SlideShare una empresa de Scribd logo

Herramientas de análisis de vulnerabilidades

A
Alejandro Otegui

Presentación Herramientas de análisis de vulnerabilidades

Software
1 de 20
Descargar para leer sin conexión
Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
¿Qué es una VULNERABILIDAD?
Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
Análisis de VULNERABILIDAD
El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
Herramientas de análisis de VULNERABILIDAD
Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES

Recomendados

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Herramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaHerramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaEdgar David Salazar
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Nmap
NmapNmap
NmapCristian Alejandro Rojas Quintero
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 

Recomendados

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Herramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaHerramientas para auditorias de seguridad informatica
Herramientas para auditorias de seguridad informaticaEdgar David Salazar
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Nmap
NmapNmap
NmapCristian Alejandro Rojas Quintero
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 
Nessus Software
Nessus SoftwareNessus Software
Nessus SoftwareMegha Sahu
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network MonitoringHelpSystems
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Network Intelligence India
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Network Monitoring Basics
Network Monitoring BasicsNetwork Monitoring Basics
Network Monitoring BasicsRob Dunn
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGEr Vivek Rana
 
Supply chain-attack
Supply chain-attackSupply chain-attack
Supply chain-attackvikram vashisth
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 

Más contenido relacionado

La actualidad más candente

Nessus Software
Nessus SoftwareNessus Software
Nessus SoftwareMegha Sahu
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network MonitoringHelpSystems
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Network Monitoring Basics
Network Monitoring BasicsNetwork Monitoring Basics
Network Monitoring BasicsRob Dunn
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGEr Vivek Rana
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 

La actualidad más candente (20)

Nessus Software
Nessus SoftwareNessus Software
Nessus Software
 
10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring10 Steps to Improve Your Network Monitoring
10 Steps to Improve Your Network Monitoring
 
Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0Vapt pci dss methodology ppt v1.0
Vapt pci dss methodology ppt v1.0
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodology
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Network Monitoring Basics
Network Monitoring BasicsNetwork Monitoring Basics
Network Monitoring Basics
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTING
 
Supply chain-attack
Supply chain-attackSupply chain-attack
Supply chain-attack
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En Informática
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 

Similar a Herramientas de análisis de vulnerabilidades

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesDaniel Fernandez Droniak
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxjosephvasquezuns
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyehmonaclaro
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infivannesberto
 

Similar a Herramientas de análisis de vulnerabilidades (20)

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Antivirus
AntivirusAntivirus
Antivirus
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyeh
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Antivirus
AntivirusAntivirus
Antivirus
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informatica
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero inf
 

Herramientas de análisis de vulnerabilidades

  • 1. Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
  • 2. ¿Qué es una VULNERABILIDAD?
  • 3. Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
  • 4. Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
  • 5. TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
  • 6. Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
  • 8. El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
  • 9. Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
  • 10. ¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
  • 11. Herramientas de análisis de VULNERABILIDAD
  • 12. Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
  • 13. Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
  • 14. Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
  • 15. OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
  • 16. John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
  • 17. THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
  • 18. Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
  • 19. Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
  • 20. GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES