting ayuda con la obtención de datos delicados y confidenciales que se

comparten a través de la red. Footprinting también podría hacerte consciente del
tipo de debilidad que estás manejando. Ayuda a la configuración adecuada de los
sistemas de destino y previene dejar abiertas vulnerabilidades en los sistemas de
destino y datos de uso compartido. Para obtener información de un sistema
objetivo, existe una variedad de instrumentos y enfoques de Footprinting. No existe
tal cosa como la programación de debilidad cero. De esta manera, antes de vulnerar
el sistema objetivo, es muy inteligente averiguar cómo se obtienen los datos.
Posteriormente, se pueden realizar varios procedimientos para prevenir ataques al
sistema. En caso de que un cliente pueda comprender las numerosas técnicas de
Footprinting, así como las contramedidas para Footprinting, el cliente realmente
querrá proteger los datos personales para que no sean pirateados. El cliente debe
actualizar constantemente la seguridad de los sistemas de la organización.

5. Preguntas de Cómprensión de la
Unidad 2
¿Cuál es el ciclo de un ataque de ingeniería social?
A. Recolección de información, relación de confianza, manipulación y salida.
B. Recolección de información, manipulación, relación de confianza y salida.
C. Salida, Recolección de información, relación de confianza y manipulación.
D. Recolección de información, salida, relación de confianza y manipulación.

Ataque de phishing que se dirige explícitamente a líderes empresariales de alto nivel
y jefes de organizaciones gubernamentales.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

Es un ataque a la organización que incluye la infusión de datos erróneos en una tienda
web para dar respuestas HTTP maliciosas a los compradores.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

Es un dispositivo que se utiliza en ataques de ingeniería social excepcional que

computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo.
A. Metasploit Framework
B. Maltego
C. Social Engineering Toolkit
D. Wifiphisher

Implica recopilar información con interacción directa. El objetivo puede reconocer el proceso
de recopilación de información en curso, ya que interactuamos abiertamente con la red
objetivo.
A. Footprinting Pasivo
B. Footprinting Activo
C. Ingeniería Social

6. Material Cómplementarió
Los siguientes recursos complementarios son sugerencias para que se pueda ampliar la
información sobre el tema trabajado, como parte de su proceso de aprendizaje
autónomo:
Bibliografía de apoyo:
 EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
 Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system. IEEE
Vehicular Technology Conference, p. 1–5.

7. Bibliógrafía
» Abdi, F. y otros, 2018. Guaranteed Physical Security with Restart-Based Design
for Cyber-Physical Systems. ACM/IEEE Int. Conf. Cyber-Physical Syst, p. 10–21.
» Alshanfari, I., Ismail, R., Zaizi, M. & Wahid, F. A., 2020. Ontology-based formal
specifications for social engineering. International Journal of Technology
Management and Information System 2, p. 35–46.
» Aroyo, A. M., Rea, F., Sandini, G. & Sciutti, A., 2018. Trust and social engineering
in human robot interaction: Will a robot make you disclose sensitive
information, conform to its recommendations or gamble. IEEE Robot. Autom.
Lett., p. 3701–3708.


» Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system.. IEEE
Francis Group, LLC.

» Husari, G., Niu, X., Chu, B. & Al-Shaer, E., 2018. Using entropy and mutual in-
formation to extract threat actions from cyber threat intelligence. IEEE
International Conference on Intelligence and Security Informatics, p. 1–6.
» Idierukevbe, K., 2019. Physical Security Best Practices. Phys. Secure., 12(3), p.
15–29.

» Opazo, B., Whitteker, D. & Shing, C., 2018. Secrets of spoofing, the dangers of
social engineering, and how we can help.. International Conference on Natural
Computation, Fuzzy Systems and Knowledge Discovery, p. 2812–2817.



» Rashid, A. y otros, 2018. Scoping the Cyber security body of knowledge. IEEE
Secur. Priv., p. 96–102.


UNIDAD 2
Seguridad Física y Lógica

ÍNDICE
1. Unidad 2: Seguridad Física y Lógica...................................................................... 3

Tema 1: Seguridad Física .............................................................................................. 3
Objetivo ......................................................................................................................... 3
Introducción .................................................................................................................. 3

2.1 Subtema 1: Controles de Presencia y Acceso ..................................................... 5
2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social .............................................. 9
2.3 Subtema 3: Herramientas de Ingeniería Social................................................ 14
2.4 Subtema 4: Contramedidas de Ingeniería Social ............................................. 16
3. Unidad 2: Seguridad Física y Lógica.................................................................... 20

Tema 2: Reconocimiento y Recopilación de Información ........................................... 20
Objetivo ....................................................................................................................... 20
Introducción ................................................................................................................ 20

1.1 Subtema 1: Introducción y Conceptos.............................................................. 21
1.2 Subtema 2: Tipos de Footprinting .................................................................... 23
1.3 Subtema 3: Herramientas y Técnicas de Footprinting ..................................... 25
1.4 Subtema 4: Contramedidas para Prevenir la Divulgación de Información ...... 27
6. Material Complementario ................................................................................. 31
7. Bibliografía ........................................................................................................ 32
2

Lógica
Tema 1: Seguridad Física
Objetivo
El objetivo de la seguridad física en cuanto a la protección en línea es disminuir el riesgo

para los marcos de datos y la información. Los esfuerzos de seguridad física están
planificados para mantener las estructuras libres de cualquier daño potencial y, al
mismo tiempo, proteger el hardware interior. Básicamente, mantienen alejadas a las
personas no deseadas y permiten la entrada sólo a personas con los permisos
correspondientes.
Introducción
Si bien en las organizaciones la protección en línea es vital, las brechas de seguridad y
los peligros reales deben evitarse para proteger su innovación e información, así como
a cualquier personal o empleado que se acerque a la oficina. Su entorno de trabajo u
oficina estará indefenso contra el crimen si no tiene sistemas de seguridad establecidos.
Las preocupaciones de seguridad física incluyen robo, desfiguración, extorsión e incluso
percances. Los modelos de control de seguridad física deben incluir desde seguridad en
accesos de entrada, salida a las diferentes áreas de la empresa e inclusive mantener
personal que custodio las áreas críticas de la organización. Si bien son útiles, hay muchas
más capas de seguridad real para los lugares de trabajo que en algunos casos se ignoran.
Se alude como seguridad física a los seguros de personas, propiedades y recursos físicos
contra manifestaciones físicas y eventos como incendios, inundaciones, eventos
cataclismos, robos, hurtos, mutilaciones y opresión psicológica. Señales de precaución
o adhesivos para ventanas, paredes, obstrucciones de vehículos, focos de paso
confinado, iluminación de seguridad, etc. son probablemente los modelos más notables.
Cuando las divisiones de seguridad física y ciberseguridad trabajan en los almacenes, no
tienen una imagen completa de los riesgos de seguridad que están enfocadas en su

organización. Posteriormente, es probable que ocurran ataques fructíferos, lo que

posiblemente provoque el robo de datos confidenciales o exclusivos, daños financieros,
interrupción de del servicio.
La seguridad física ayuda con la ciberseguridad al limitar el acceso a las regiones de

capacidad de información, y viceversa. Los programadores, con la mayor frecuencia
posible, tienen como objetivo las piezas de seguridad física asociadas a Internet, por
ejemplo, cerraduras de entrada con tarjeta RFID, teléfonos celulares y cámaras de
reconocimiento de video. Las tareas de seguridad física solían ser supervisadas por
policías con experiencia en el manejo de la seguridad física de una oficina mediante el
uso de cerraduras, cámaras, monitores, cercas y precauciones. La seguridad física es
importante por una variedad de razones, que incluyen evitar que personas no aprobadas
ingresen a su empresa y causen daños, proteger su innovación con licencia del
reconocimiento corporativo y disminuir la crueldad en el entorno laboral (Abdi, et al.,
2018).
Además, a medida que avanza el cambio los representantes se adaptan al nuevo tipo de
trabajo remoto o áreas de trabajo mixtas, la innovación se ha vuelto más asequible, más
razonable y equipada para desempeñar funciones adicionales que en cualquier otro
momento. La totalidad de esta eficacia, sin embargo, conlleva un riesgo. Cuando un
dispositivo interactúa con la organización, se convierte en una posible superficie de
ataque para un programador que intente acceder a la organización. Pueden contaminar
las PC con malware, tomar información o arruinar las actividades corporativas. Para
evitar las brechas de seguridad, cada equipo asociado con IoT en su empresa debe estar
lo suficientemente consolidado. Un procedimiento de combinación de seguridad física

digital une los esfuerzos de seguridad física con estrategias de protección en línea para
proteger la red asociada y evitar el acceso a información básica. La combinación de
seguridad física y de TI tiende a la idea interrelacionada de estas partes y las aborda
como una sustancia solitaria en lugar de asociaciones comerciales aisladas. Un ataque
digital o físico efectivo a los marcos de control modernos (ICS) y las organizaciones
asociadas podría perturbar las tareas o evitar que la sociedad obtenga administraciones
vitales.


2.1 Subtema 1: Controles de Presencia y Acceso
Si bien los esfuerzos de seguridad física son importantes para evitar el acceso no
autorizado, una técnica de combinación de protección física y en línea también se debe
incorporar a las personas que toman las debidas decisiones, analizan y aceptan opciones
comerciales para dispositivos inteligentes basados en la nube y marcos de seguridad, así
como gadgets, aplicaciones y otros servicios para protección de la organización.
Independientemente de la forma en que la seguridad física y de la red están

inseparablemente conectadas, muchas organizaciones las abordan como marcos
autónomos. Esto fue legítimo recientemente debido a la ausencia de innovación para
combinar la protección física y de red. Sea como fuere, el problema actualmente está
en la administración, con énfasis en diseñar un cuerpo unido para estrategias de
seguridad e incorporar grupos de seguridad y protección de red reales para fortalecer
su empresa. A través del comercio de información, la perceptibilidad, el control y la
mecanización, una ingeniería de seguridad incorporada brinda un escenario para
coordinar los universos físico y digital. A medida que nos volvamos más dependientes
de la innovación en nuestras rutinas diarias, CPS se volverá cada vez más importante
para ayudar a su asociación a prevenir el abuso coincidente y posiblemente pernicioso
de estos marcos y activos, así como garantizar que sus misiones esperadas no se vean
alteradas. o comprometido.
Controles de presencia y acceso

Los guardias de seguridad, CCTV (circuito cerrado de televisión) y control de puertas son
solo algunos ejemplos de seguridad física. Las empresas podrían evitar la pérdida de
datos empleando estos procesos, lo que evitaría el robo de dispositivos electrónicos. Los
centros de datos que tienen los servidores de la institución deben mantenerse cerrados
con llave en todo momento y solo debe tener acceso el personal autorizado. Se debe
usar CCTV y un libro de registro para monitorear el acceso (como mínimo). Una puerta
de seguridad con un mecanismo de autenticación, como una tarjeta inteligente o quizás

un escaneo biométrico, sería una opción superior. Otra técnica para garantizar que no
ocurra ningún acceso no autorizado al centro de datos es hacer que un guardia de
seguridad permita el acceso. Fuera del horario de oficina, se pueden usar detectores de
movimiento para vigilar la habitación.
Los dispositivos móviles deben estar bloqueados: la pérdida de datos se puede evitar
asegurando equipos electrónicos como computadoras portátiles y teléfonos móviles. El
robo de un sistema completo es uno de los tipos más fáciles y frecuentes de violación
de la seguridad, lo que lo deja vulnerable a la pérdida de todos los datos y contraseñas
de red guardados en la computadora. Asegúrelos con un candado de cable, colóquelos
en un lugar seguro (como la sala de servidores) o manténgalos consigo para evitar esta
pérdida.
Asegure archivos confidenciales: la información confidencial se puede almacenar en una

variedad de formatos, no solo en versiones digitales. La información confidencial
también se puede encontrar en documentos impresos, como facturas o informes de
trabajo. Cuando ya no los necesite, triture los registros en papel y guarde los
documentos confidenciales bajo llave en cajones o archivadores. Notificar sospechas de
violaciones de datos a la dirección departamental correspondiente. Será necesario
informar una violación de datos personales si es probable que ponga en riesgo los
derechos y libertades de las personas.
Designe guardias de seguridad competentes: los guardias uniformados en el sitio

pueden disuadir el comportamiento delictivo y, al mismo tiempo, garantizar que las
empresas que manejan datos confidenciales sigan los mejores procedimientos.
Trabajando junto a sus empleados, un oficial de seguridad causará la menor cantidad de

interrupciones en su lugar de trabajo.
Cuando muchas personas consideran la seguridad, consideran cerraduras, rejas,

precauciones y relojes biométricos. Si bien estas contramedidas de ninguna manera
son100% eficientes, permiten formar los posibles escudos a tener en cuenta al intentar
obtener un marco de datos, son un excelente lugar para comenzar. La seguridad de los
datos, la seguridad de la programación, la seguridad del acceso del cliente y la seguridad

de la organización son mucho más difíciles, en el caso de que sea posible, ejecutar sin
seguridad real.
La seguridad real se relaciona con evitar robos, desfiguraciones, eventos catastróficos,

debacles provocados por el hombre y daños no intencionales a los destinos y equipos
(así como a los datos y la programación incluidos en ellos) (por ejemplo, de
inundaciones, tormentas eléctricas, temperaturas escandalosas, entre otros). Requiere
un desarrollo sólido, preparación legítima para crisis, suministros de energía confiables,
un entorno satisfactorio para el centro de datos y suficiente protección contra intrusos.
Las medidas de control de acceso, le permiten monitorear quién está en su espacio y

dónde están constantemente. Las personas que utilizan su espacio reciben
identificaciones, que actúan como control de acceso. Un número de reconocimiento
especial para ese titular de la tarjeta está codificado en cada una de las identificaciones,
que pueden aparecer como tarjetas con capacidad de deslizamiento, chips RFID o
incluso códigos QR. Cada número de identificación tiene un nivel de acceso alternativo,
lo que permite a los titulares de tarjetas acceder a diversos departamentos según su
nivel de acceso, además se tendrá un registro con la hora del día y cualquier otro
elemento que desee controlar. Emissary, un software de control de acceso, incorpora
marcos de control de acceso basados en la nube. Puede asignar identificaciones breves
a los invitados utilizando el control de acceso de invitados. Estas identificaciones están
destinadas a terminar después de un período de tiempo establecido, lo que le permite
controlar a dónde puede ir cada invitado dentro de su oficina. En lugar de permitir que
los invitados deambulen sin rumbo fijo, puede monitorear sus desarrollos e incluso
negarles la entrada asumiendo que pasan demasiado tiempo adentro. Cuando los
visitantes ingresan a su oficina, el personal del área de trabajo del frente les da la
bienvenida con una sonrisa reconfortante y una identificación personalizada que se
registra en un marco de pase de invitado, fomentan un sentimiento de confianza. Este
movimiento da la apariencia de que su organización es consciente, tenaz y en general
cumplida. Esta progresión de su parte garantiza que cada persona que ingresa a su
espacio ha ingresado datos distintivos en su marco, lo que sugiere que es responsable
de su forma de comportarse una vez dentro. No se trata solo de ofrecer ese trato
específico al cliente que el control electrónico de acceso de invitados agrega estima. Esta

etapa, además de otras cosas, amplía el valor de su negocio en curso y genera un

potencial de tierra adicional. Todo gira en torno a quién, dónde y con respecto al control
de acceso real. A quién se le permite entrar o salir, dónde se les permite salir o entrar, y
cuándo se les permite entrar o salir no está grabado en piedra por un marco de control
de entrada. Anteriormente, esto se lograba hasta cierto punto usando llaves y
cerraduras. (Alshanfari, et al., 2020)Dependiendo de cómo esté diseñada la cerradura,
solo alguien con una llave puede entrar por la entrada mientras está cerrada. Las
cerraduras y llaves mecánicas no permiten al titular vital restringir su entrada a períodos
o fechas determinadas. Las cerraduras mecánicas y las llaves no controlan qué llave se
usó en qué entrada y, de esta manera, no son difíciles de duplicar o transferir a una
persona no autorizada. Las cerraduras deben cambiarse cuando se pierde una llave
mecánica o cuando el titular de la llave generalmente no está aprobado para utilizar la
región protegida.

2.2 Subtema 2: Técnicas y Tipos de Ingeniería Social

La expresión "ingeniería social" alude a una amplia gama de formas de comportamiento
vengativas ayudadas a través de conexiones humanas. Utiliza acrobacias mentales para
convencer a los clientes de cometer errores de seguridad o descubrir datos básicos. Los
ataques de ingeniería social se completan a través de una progresión de pasos. Para
completar el ataque, un culpable inicialmente inspecciona la víctima planificada para
obtener información básica importante. (Alshanfari, et al., 2020)El atacante entonces,
en ese momento, trata de ganarse la confianza de la víctima para posterior abusar de
las normas de seguridad, por ejemplo, revelando información confidencial u obteniendo
información comprometedora para aprovecharse y obtener una rentabilidad de ello.
Figura 1. Ciclo de un ataque de ingeniería social
Recolección de
información
Relación de
Salida
confianza
Manipulación
Fuente: Elaboración propia
Los ataques de ingeniería social, utilizan una garantía falsa para encender la
insaciabilidad o el interés de una víctima. Engañan a los compradores para que caigan
en una trampa en la que se toman sus propios datos o sus PC se contaminan con
malware. Los medios reales se utilizan para propagar malware en la forma más
despreciada de atormentar. Por ejemplo, los agresores pueden colocar la trampa,
normalmente unidades contaminadas con malware, en entornos donde es probable que
las víctimas potenciales la experimenten (por ejemplo, baños, ascensores y el área de
estacionamiento de una organización designada). La trampa tiene una apariencia
certificada, con una marca que la reconoce como la lista financiera de la organización.
Las víctimas seleccionan la trampa de interés y la detectan en una computadora de
trabajo o doméstica, lo que provoca que el malware se introduzca en consecuencia. Los

planes atormentadores no necesariamente tienen que ocurrir en el mundo real. La

incitación ocurre en línea a través de la promoción atractiva que guía a los observadores
a sitios maliciosos o los tienta a descargar una aplicación contaminada con malware.
Los sobrevivientes de Scareware (software malicioso que engaña a los usuarios de una
computadora para que visiten sitios infestados de malware) son atacados con
problemas engañosos y peligros falsos. Se engaña a los clientes para que acepten que
su marco está contaminado con malware, lo que los lleva a introducir programación que
no tiene ningún motivo (aparte de ayudar al malhechor) o que es malware. La
programación engañosa, la programación de verificación inconformista y la extorsión
son términos utilizados para describir el Scareware. Los banderines emergentes de
apariencia real que aparecen en su programa mientras examinan la web, mostrando
frases como "Su PC podría estar contaminada con terribles aplicaciones de spyware",
son un famoso modelo de scareware. Ofrece introducir la utilidad por usted (que
regularmente está invadida por malware) o lo guía a un sitio rebelde donde su PC está
contaminada. El scareware también se propaga a través del correo electrónico no
deseado, que transmite alertas u ofertas falsas para comprar algo (Idierukevbe, 2019).
La caza de ballenas (Whaling) es un tipo de ataque de phishing que se dirige

explícitamente a líderes empresariales de alto nivel y jefes de organizaciones
gubernamentales. Los ataques de caza de ballenas utilizan regularmente los registros de
correo electrónico de otros representantes de alto nivel en la organización o la oficina
para enviar mensajes nefastos sobre una crisis falsa o un período de oportunidades
delicadas. Debido al gran nivel de acceso a la organización que tienen los líderes y jefes
superiores, los ataques balleneros efectivos pueden revelar una tonelada de datos
secretos y delicados.
El pretexto es un tipo de ataque de diseño amistoso en el que un estafador crea un

disfraz o una situación, por ejemplo, insinuando ser un examinador del IRS, para engañar
a alguien para que revele datos confidenciales personales o financieros, por ejemplo, y
su número de jubilación administrado por el gobierno. Alguien realmente puede
obtener acceso a su información aquí de ataque actuando como un vendedor, un

conductor de transporte o un trabajador del proyecto para ganarse la confianza de su

personal.
A medida que más organizaciones deciden enviar mensajes como su principal método
de correspondencia, el phishing por SMS se está convirtiendo en una preocupación
mucho mayor. Los estafadores envían mensajes instantáneos que imitan solicitudes de
verificación multifacéticas y fallas de conexión a páginas de sitios malignos que capturan
sus credenciales o introducen malware en sus teléfonos en una sola forma de phishing
por SMS.
El ladrón persuade a un conductor de transporte o mensajero para que vaya a algún

lugar inaceptable o entregue un paquete a alguien que no sea el beneficiario esperado
en un plan de robo de redirección obsoleto. Una técnica de redirección de robo basada
en la web incluye a un ladrón que convence a la víctima para que envíe u ofrezca
información delicada a una persona inaceptable. El tramposo generalmente logra esto
imitando a alguien de la organización de la víctima, por ejemplo, una firma de inspección
o una institución monetaria (Idierukevbe, 2019).
El daño a la reserva (reserve harming) es un ataque a la organización que incluye la

infusión de datos erróneos en una tienda web para dar respuestas HTTP maliciosas a los
compradores. La parodia de DNS (DNS parodying) es un ataque comparativo en el que
los atacantes utilizan el Sistema de nombres de dominio (DNS) para desviar el tráfico de
los servidores genuinos hacia servidores malévolos o inseguros. El daño a la reserva y la
satirización del DNS son ataques engañosos que desvían el tráfico de los sitios reales e
inyectan malware al equipo y permite el robo de información.
Un ataque inicial de riego (watering opening assault) incluye enviar o descargar código
malicioso de un sitio real visitado por los objetivos del ataque. Por ejemplo, los agresores
podrían violar un sitio de noticias de la industria financiera, al darse cuenta de que las
personas que trabajan en finanzas probablemente lo visitarán, lo que los convierte en
un objetivo atractivo. Por lo general, se instala un troyano de paso secundario en un sitio
comprometido, lo que permite al atacante pensar dos veces antes de controlar de forma
remota el dispositivo de la víctima. Los asaltos de apertura de riego normalmente los
realizan asaltantes expertos que han encontrado una imperfección de día cero o que

potencialmente están persiguiendo a un "tipo" particular de cliente, por ejemplo,

trabajadores de una asociación particular que usan un activo o dispositivo de recursos
humanos en particular, según las alertas de los bancos en 2017. Para salvaguardar el
valor del esfuerzo que reconocieron, pueden esperar meses antes de lanzar el ataque.
Los ataques de apertura de riego a veces se coordinan directamente contra la
programación débil del grupo de interés principal, a diferencia de un sitio que visitan.
Para salvaguardar el valor de la aventura que protagonizaron, pueden esperar meses
antes de enviar el ataque. Los ataques de apertura de riego a veces se coordinan
directamente contra la programación débil del grupo de interés, a diferencia de un sitio
que visitan.
Un asalto de remuneración es como burlarse, pero en realidad, en lugar de dar algo de

valor significativo a la persona en cuestión, los agresores prometen adoptar un
movimiento que los ayudará a cambio de algo de la persona en cuestión. Un agresor
puede, por ejemplo, ponerse en contacto con expansiones corporativas irregulares
mientras afirma volver en una solicitud de ayuda especializada. Cuando encuentran a
alguien que tiene un problema de soporte certificado, dicen ayudarlos mientras los
entrenan para hacer movimientos que dañarán su máquina.
La introducción de antivirus y otros esfuerzos de seguridad de puntos finales en los

dispositivos de los clientes es el método más fundamental. La programación actual de
seguridad de puntos finales puede identificar y prevenir correspondencias claras de
phishing, así como cualquier mensaje que contenga asociaciones con sitios peligrosos o
tendencias de IP que se hayan identificado en conjuntos de datos de datos peligrosos.
También pueden bloquear y evitar que se ejecuten ciclos perniciosos en la PC de un

cliente. Si bien hay ataques avanzados que desvían o perjudican a los especialistas en
puntos finales y antivirus, por lo general dejan otros signos evidentes de un ataque
fructífero. Con el diseño social, hay un montón de estrategias innovadoras para penetrar
las garantías de una asociación. Cuando contratas a un programador moral para diseñar
ataques/pruebas de acceso al canal, estás permitiendo que alguien con la variedad de
habilidades de un programador encuentre y aproveche las imperfecciones en tu
sistema. Cuando prevalece una prueba de acceso con respecto a comprometer sistemas
delicados, puede ayudarlo a distinguir trabajadores o sistemas que deben protegerse,

así como métodos de diseño amigables a los que puede ser especialmente vulnerable
(Aroyo, et al., 2018).
Fisherman phishing es un tipo de ataque de phishing que explota el entretenimiento en

línea. Los ataques de phishing de pescadores se inician utilizando perfiles de
entretenimiento en línea comerciales falsos, en lugar del phishing habitual, que utiliza
mensajes que reflejan organizaciones reales. Una etapa inicial de ataques de ingeniería
social más intrincados en los que el sinvergüenza se gana la confianza de la persona en
cuestión, generalmente creando una historia confiable (Aroyo, et al., 2018).

2.3 Subtema 3: Herramientas de Ingeniería Social

Metasploit Framework es un dispositivo de prueba de infiltración que puede utilizarse
para encontrar, explotar y evaluar imperfecciones de seguridad. Brinda la sustancia, los
dispositivos y la base necesarios para intentar una evaluación de seguridad exhaustiva y
pruebas de acceso. La capacidad de configurar un servidor SMB falso es uno de los
elementos más fuertes de Metasploit. Cuando un cliente de la empresa intenta acceder
al servidor, su marco se verá obligado a mostrar sus calificaciones en cuanto a su "hash
de clave secreta espacial". Si espera lo suficiente, podría obtener certificaciones de área
cuando los clientes intenten interactuar con el servidor SMB. En el momento en que el
objetivo encaje en él, puede obtener sus acreditaciones espaciales enviándoles un UNC
implantado. MSF se actualiza regularmente cuando sus creadores liberan las nuevas
opciones. Puede enviar Metasploit a través del menú de Kali Linux o ingresando el
pedido adjunto en la terminal.
Maltego es un instrumento perspicaz de conocimiento de código abierto (OSINT) que

muestra cómo se asocian diferentes piezas de información. Puede utilizar Maltego para
rastrear asociaciones entre personas y otros recursos de datos, como direcciones de
correo electrónico, perfiles sociales, nombres de pantalla y otros detalles que conectan
a una persona con una ayuda o asociación. Tener todos estos datos cerca puede
ayudarlo a imitar un ataque de ingeniería social y evaluar la información de seguridad
de sus trabajadores. Maltego tiene una interfaz de usuario gráfica que lo simplifica para
ver las conexiones.
Social Engineering Toolkit (o SET) es un conjunto de herramientas de código abierto

basado en Python para pruebas de acceso de ingeniería social. SET ofrece varios
vectores de ataque específicos que le permiten configurar un posible ataque
rápidamente y de manera efectiva. SET viene con una herramienta de sitio que
transforma su PC en un servidor web, completo con una variedad de exploits. El punto
es darle a su víctima una conexión que los lleve a su sitio web, donde el ataque se
descarga y ejecuta rápidamente. Para que el ataque parezca más real, puede involucrar
los formatos preconstruidos en SET para clonar un sitio legítimo. SET tiene páginas de

phishing prediseñadas para sitios inconfundibles como Facebook, Twitter, Google y

Yahoo.
Wifiphisher es un dispositivo que se utiliza en ataques de ingeniería social excepcional

que computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo. La utilidad puede bloquear (desconfirmar
a todos los usuarios) cualquier vía Wi-Fi cercana y crear una vía de clonación que no
necesita una contraseña para unirse. Cuando los objetivos ingresan una clave secreta,
Wifiphisher envía una advertencia mientras reduce la velocidad por tiempo. Después de
comunicar la clave secreta capturada, mostrará un reloj de reinicio falso y una pantalla
de actualización falsa para que tenga tiempo de probar la clave secreta capturada. Es un
instrumento útil para considerar a sus guardias de seguridad en contraste con el diseño
social basado en Wi-Fi.
 Los ataques de phishing aprovechan los errores humanos para tomar

contraseñas o propagar malware, generalmente a través de conexiones de
correo electrónico corruptas o uniones malévolas a sitios. Ofreciendo
obsequios incondicionales o transmitiendo artilugios contaminados, los
agresores atraen a las víctimas para que, al mismo tiempo, socaven su
seguridad.

2.4 Subtema 4: Contramedidas de Ingeniería Social

El error humano es el objetivo de las contramedidas contra los ataques de ingeniería
social. Los representantes están más preparados para condiciones posiblemente
riesgosas si tienen las estrategias, políticas y técnicas correctamente establecidas.
Realmente lamentando decir "no". Cuando una situación comienza a pasar de las pautas
establecidas, en cualquier caso, su representante estará más seguro de decir "no" y
adherirse a las técnicas corporativas en (lo que podría ser) una situación perturbadora
si las estrategias definidas están en su lugar. A pesar de la forma en que los seguros
físicos y de red están indistinguiblemente asociados, varias asociaciones realmente los
abordan como estructuras libres. Esto fue legítimo recientemente debido a la ausencia
de innovación para combinar la protección física y de red. Sin embargo, el problema a
partir de ahora está en la administración, con énfasis en diseñar un cuerpo unido para
estrategias de seguridad e incorporar seguridad física y grupos de seguridad de red
juntos para reforzar su empresa. A través del conocimiento del comercio, la
permeabilidad, el control y la mecanización, la ingeniería de seguridad coordinada
brinda un escenario para incorporar la física y universos digitales (Costantino, et al.,
2018).
Los sistemas están en constante desarrollo, por lo que su equipo debe ser instruido para
reconocer los ataques o, al menos, las situaciones que se apartan de las estrategias
habituales. Los dones aprendidos pueden ser descuidados después de algún tiempo. No
obstante, los procedimientos y estrategias de nuestros rivales siguen ajustándose. Es
importante que cada individuo de su personal obtenga una preparación estándar e ideal.
La preparación general de atención de seguridad, las pruebas estándar de phishing

recreadas y el compromiso de diseño amigable deben ser importantes para un plan de
preparación completo. También es importante que los trabajadores conozcan la
capacidad de respuesta y la disposición de los datos y los recursos. Mientras trabaja con
datos excepcionalmente delicados, su personal debe saber que deben practicar una
atención plena más notable que al administrar recursos menos importantes.
Uso de la Web: Este segmento cubre la utilización satisfactoria de Internet. Solo se

podría respaldar el uso relacionado con el negocio, por ejemplo. Por lo tanto, los

representantes pueden estar protegidos de los mensajes de phishing no relacionados

con el negocio.
Estrategia de programas: describe qué tipos de programas están permitidos, así como
quién tiene el poder de introducirlos y actualizarlos. Piense en permitir que un puñado
limitado de personas introduzca los programas en las PC. Esto podría ayudar a prevenir
un ataque phishing en el que por medio de ingeniería social un atacante alienta a una
víctima a instalar programas infectados en su PC.
Estrategia de equipo: especifica qué equipo se debe utilizar y cómo se debe utilizar. Las
memorias USB, por ejemplo, pueden ser denegadas. Esto podría impedir que los
representantes coloquen memorias USB dañinas que encuentren en el área de
estacionamiento en sus PC de trabajo.
Se establecen contramedidas especializadas para evitar que el problema se deteriore.

La idea es frustrar a los artistas de peligro antes de que tengan la oportunidad de
aprovechar el instinto humano, en cualquier caso. Aquí hay una variedad de opciones,
incluida la administración de desechos que descarta de manera segura cualquier
información delicada, marcos de acceso reales seguros (entradas, puertas, etc.), tarjetas
de entrada complejas, control individual, acompañando a cualquier visitante, etc.
Dentro o en un esfuerzo conjunto con un tercero, dichas revisiones pueden completarse.
Deben ser posibles de forma latente o contundente. El estudio latente implica solo una
evaluación hipotética de la superficie de ataque. Una auditoría funcional incluye
esforzarse de manera efectiva por arriesgar el secreto, la respetabilidad o la
accesibilidad potencial de los datos. El equipo de trabajo es la parte más significativa del
plan de seguridad de cualquier asociación. Intente atraer a su personal de una manera

que eleve su inversión inicial a la cultura de seguridad más amplia de la organización
mientras evalúa cómo se mantendrá al día con su empresa protegida de los peligros de
seguridad de la red (Opazo, et al., 2018).
Para protegerse, debe instruir a su equipo de trabajo sobre temas, por ejemplo, qué es
la ingeniería social, cómo detectarlo y qué hacer al respecto. Los representantes deben
aprender sobre los efectos secundarios especializados y de conducta de un truco de
ingeniería social como parte de su preparación. Los indicadores técnicos de un correo

electrónico malicioso, por ejemplo, podrían incluir: Enlaces sospechosos: examinar los
enlaces y archivos adjuntos del correo electrónico puede revelar su validez. Las URL
largas o complejas, así como los errores tipográficos en los nombres de dominio, son
sospechosos. Los indicadores de comportamiento, por otro lado, podrían incluir:
Solicitudes urgentes: los ingenieros sociales entienden el valor de ejercer presión y

pueden usar la urgencia como parte de su ataque.
Solicitudes de cambios en los detalles financieros o transacciones: las solicitudes de

cambios en la información financiera son típicas, pero los empleados deben tener
cuidado.
Remitentes que son inusuales o inesperados: recibir un correo electrónico de alguien

que nunca conoció o con quien nunca trabajó podría ser un síntoma de un ataque de
ingeniería social.
Cambios en el comportamiento: si un colega escribe de manera diferente o hace

demandas inusuales, es posible que su cuenta haya sido pirateada.
En general, una de las contramedidas más efectivas contra la ingeniería social es educar
a sus empleados sobre qué es, por qué es peligrosa y cómo prevenirla. Los empleados
pueden ser educados en una variedad de métodos. Considere brindar a sus empleados
conocimientos sobre los siguientes temas: Ingeniería basada en redes sociales. Se han
producido varias violaciones importantes de la seguridad cibernética dentro de grandes
instituciones como resultado de fraudes basados en las redes sociales. Debido a que los
empleados poseen y operan cuentas personales de redes sociales, monitorear la
información que las personas publican es casi imposible. Sin embargo, puede compartir
información sobre los peligros reales de compartir información en exceso. También
puede proporcionar información sobre las señales de alerta que indican una estafa. La
ubicación, una dirección de correo electrónico del trabajo, las credenciales, las fechas
de vacaciones inminentes, los números de teléfono y las ubicaciones físicas son
ejemplos de información que los empleados no deben compartir en las redes sociales.
Los ataques de smishing tienen una variedad de objetivos (robo de credenciales,

recopilación de datos, implementación de malware), pero el objetivo final suele ser

infiltrarse en los límites digitales de una empresa. Por más banal que pueda parecer un
mensaje de texto, una víctima de este tipo de ataque puede causar pérdidas
corporativas accidentalmente. (Rashid, et al., 2018)Los empleados pueden utilizar una
VPN para evitar el smishing, ejecutar una búsqueda en la web tanto del número de
teléfono vinculado con el mensaje como del contenido en línea, y volver a verificar la
autenticidad de los mensajes que parecen provenir de un colega, pero suenan
sintácticamente "incorrectos".
Los marcos de seguridad son más inteligentes que nunca en la memoria reciente, gracias
al Internet de las cosas, que se está preparando para avances asociados y coordinados
entre empresas. Las etapas basadas en la nube, las fuerzas laborales dispersas y la
innovación portátil, por otra parte, aumentan el riesgo. Para una forma total de lidiar
con la seguridad, la combinación de seguridad digital y real une estos dos marcos y
grupos particulares. Las decepciones de seguridad reales podrían dejar a su empresa
indefensa, independientemente de si utiliza estrategias estrictas de protección de la red,
como el cifrado y los impedimentos de IP. Las personas pueden obtener acceso a la
información y los datos privados con mayor eficacia si la metodología de seguridad
actual incluye fallas, como certificaciones débiles o capacidades de verificación
deficientes. Es básico evaluar los posibles peligros y agujeros en su seguridad actual
antes de agregar esfuerzos de seguridad en su estructura o ambiente de trabajo. En
cuanto a la seguridad real, el descubrimiento es vital. Si bien es difícil mantenerse
alejado de todas las invasiones o rupturas de seguridad reales, tener los avances
correctos configurados para reconocer y responder ataques disminuye el impacto
general en su negocio. Piense en todos sus focos de paso público mientras encuentra
zonas de peligro potencial en su oficina.


Lógica
Tema 2: Reconocimiento y Recopilación de Información
Objetivo
Conocer cómo examinar y reconocer las debilidades de la red y las imperfecciones de

seguridad. Aplicando estrategias que permitan acercarse al objetivo y adquirir datos
para ataques digitales.
Introducción
El reconocimiento se refiere a recopilar información sobre un objetivo, que es el primer
paso en cualquier ataque a un sistema. Tiene sus raíces en las operaciones militares,
donde el término se refiere a la misión de recopilar información sobre un enemigo.
La seguridad de la información permite a las organizaciones proteger tanto la

información avanzada como la simple. La criptografía, el registro portátil, el
entretenimiento basado en la web, así como las organizaciones y fundaciones que
transmiten datos privados, monetarios y corporativos, están indudablemente cubiertos
por la seguridad de la información. La ciberseguridad, por otro lado, protege tanto la
información cruda como la significativa, pero solo contra los peligros que comienzan en
la web.
Las organizaciones llevan a cabo la seguridad de la información por una variedad de

razones. Los objetivos esenciales son en su mayor parte garantizar la clasificación,
confiabilidad y accesibilidad de la información de la organización. Dado que la seguridad
de la información es tan amplia, de vez en cuando requiere la ejecución de diferentes
tipos de seguridad, como seguridad de aplicaciones, seguridad básica, criptografía,
reacción ante eventos, gestión de vulnerabilidades y recuperación de fiascos.


1.1 Subtema 1: Introducción y Conceptos
El reconocimiento ayuda a los atacantes a reducir el alcance de sus esfuerzos y ayuda
en la selección de armas de ataque. Los atacantes utilizan la información recopilada
para crear un modelo o "huella" de la organización, que les ayuda a seleccionar la
estrategia más eficaz para comprometer la seguridad del sistema y de la red. De
manera similar, la evaluación de seguridad de un sistema o red comienza con el
reconocimiento y la huella del objetivo. Los piratas informáticos éticos y los
evaluadores de penetración (pen) deben recopilar suficiente información sobre el
objetivo de la evaluación antes de iniciar las evaluaciones. Los hackers éticos y los
pentesters deben simular todos los pasos que suele seguir un atacante para obtener
una idea clara de la postura de seguridad de la organización objetivo.
La seguridad de la información es un conjunto de dispositivos y métodos que puede

utilizar para proteger información simple y computarizada. La seguridad, el examen
y las pruebas de la organización están completamente incluidos bajo el paraguas de
la seguridad de la información. Se evita que los clientes no aprobados accedan a
datos clasificados mediante la utilización de técnicas como la verificación y el
consentimiento. Estos escudos lo ayudan a mantenerse alejado de los peligros del
robo, la alteración o la desgracia de la información. A pesar de que la protección en
línea y la seguridad de los datos son estrategias de seguridad, tienen varios puntos
y extensiones, con algunos cruces. Criptografía, cálculo versátil y entretenimiento en
línea todo el otoño bajo el paraguas de la seguridad de datos. Está relacionado con
la confirmación de datos, que se utiliza para proteger los datos de peligros no
individuales, como decepciones del servidor o eventos catastróficos. En correlación,
la protección de la red solo cubre los peligros basados en Internet y la información
computarizada. Además, la seguridad de la red permite la inclusión de información
cruda y no clasificada, mientras que la seguridad de los datos no. (Husari, et al., 2018)
Suponiendo que una actualización indistinguible se recibe dos veces, no brinda el
doble de la información que proporcionó el evento principal: el evento posterior no

brinda información de ninguna manera, excepto si la cantidad de eventos se

considera crítica por acuerdo anterior.
Las redes, los servidores, los dispositivos de los clientes, los dispositivos móviles y
los centros de datos se encuentran entre los componentes de la infraestructura que
están protegidos por técnicas de seguridad de la infraestructura. Sin la protección
suficiente, la mayor interconexión entre estos y otros componentes de la
infraestructura pone en riesgo la información. Debido a que la conexión propaga
vulnerabilidades a través de sus sistemas, esto es un peligro. Todos los componentes
dependientes se ven afectados si una parte de su infraestructura falla o se ve
comprometida. Como resultado, minimizar las dependencias y aislar los
componentes sin dejar de permitir las intercomunicaciones es un objetivo clave de
la seguridad de la infraestructura (Husari, et al., 2018).

1.2 Subtema 2: Tipos de Footprinting

Una de las metodologías utilizadas para recuperar datos sobre la máquina objetivo es el
Footprinting. El Footprinting se puede clasificar en Footprinting pasivo y Footprinting
activo:
Footprinting Pasivo: Implica recopilar información sin interacción directa. Este tipo de
Footprinting es principalmente útil cuando existe el requisito de que el objetivo no
detecte las actividades de recopilación de información.
Footprinting Activo: Implica recopilar información con interacción directa. El objetivo

puede reconocer el proceso de recopilación de información en curso, ya que
interactuamos abiertamente con la red objetivo.
Footprinting normalmente recopila información relacionada con la red, por ejemplo, ID

de red, nombre de espacio, nombre de área interior, instrumentos de control de acceso,
dirección IP, puertos de red, VPN, autorizaciones, datos de recopilación y de clientes,
tablas de dirección, servidor web. Servidor de base de datos, entre otras. Suponiendo
que un atacante adquiere información confidencial, puede utilizarla para cometer
extorsión, crear perfiles falsos, etc. Al obtener más tipos de información comparativa
sobre las ventajas y actividades del objetivo, el agresor puede unirse a una variedad de
otros lugares y reuniones de entretenimiento en línea, provocando problemas
considerablemente graves.
Diferentes tipos de Footprinting existen continuamente reflejadas en aplicaciones,

como Spam Footprinting, Email Footprinting, Site Footprinting, etc. Varios tipos de
dispositivos de Footprinting, como traceroute, búsqueda Whois, herramienta Nmap y

otros recopilan información. Nmap es una de las herramientas más utilizadas para la
obtener información de los hosts de las organizaciones. Traceroute es uno de los
sistemas para seguir la información de los paquetes a medida que se mueve entre
direcciones IP inconfundibles. Le brinda datos del paquete, como el tiempo de reacción
del ping, la dirección IP y el nombre de host. Las dos técnicas descritas arriba son los
dispositivos más ampliamente involucrados para obtener los datos de la red: Nmap y
traceroute. Al utilizar Footprinting, el cliente debe evaluar algunas contramedidas para

salvaguardar la información. Una de las principales etapas del hacking ético es el

Footprinting. El Footprinting ocupa el segundo lugar en la etapa de recopilación de
información en piratería en la que el agresor asegura los datos del objetivo. Así,
involucrar la estrategia de Footprinting en la etapa de observación ofrece información
sobre el objetivo o aplicación, e investiga el camino con anticipación para conocer los
métodos de persecución y cláusulas de escape en la zona de ataque. Disminuye el efecto
probable de ir tras el espacio. Los atacantes necesitan filtrar y conocer datos sobre el
objetivo y el programa de aplicación para desglosar los procedimientos y los tipos de
debilidades que los afectan.
Hoy en día, se puede acceder a la información en una variedad de etapas, y los atacantes
se esfuerzan continuamente por obtener la información confidencial de los clientes y las
organizaciones. En este sentido, los datos individuales de los clientes se adquieren a
través de sitios web de entretenimiento como Facebook, Twitter y otros. En general,
también se designan valores de acciones, perfiles corporativos, organizaciones,
licencias, cálculos y una variedad de componentes de estrategia. Posteriormente, es
juicioso practicar la alerta antes de ser perseguido. Por lo general, los índices web, como
Google Chrome, Bing y Yahoo, son los mejores dispositivos para recopilar información
sobre el elemento que el cliente está buscando. Las herramientas de búsqueda web
utilizan la web para recopilar muchos tipos de información. Aquí los atacantes obtienen
datos sobre el conjunto de experiencias o patrones de la información de conducción.
Esto ayudará a los atacantes a acceder a la información privada y social del cliente. El
atacante recopila información jerárquica oficial, información privada confinada,
información del sitio, etc. El atacante puede utilizar herramientas de búsqueda
monetarias en la web como Google, Yahoo y otras para adquirir información financiera
sobre la máquina objetivo.

1.3 Subtema 3: Herramientas y Técnicas de

Footprinting
La mayoría de las organizaciones reclutan representantes publicando oportunidades de
empleo y datos de la empresa en destinos como LinkedIn, Multi trabajo y otros. El área,
los datos de contacto, los requisitos comerciales, el pago y los detalles del equipo, entre
otros; todo esto es publicado en la web y se puede obtener información importante. Los
datos individuales exclusivamente designados pueden ser recopilados por destinos de
trabajo engañosos. Del mismo modo, los datos delicados están contenidos en reuniones,
debates, sitios y redes, y hay una apuesta de robo con datos delicados. Técnicas de
pirateo de Google de alto nivel para Footprinting: Los piratas informáticos utilizan
rastreadores web de manera astuta para recopilar información delicada. La piratería de
Google, por ejemplo, es la utilización del rastreador web de Google para recuperar
datos.
A continuación de detallan algunas técnicas y herramientas de Footprinting:
Suplantación de identidad (Phising)
La suplantación de identidad incluye el envío de mensajes a un objetivo u objetivos

escogidos que contienen mensajes que tienen todas las características de ser reales. El
cliente se esfuerza por abrir la conexión en el cuerpo del mensaje ya que da la impresión
de ser certificable y bueno. Cuando un cliente abre la conexión, se ejecutan las
aplicaciones básicas, recuperando todos los datos confidenciales, como nombres de
usuario y contraseñas, y desviando al cliente a una ubicación falsa.
Contenedor de basura (Dumpster)
Es uno de los métodos de ingeniería social más experimentados para recopilar

información de la basura del sistema objetivo. Por ejemplo, un agresor podría recopilar
solicitudes mensuales, datos bancarios y otra información delicada de la basura.
Quien Es (WHOIS)
El Footprinting de WHOIS, que obtiene información, por ejemplo, direcciones IP,

servidor de nombres de dominio, fecha de creación y expiración del dominio, entre

otros. Los Registros Regionales de Internet se mantienen por regiones geológicas que
no son parte de naciones o distritos (RIR). Los RIR mantienen actualizado el conjunto de
datos de WHOIS. El conjunto de datos es mantenido por RIR como LACNIC (Registro de
Direcciones de Internet de América Latina y el Caribe) y APNIC (Centro de Información
de Redes de Asia Pacífico). Una URL, por ejemplo, brinda datos sobre el nombre del área
y el nombre del host. La Corporación de Internet para la Asignación de Nombres y
Números (ICANN) luego, en ese momento, confirma que el nombre del espacio está en
manos de una sola organización. La Corporación de Internet para la Asignación de
Nombres y Números (ICANN) garantiza esto al exigir que los nombres de los espacios se
registren de una manera única. Por cierto, ARINA (Registro estadounidense de números
de Internet) mantiene el RIR de direcciones IP estáticas de América del Norte. El
dispositivo WHOIS consulta el conjunto de datos de alistamiento para asuntos sociales
y los datos relacionados con el espacio.
Email Footprinting
La herramienta Polite Mail se utiliza para recopilar información del intercambio de

correo entre los equipos de destino. Utiliza Microsoft Outlook para rastrear los correos
electrónicos de destino. Se transmitirá un enlace malicioso a una lista de direcciones de
destino para recopilar eventos clave. Polite Mail recopila encabezados de correo
electrónico que pueden revelar información confidencial, como la fecha y la hora de la
comunicación, la dirección de destino, la dirección IP del remitente, etc.
DNS Footprinting
Es un método para reconocer el nombre de DNS y usarlo para las transferencias de

zonas de destino. La técnica de transferencia de zona permite que los servidores DNS
actualicen su información mediante la transferencia de la base de datos. Cuando un
pirata informático solicita información de DNS, la solicitud se enruta a través de la
estructura jerárquica de DNS.

1.4 Subtema 4: Contramedidas para Prevenir la

Divulgación de Información
La información es uno de los recursos más valiosos de una organización. Las
contramedidas son accesibles en una amplia gama de tamaños, estructuras y niveles
de complejidad. El objetivo de este texto es brindar una variedad de estrategias que
podrían utilizarse en entornos instructivos. Las contramedidas que probablemente
no se utilizarán en asociaciones instructivas no se registran aquí para mantener esta
concentración. Suponiendo que su grupo de seguridad acepte que su empresa
requiere contramedidas de primera línea, como escaneo de la red o analizar la
seguridad de la organización, tendrá que asesorar a su equipo sobre medidas de
seguridad y posiblemente conectarse con un experto especializado en el área.
El correo electrónico solo debe utilizarse para la correspondencia comercial

convencional: enviar material delicado por correo electrónico nunca es realmente
inteligente. Suponiendo que debe elegir la opción de usar el correo electrónico,
codifique el registro y envíelo como una conexión en lugar de en el cuerpo del
mensaje.
Al dejar su PC, bloquéela: su clave secreta debe codificarse antes de transferir la

estación de trabajo y acceder al servidor de la empresa; si no, podría ser atrapado
mientras pasa por las asociaciones de la red. Proteja sus equipos y claves de
encriptación de datos: mantenga a las personas ajenas alejados de la PC, pero
controle dónde están.
Informar a los representantes de que todos los mensajes enviados a través de los
sistemas de la organización son de su propiedad: este es un enfoque decente para

decir que todo eso en el lugar de trabajo es susceptible de verificación. Revise la
correspondencia de marcación solo cuando sea importante: hágalo únicamente
después de que la línea haya sido evaluada satisfactoriamente por seguridad.
Asegúrese de que las organizaciones externas desde las que se realizan llamadas
cumplan con sus requisitos previos de seguridad: Instale terminales programadas
que identifiquen la prueba, el tono y las funciones de encriptación (planes
especializados que protegen las transmisiones hacia y desde clientes externos).

El Footprinting ayuda con la obtención de datos delicados y confidenciales que se

comparten a través de la red. Footprinting también podría hacerte consciente del
tipo de debilidad que estás manejando. Ayuda a la configuración adecuada de los
sistemas de destino y previene dejar abiertas vulnerabilidades en los sistemas de
destino y datos de uso compartido. Para obtener información de un sistema
objetivo, existe una variedad de instrumentos y enfoques de Footprinting. No existe
tal cosa como la programación de debilidad cero. De esta manera, antes de vulnerar
el sistema objetivo, es muy inteligente averiguar cómo se obtienen los datos.
Posteriormente, se pueden realizar varios procedimientos para prevenir ataques al
sistema. En caso de que un cliente pueda comprender las numerosas técnicas de
Footprinting, así como las contramedidas para Footprinting, el cliente realmente
querrá proteger los datos personales para que no sean pirateados. El cliente debe
actualizar constantemente la seguridad de los sistemas de la organización.

5. Preguntas de Cómprensión de la
Unidad 2
¿Cuál es el ciclo de un ataque de ingeniería social?
A. Recolección de información, relación de confianza, manipulación y salida.
B. Recolección de información, manipulación, relación de confianza y salida.
C. Salida, Recolección de información, relación de confianza y manipulación.
D. Recolección de información, salida, relación de confianza y manipulación.

Ataque de phishing que se dirige explícitamente a líderes empresariales de alto nivel
y jefes de organizaciones gubernamentales.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

Es un ataque a la organización que incluye la infusión de datos erróneos en una tienda
web para dar respuestas HTTP maliciosas a los compradores.
A. Scareware
B. Whaling
C. Reserve harming
D. DNS parodying

Es un dispositivo que se utiliza en ataques de ingeniería social excepcional que

computariza los ataques de phishing en las redes Wi-Fi para obtener las contraseñas
WPA/WPA2 de una base de clientes objetivo.
A. Metasploit Framework
B. Maltego
C. Social Engineering Toolkit
D. Wifiphisher

Implica recopilar información con interacción directa. El objetivo puede reconocer el proceso
de recopilación de información en curso, ya que interactuamos abiertamente con la red
objetivo.
A. Footprinting Pasivo
B. Footprinting Activo
C. Ingeniería Social

6. Material Cómplementarió
Los siguientes recursos complementarios son sugerencias para que se pueda ampliar la
información sobre el tema trabajado, como parte de su proceso de aprendizaje
autónomo:
Bibliografía de apoyo:
 EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
 Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system. IEEE

7. Bibliógrafía
» Abdi, F. y otros, 2018. Guaranteed Physical Security with Restart-Based Design
for Cyber-Physical Systems. ACM/IEEE Int. Conf. Cyber-Physical Syst, p. 10–21.
» Alshanfari, I., Ismail, R., Zaizi, M. & Wahid, F. A., 2020. Ontology-based formal
specifications for social engineering. International Journal of Technology
Management and Information System 2, p. 35–46.
» Aroyo, A. M., Rea, F., Sandini, G. & Sciutti, A., 2018. Trust and social engineering
in human robot interaction: Will a robot make you disclose sensitive
information, conform to its recommendations or gamble. IEEE Robot. Autom.
Lett., p. 3701–3708.


» Costantino, G., La Marra, A., Martinelli, F. & Matteucci, I., 2018. A social
engineering attack to leak information from infotainment system.. IEEE
Francis Group, LLC.

» Husari, G., Niu, X., Chu, B. & Al-Shaer, E., 2018. Using entropy and mutual in-
formation to extract threat actions from cyber threat intelligence. IEEE
International Conference on Intelligence and Security Informatics, p. 1–6.
» Idierukevbe, K., 2019. Physical Security Best Practices. Phys. Secure., 12(3), p.
15–29.

» Opazo, B., Whitteker, D. & Shing, C., 2018. Secrets of spoofing, the dangers of
social engineering, and how we can help.. International Conference on Natural
Computation, Fuzzy Systems and Knowledge Discovery, p. 2812–2817.



» Rashid, A. y otros, 2018. Scoping the Cyber security body of knowledge. IEEE
Secur. Priv., p. 96–102.


Ilovepdf Merged

Cargado por

Copyright:

Formatos disponibles

Ilovepdf Merged

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ilovepdf Merged

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD INFORMÁTICA

Ing. Loyola Romero Carlos Andres, Mgti.

SOMBREROS GRISES (GRAY HATS)

HACKERS SUICIDAS (SUICIDE HACKERS)

CIBERTERRORISTAS (CYBER TERRORISTS)

• Es el proceso de identificar, evaluar,

Identificación del riego

Evaluación del riesgo

Tratamiento del riesgo

Seguimiento y revisión del riesgo

Ing. Loyola Romero Carlos Andres, Mgti.

LAS EMPRESAS PODRÍAN EVITAR LA PÉRDIDA

LAS MEDIDAS DE CONTROL DE ACCESO, LE PERMITEN MONITOREAR

Capacitación al equipo de trabajo

Detectar enlaces sospechosos

Verificar validez de correos electrónicos

Verificar accesos a nombres de dominios

Autor: Arevalo Cordovilla Felipe Emiliano

1. Unidad 1: Introducción a la Seguridad Informática .............................................. 3

2. Información de los subtemas............................................................................... 4

3. Unidad 1: Introducción a la Seguridad Informática ............................................ 21

4. Información de los subtemas............................................................................. 22

5. Preguntas de Comprensión de la Unidad 1 ........................................................ 34

El problema del software inseguro es quizás el desafío técnico más importante de

FORMATO CONTROLADO: FR0018/ v3.01 3

2. Informacion de los subtemas

El objetivo principal del proyecto OWASP Application Security Verification Standard

FORMATO CONTROLADO: FR0018/ v3.01 4

seguridad que tienen más probabilidades de ser descubiertos y explotados por un

FORMATO CONTROLADO: FR0018/ v3.01 5

2.2 Subtema 2: Principales Vulnerabilidades

Figura 1. Cambios de los 10 principales riesgos de seguridad de las aplicaciones web

Control de acceso roto (Broken Access Control)

El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto

 CWE-200: Exposición de información confidencial a un actor no autorizado

FORMATO CONTROLADO: FR0018/ v3.01 6

Fallas criptográficas (Cryptographic Failures)

Anteriormente conocido como Exposición de datos confidenciales, que es más un

 CWE-259: Uso de contraseña codificada

Muchas aplicaciones web no protegen adecuadamente sus datos confidenciales de

Aunque los datos están encriptados, algunos métodos de encriptación criptográfica

FORMATO CONTROLADO: FR0018/ v3.01 7

 CWE-79: Cross-site Scripting

Las fallas de inyección son vulnerabilidades de aplicaciones web que permiten

Diseño inseguro (Insecure Design)

para los principios de Secure by Design. Las Enumeraciones de debilidades comunes

 CWE-209: Generación de mensaje de error que contiene información

FORMATO CONTROLADO: FR0018/ v3.01 8

Configuración incorrecta de seguridad (Security Misconfiguration)

el 90 % de las aplicaciones se probaron en busca de algún tipo de configuración

Componentes vulnerables y obsoletos (Vulnerable and Outdated Components)

 CWE-1104: uso de componentes de terceros no mantenidos

atacantes buscan vulnerabilidades en sitios de exploits como:

 Exploit Database (https://www.exploit-db.com)

Si se identifica un componente vulnerable, el atacante personaliza el exploit según sea

FORMATO CONTROLADO: FR0018/ v3.01 9

Fallas de identificación y autenticación (Identification and Authentication Failures)

Anteriormente conocida como Autenticación rota, y ahora incluye Enumeraciones de

 CWE-297: Validación incorrecta del certificado con discrepancia de host