SlideShare una empresa de Scribd logo

Hacking ético

Base10media
Base10media

Definición del concepto hacking ético y cómo éste puede ayudar en la búsqueda de vulnerabilidades de seguridad, mejorando así la protección de la información de una emrpesa.

Tecnología
1 de 5
Descargar para leer sin conexión
White paper © 2015 Base10 Informática. All rights reserved. 1 El Hacking ético, las auditorias de seguridad o los Pen-testing son procesos dirigidos a mejorar la seguridad del activo más importante de la empresa, la información. El impacto económico de la explotación de una vulnerabilidad en un servidor o una fuga de información en su red de datos puede reducirse, e incluso evitarse, tomando las medidas adecuadas de protección. Comprobar la seguridad perimetral, el bastionado de servidores, el estado de los certificados, la seguridad de las aplicaciones, las fugas de información, etc… Todos esos procesos complejos pueden ser testeados y verificados por un equipo técnico, y así promover los cambios necesarios para reducir el frente de exposición de la red de datos. “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro” – Sun Tzu, El arte de la guerra Vamos a comenzar distinguiendo entre dos conceptos altamente controvertidos y constantemente confundidos, de manera que nos permita entender la existencia de un “hacking ético”. Estos términos son “Hacker” y “Cracker”. El término hacker se utiliza para designar a alguien que posee elevados conocimientos de sistemas y seguridad informática, los cuales utiliza en beneficio propio y/o de la comunidad con la que comparte intereses; por ejemplo, los desarrolladores de software libre. El concepto cracker (del inglés to crack, ‘romper’, ‘quebrar’) se utiliza para referirnos a los “piratas informáticos”, es decir, las personas que contando con altos conocimientos en sistemas informáticos (de la misma manera que los hackers), los utilizan para beneficio propio o para la realización de actividades delictivas, como por ejemplo penetrar en las redes y acceder a infomación protegida sin autorización. De esta manera, hackers y crackers, son personas con conocimientos similares pero con ideas totalmente distintas. De forma general, podemos establecer que el hacker posee un código de ética al contrario que el cracker, cuyas intenciones son únicamente maliciosas.
White paper © 2015 Base10 Informática. All rights reserved. 2 ¿En qué consiste el hacking ético? Se trata de utilizar conocimientos informáticos para realizar determinadas pruebas denominadas pen-test1 , en redes, sistemas informáticos o aplicaciones web, para evaluar la seguridad o comprobar el cumplimiento de la política de seguridad de una organización, de manera que se puedan descubrir vulnerabilidades de seguridad y prevenirlas. Hacking ético es un término que se utiliza para describir la actividad de “hackeo” realizada por una empresa o un profesional individual con el objetivo de ayudar a identificar amenzas potenciales en un ordenador o red informática de una compañía o institución pública. Un hacker ético intenta evitar la seguridad del sistema y busca de los puntos débiles que podrían ser explotados por los crackers. La información obtenida es utilizada posteriormente por la organización, de manera que su sistema de seguridad pueda verse reforzado minimizando o eliminando estos ataques potenciales. La persona encargada de realizar los pen-tests debe seguir los siguientes procedimientos: - Contar con una autorización expresa por escrito para realizar la penetración de la red en busqueda de riesgos potenciales. - Firmar un documento que incluya un compromiso de confidencialidad. - Compromiso firmado de informar de todas las vulnerabilidades encontradas tras el análisis. - Detalle de las vulnerabilidades encontradas y como evitarlas. Todo esto debe ser presentado en un informe final denominado Ethical Hacking Report. 1 Conjunto de técnicas utilizadas para la simulación de un ataque informático en un escenario controlado, para evaluar la seguridad de un sistema o de una red informática, y así encontrar vulnerabilidades.
White paper © 2015 Base10 Informática. All rights reserved. 3 ¿Por qué se deben realizar pen-test periódicos? La seguridad de una red es un aspecto variable. Una compañía puede lograr un nivel de protección óptimo en un momento determinado y ser completamente sensible poco después, tras realizar ligeros cambios de configuración. Al mismo tiempo, aparecen asiduamente nuevos fallos de seguridad. A través del Hacking Ético es posible revelar el nivel de seguridad interno y externo de los sistemas de información de una organización. Los pen-test dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos ajenos a la organización. Procedimientos o tipos de pen- test Auditoría de Seguridad Externa o Perimetral – BlackBox Detección de servicios y aplicaciones desde el exterior de la infraestructura sin conocimiento de los dispositivos o servidores implicados en la gestión de la información. En este tipo de análisis el “hacker” no tiene acceso al código, ni a la documentación. Lo único con lo que cuenta para trabajar es la información pública de la aplicación. En este caso se simula un ataque que podría llevar a cabo un cracker, el escenario más común es la introducción de para obtener información. • Fingerprinting: o Descubrimiento de información publicada. o Registros DNS: fiscalización, otros dominios, noticias, logs, imágenes. • Escaneo: o Detección de puertos y servicios. o URL’s y servicios publicados. • Detección y explotación de vulnerabilidades: o Denegación de Servicio. o Secuestro de navegadores. o Cross-Scripting. o Inyección SQL.
White paper © 2015 Base10 Informática. All rights reserved. 4 Auditoría de Seguridad Interna - WhiteBox Con el conocimiento de la infraestructura y los servicios provenientes tanto del análisis externo como de la información proporcionada por el cliente, se pueden obtener resultados mucho más exhaustivos, relativos a valores tan intrínsecos como las vulnerabilidades del propio sistema operativo, motores de bases de datos y servidores de aplicaciones, además de los servicios que se publican al exterior. • Detección y análisis de Sistemas Operativos. • Detección de parches y agujeros de seguridad de las aplicaciones. • Escaneo de puertos y servicios interior. • Análisis de la seguridad de la información publicada. • Control de intercambio de información entre servidores. • Protección frente a ataques desde el interior. Auditoría de Seguridad Wireless La funcionalidad y seguridad del servicio de acceso a la red de datos corporativa mediante un acceso Wireless no tiene que ser incompatible con la seguridad de la información de la red de datos cableada. • Medición de niveles de servicio y cobertura. • Detección de señales interferentes. • Diseño y mejora de la calidad del servicio. • Comprobación de seguridad frente a cracking de contraseñas. • Protección y validación de usuarios. • Detección de ataques desde el interior. Ingeniería de infraestructuras Con la información obtenida tras la realización de los pen-test tenemos dos soluciones: - Proponer y mejorar la infraestructura actual de seguridad de la información de la organización resolviendo las debilidades descubiertas. - Crear una infraestructura nueva que proporcione mayor seguridadLa mejora, actualización y optimización del diseño de una red segura es parte de ese mismo proceso de evolución.
White paper © 2015 Base10 Informática. All rights reserved. 5 Beneficios 1. Comprobar el nivel de exposición de los sistemas de información ofreciendo un panorama de las vulnerabilidades detectadas. 2. Reducción de los riegos relacionados con las vulnerabilidades detectadas. 3. Formación y concienciación respecto a una infraestructura y servicios seguros, que redunda en una ventaja estratégica de la empresa frente a sus competidores. 4. Documentación, normalización y cumplimiento ajustado a los nuevos requerimientos administrativos y/o reglamentarios. 5. Disminuir el tiempo de reacción y solución requeridos para afrontar situaciones adversas en la organización. Para más información: Valencia Juan de la Cierva 27 Edificio Wellness 46980 Paterna 961169980 Alicante Muelle de Poniente, s/n, 03001 966140744 Castellón Vicente Gimeno Michavila, 11, 12003 964340027 media@base10informatica.com

Recomendados

Hacking etico
Hacking eticoHacking etico
Hacking eticoHacking etico
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 

Recomendados

Hacking etico
Hacking eticoHacking etico
Hacking eticoHacking etico
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios N3XAsec Catalogo de servicios
N3XAsec Catalogo de servicios Rafael Seg
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Tipos de Pentest
Tipos de PentestTipos de Pentest
Tipos de PentestRafael Seg
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Metodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosMetodologia para detectar vulnerabilidades de los activos
Metodologia para detectar vulnerabilidades de los activosAlexander Velasque Rimac
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Tarea administracion redes
Tarea administracion redesTarea administracion redes
Tarea administracion redesRoberto Apolinar M
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónAntonio González Castro
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Juan Pablo
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 
Presentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpPresentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpInstituciones Educativas Evangelicas La Esperanza
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015Rafael Seg
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASjavierhrobayo
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Que se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataqueQue se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataqueEnrique de Nicolás Marín
 
S eguridad
S eguridadS eguridad
S eguridadDid Maldonado
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaNiccoRodriguez
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9Universidad Kino A.C.
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Hacking ético
Hacking éticoHacking ético
Hacking éticosony_e
 
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...White Hat Mexico
 

Más contenido relacionado

La actualidad más candente

Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015n3xasec
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Juan Pablo
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_redelenacediel
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015Rafael Seg
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASjavierhrobayo
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPMarcos Harasimowicz
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 

La actualidad más candente (20)

Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.
 
Tarea administracion redes
Tarea administracion redesTarea administracion redes
Tarea administracion redes
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de Intrusión
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
 
Seguridad en la_red
Seguridad en la_redSeguridad en la_red
Seguridad en la_red
 
Presentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes IpPresentacion 4 Seguridad En Redes Ip
Presentacion 4 Seguridad En Redes Ip
 
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
C)FI-RI Computer Forensics Investigator & Incident Response v.2 2015
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICAS
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Que se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataqueQue se esconde detrás de un ciberataque
Que se esconde detrás de un ciberataque
 
S eguridad
S eguridadS eguridad
S eguridad
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 

Destacado

Hacking ético
Hacking éticoHacking ético
Hacking éticosony_e
 
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...White Hat Mexico
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersWhite Hat Mexico
 
técnicas de hackers
técnicas de hackers técnicas de hackers
técnicas de hackershhfd526374848
 
Manual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulkManual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulkWhite Hat Mexico
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5White Hat Mexico
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
136 experiencias de-testing_y_resultados_obtenidos
136 experiencias de-testing_y_resultados_obtenidos136 experiencias de-testing_y_resultados_obtenidos
136 experiencias de-testing_y_resultados_obtenidosGeneXus
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICWhite Hat Mexico
 
ENHACKE - Ninjasec en LinuxWeek
ENHACKE - Ninjasec en LinuxWeekENHACKE - Ninjasec en LinuxWeek
ENHACKE - Ninjasec en LinuxWeekinglorion
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesZink Security
 

Destacado (20)

Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
Manual de pentesting_sobre_ataque_a_servidores_apache_1.x_2.x_con_linux_y_per...
 
Checklist
ChecklistChecklist
Checklist
 
Auditorías de seguridad
Auditorías de seguridadAuditorías de seguridad
Auditorías de seguridad
 
Manual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackersManual de pentesting_sobre_tipos_de_hackers
Manual de pentesting_sobre_tipos_de_hackers
 
Checklistdeauditoria
ChecklistdeauditoriaChecklistdeauditoria
Checklistdeauditoria
 
técnicas de hackers
técnicas de hackers técnicas de hackers
técnicas de hackers
 
Manual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulkManual de pentesting_sobre_ataque_web_python_hulk
Manual de pentesting_sobre_ataque_web_python_hulk
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
Manual de pentesting_sobre_ataque_a_encirptado_wep_con_backtrack_5
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria DragonJAR TV Episodio 8 - Experiencias en Consultoria
DragonJAR TV Episodio 8 - Experiencias en Consultoria
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
Un1 tecnicas y htas de auditoria
Un1 tecnicas y htas de auditoriaUn1 tecnicas y htas de auditoria
Un1 tecnicas y htas de auditoria
 
136 experiencias de-testing_y_resultados_obtenidos
136 experiencias de-testing_y_resultados_obtenidos136 experiencias de-testing_y_resultados_obtenidos
136 experiencias de-testing_y_resultados_obtenidos
 
Manual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOICManual de Seguridad Informatica sobre Ataque Web LOIC
Manual de Seguridad Informatica sobre Ataque Web LOIC
 
CHECKLIST-G
CHECKLIST-GCHECKLIST-G
CHECKLIST-G
 
ENHACKE - Ninjasec en LinuxWeek
ENHACKE - Ninjasec en LinuxWeekENHACKE - Ninjasec en LinuxWeek
ENHACKE - Ninjasec en LinuxWeek
 
Seguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móvilesSeguridad en internet y en dispositivos móviles
Seguridad en internet y en dispositivos móviles
 

Similar a Hacking ético

42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadAniiitha01
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windowsazrahim
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes JORGE MONGUI
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticajuanskate545
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 

Similar a Hacking ético (20)

42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Seguridad y privacidad en windows
Seguridad y privacidad en windowsSeguridad y privacidad en windows
Seguridad y privacidad en windows
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Alonso hernandez marcos de jesus
Alonso hernandez marcos de jesusAlonso hernandez marcos de jesus
Alonso hernandez marcos de jesus
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentación1
Presentación1Presentación1
Presentación1
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
HackWeb
HackWebHackWeb
HackWeb
 

Último

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 

Último (15)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 

Hacking ético

  • 1. White paper © 2015 Base10 Informática. All rights reserved. 1 El Hacking ético, las auditorias de seguridad o los Pen-testing son procesos dirigidos a mejorar la seguridad del activo más importante de la empresa, la información. El impacto económico de la explotación de una vulnerabilidad en un servidor o una fuga de información en su red de datos puede reducirse, e incluso evitarse, tomando las medidas adecuadas de protección. Comprobar la seguridad perimetral, el bastionado de servidores, el estado de los certificados, la seguridad de las aplicaciones, las fugas de información, etc… Todos esos procesos complejos pueden ser testeados y verificados por un equipo técnico, y así promover los cambios necesarios para reducir el frente de exposición de la red de datos. “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro” – Sun Tzu, El arte de la guerra Vamos a comenzar distinguiendo entre dos conceptos altamente controvertidos y constantemente confundidos, de manera que nos permita entender la existencia de un “hacking ético”. Estos términos son “Hacker” y “Cracker”. El término hacker se utiliza para designar a alguien que posee elevados conocimientos de sistemas y seguridad informática, los cuales utiliza en beneficio propio y/o de la comunidad con la que comparte intereses; por ejemplo, los desarrolladores de software libre. El concepto cracker (del inglés to crack, ‘romper’, ‘quebrar’) se utiliza para referirnos a los “piratas informáticos”, es decir, las personas que contando con altos conocimientos en sistemas informáticos (de la misma manera que los hackers), los utilizan para beneficio propio o para la realización de actividades delictivas, como por ejemplo penetrar en las redes y acceder a infomación protegida sin autorización. De esta manera, hackers y crackers, son personas con conocimientos similares pero con ideas totalmente distintas. De forma general, podemos establecer que el hacker posee un código de ética al contrario que el cracker, cuyas intenciones son únicamente maliciosas.
  • 2. White paper © 2015 Base10 Informática. All rights reserved. 2 ¿En qué consiste el hacking ético? Se trata de utilizar conocimientos informáticos para realizar determinadas pruebas denominadas pen-test1 , en redes, sistemas informáticos o aplicaciones web, para evaluar la seguridad o comprobar el cumplimiento de la política de seguridad de una organización, de manera que se puedan descubrir vulnerabilidades de seguridad y prevenirlas. Hacking ético es un término que se utiliza para describir la actividad de “hackeo” realizada por una empresa o un profesional individual con el objetivo de ayudar a identificar amenzas potenciales en un ordenador o red informática de una compañía o institución pública. Un hacker ético intenta evitar la seguridad del sistema y busca de los puntos débiles que podrían ser explotados por los crackers. La información obtenida es utilizada posteriormente por la organización, de manera que su sistema de seguridad pueda verse reforzado minimizando o eliminando estos ataques potenciales. La persona encargada de realizar los pen-tests debe seguir los siguientes procedimientos: - Contar con una autorización expresa por escrito para realizar la penetración de la red en busqueda de riesgos potenciales. - Firmar un documento que incluya un compromiso de confidencialidad. - Compromiso firmado de informar de todas las vulnerabilidades encontradas tras el análisis. - Detalle de las vulnerabilidades encontradas y como evitarlas. Todo esto debe ser presentado en un informe final denominado Ethical Hacking Report. 1 Conjunto de técnicas utilizadas para la simulación de un ataque informático en un escenario controlado, para evaluar la seguridad de un sistema o de una red informática, y así encontrar vulnerabilidades.
  • 3. White paper © 2015 Base10 Informática. All rights reserved. 3 ¿Por qué se deben realizar pen-test periódicos? La seguridad de una red es un aspecto variable. Una compañía puede lograr un nivel de protección óptimo en un momento determinado y ser completamente sensible poco después, tras realizar ligeros cambios de configuración. Al mismo tiempo, aparecen asiduamente nuevos fallos de seguridad. A través del Hacking Ético es posible revelar el nivel de seguridad interno y externo de los sistemas de información de una organización. Los pen-test dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos ajenos a la organización. Procedimientos o tipos de pen- test Auditoría de Seguridad Externa o Perimetral – BlackBox Detección de servicios y aplicaciones desde el exterior de la infraestructura sin conocimiento de los dispositivos o servidores implicados en la gestión de la información. En este tipo de análisis el “hacker” no tiene acceso al código, ni a la documentación. Lo único con lo que cuenta para trabajar es la información pública de la aplicación. En este caso se simula un ataque que podría llevar a cabo un cracker, el escenario más común es la introducción de para obtener información. • Fingerprinting: o Descubrimiento de información publicada. o Registros DNS: fiscalización, otros dominios, noticias, logs, imágenes. • Escaneo: o Detección de puertos y servicios. o URL’s y servicios publicados. • Detección y explotación de vulnerabilidades: o Denegación de Servicio. o Secuestro de navegadores. o Cross-Scripting. o Inyección SQL.
  • 4. White paper © 2015 Base10 Informática. All rights reserved. 4 Auditoría de Seguridad Interna - WhiteBox Con el conocimiento de la infraestructura y los servicios provenientes tanto del análisis externo como de la información proporcionada por el cliente, se pueden obtener resultados mucho más exhaustivos, relativos a valores tan intrínsecos como las vulnerabilidades del propio sistema operativo, motores de bases de datos y servidores de aplicaciones, además de los servicios que se publican al exterior. • Detección y análisis de Sistemas Operativos. • Detección de parches y agujeros de seguridad de las aplicaciones. • Escaneo de puertos y servicios interior. • Análisis de la seguridad de la información publicada. • Control de intercambio de información entre servidores. • Protección frente a ataques desde el interior. Auditoría de Seguridad Wireless La funcionalidad y seguridad del servicio de acceso a la red de datos corporativa mediante un acceso Wireless no tiene que ser incompatible con la seguridad de la información de la red de datos cableada. • Medición de niveles de servicio y cobertura. • Detección de señales interferentes. • Diseño y mejora de la calidad del servicio. • Comprobación de seguridad frente a cracking de contraseñas. • Protección y validación de usuarios. • Detección de ataques desde el interior. Ingeniería de infraestructuras Con la información obtenida tras la realización de los pen-test tenemos dos soluciones: - Proponer y mejorar la infraestructura actual de seguridad de la información de la organización resolviendo las debilidades descubiertas. - Crear una infraestructura nueva que proporcione mayor seguridadLa mejora, actualización y optimización del diseño de una red segura es parte de ese mismo proceso de evolución.
  • 5. White paper © 2015 Base10 Informática. All rights reserved. 5 Beneficios 1. Comprobar el nivel de exposición de los sistemas de información ofreciendo un panorama de las vulnerabilidades detectadas. 2. Reducción de los riegos relacionados con las vulnerabilidades detectadas. 3. Formación y concienciación respecto a una infraestructura y servicios seguros, que redunda en una ventaja estratégica de la empresa frente a sus competidores. 4. Documentación, normalización y cumplimiento ajustado a los nuevos requerimientos administrativos y/o reglamentarios. 5. Disminuir el tiempo de reacción y solución requeridos para afrontar situaciones adversas en la organización. Para más información: Valencia Juan de la Cierva 27 Edificio Wellness 46980 Paterna 961169980 Alicante Muelle de Poniente, s/n, 03001 966140744 Castellón Vicente Gimeno Michavila, 11, 12003 964340027 media@base10informatica.com