DELITOS CIBERNETICOS:
Manual seguridad informatica sobre robo interno de documentos enmascarado de fotografia.
Autor: Carlos Alberto Castruita Rodriguez.
Director de WhiteHat Mexico
http://www.whitehatmexico.tk
http://www.whitehatmexico.com.mx
Whatsapp: 442 146 7512
1. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 1
3. Libro de Et
Contacto: whitehat.mexico@gmail.com
Descubre desde cero como es Arte del Hacking de una
El libro de PENTESTING y de
vulnerabilidad de seguridad informática
nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o
soporte técnico en sistemas.
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
@gmail.com
Descubre desde cero como es Arte del Hacking de una visión de un White Hat.
y de SEGURIDAD INFORMATICA está diseñado para hacer pruebas de
vulnerabilidad de seguridad informática, robo de información y espionaje de datos,
nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o
Autor: Carlos Alberto Castruita
Director de WhiteHat
Con 20 años de experiencia en el área
Certificado Hellermann Tyton
Certificado 3com Networks
Ethical Hacker
Contacto: carlos.castruita@whitehatmexico.tk
EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
al Hacking para entrenamiento sobre ataques informáticos.
Página 3
visión de un White Hat.
diseñado para hacer pruebas de
, robo de información y espionaje de datos, narrado a un
nivel técnico para gentes con conocimiento de nivel básico a medio del área de informática o
Autor: Carlos Alberto Castruita Rodríguez
Director de WhiteHat - México
Con 20 años de experiencia en el área sistemas.
Certificado Hellermann Tyton
Certificado 3com Networks
Ethical Hacker Certificado
carlos.castruita@whitehatmexico.tk
4. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 4
¿COMO ROBAR INFORMACION
CONFIDENCIAL O DELICADA SIN SER
DETECTADO?
Hay empresas que están preocupadas por uso o manejo de su información interna que no
caiga en manos ajenas a la misma empresa y le den uso no apropiado o sea vendido al
mejor postor.
Protegen sus equipos contra impresión bajo autorización, bloquean puertos COM, 1394,
CD-ROM y los USB.
Entonces ponen empeño a la seguridad de datos e instalan sistemas de monitoreo de
SMTP, ya que el empleado si requiere mandar información hacia el exterior.
Supongamos que nuestra PC de la oficina, ya es están pequeña que no tiene CD ROM, ni
unidad de diskette y tiene puerto USB pero está bloqueado por un software como el
GiliSoft, para el uso de dispositivos debemos pedir autorización al administrador, entonces
nos quedaría burlar el monitoreo de SMTP de la compañía.
Del SMTP, cuando sale un email se revisa el cuerpo del texto del correo saliente y si
contiene un adjunto, se le advierte al administrador de sistemas que sale un documento y
debe ser revisado para valoración de aprobación de la salida del mismo email o correo
electrónico.
Hay una manera simple de sacar documentos de la empresa sin ser detectado,
enmascarado con una fotografía bajo ambiente Windows.
5. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 5
Se concatena el documento que deseamos extraer de la empresa con una fotografía.
Es común que tengamos en nuestros ordenadores de trabajo, fotografías de nuestros
seres queridos, también de objetos adquiridos como autos, bicicletas o motocicletas, sin
que sea mal visto o llame la atención del administrador de sistemas.
EMPEZAMOS:
Pasó 1: El documento o los documentos a robar hay que compactarlos en ZIP o RAR.
Paso 2: Ya que compactamos en ZIP o RAR nuestros documentos, lo guardamos en la raíz
para facilitar el uso de comandos de DOS.
Paso 3: La fotografía que vamos a usar en la operación guardarla en raíz también.
Pasó 4: Dentro de nuestro Windows nos vamos a la parte de ejecutar y escribimos el
comando CMD y más INTRO.
PASO 5: Ya que nos muestra una ventana de texto como la de la grafica siguiente,
trataremos de irnos a raíz con el comando siguiente.
Usar CD + INTRO, ya estando en raíz usaremos el comando copy. Pero antes de eso
6. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 6
Nos vamos a nuestra unidad C y checaremos nuestra imagen que vamos a trabajar.
Tenemos arriba en el grafico, la imagen de una motocicleta con un peso de 22.3 KB, que
en nuestro paso siguiente se va a concatenar o fusionar con el archivo que generamos en
ZIP o RAR, que en este ejercicio lo generamos en Winrar, nuestro archivo se llama
confidencial.rar y tiene un peso de 75 KB.
7. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 7
Nos vamos a nuestra raíz estando en la ventana de comandos y escribimos lo siguiente
>> ESCRIBIR:
Copy /b Suzuki_900.jpg+confidencial.rar mi_nueva_motocicleta.jpg{ INTRO }
(Concatenamos el archivo JPG + el archivo RAR)
Y lo guardamos en el archivo mi_nueva_motocicleta.jpg
Borramos los archivos Suzuki_900cc.jpg y el archivo confidencial.rar, ya que obtenemos el
nuevo archivo mi_nueva_motocicleta.jpg
Para checar que nuestro nuevo archivo no tenga metadatos que nos pueda dejar en
evidencia de alguna información lo revise con FOCA, un programa desarrollado por el
Famoso Chema Alonso, cuyo software tiene una función para revisar los metadatos que
contenga los archivos.
8. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 8
Pasamos nuestro archivo JPG por FOCA y vemos claramente como lo indica el grafico
siguiente, que está limpio de metadatos que por algún detalle nos pueda comprometer el
archivo JPG.
Lo que si nos muestra FOCA que nuestra Fotografía de la motocicleta de un peso de 22.3
KB subió a 97 KB por la fusión del archivo RAR contenido dentro de la imagen.
Realmente eso pasa por desapercibido ya que nadie sabe el peso original de la fotografía
de la motocicleta.
9. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 9
Le damos clic derecho a la imagen de mi_nueva_motocicleta.jpg y seleccionamos winrar
para poder ver el contenido de la imagen.
Nos muestra en la parte del grafico siguiente, que nos muestra el contenido de la imagen
mi_nueva_motocicleta.jpg como lo indica en la parte superior izquierda.
Si vemos en la parte interior del winrar vemos un documento PDF, con el nombre de
confidencial.pdf, ese es nuestro documento que robamos y que lo enmascaramos para
obtenerlo de una manera que no se diera nadie cuenta de la compañía.
Existen muchas manera de hacer robo interno de información, este fue un ejercicio de
algo ya viejo, pero desgraciadamente muchos administradores de sistemas NO lo conocen
o son fácilmente engañados.
10. EL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKINGEL ARTE DEL HACKING
Libro de Ethical Hacking para entrenamiento sobre ataques informáticos.
Contacto: whitehat.mexico@gmail.com Página 10
NOTA IMPORTANTE:
Estos ejercicios de ataques son con fines didácticos y no atacamos a ninguna empresa ni
entidad gubernamental, son ataques 100% controlados.
Es bajo propia responsabilidad del lector, el uso que haga de estos conocimientos.
Yo como escritor e investigador de técnicas de ataque a medios informáticos, que cada
uno de mis ejercicios de ataques a redes, servidores, equipos informáticos y telefónicos
son bajo ambiente controlado, con infraestructura propia y no causando daño a terceros.
Expongo los ejercicios que yo como técnico informático a mi persona me han funcionado
y dejo visto como un Black Hacker, Cracker o Delincuente informático de cómo puede
atacar un equipo electrónico.