Este documento presenta una introducción al tema de Ethical Hacking desde Azure. Explica brevemente qué es Ethical Hacking y cómo se realiza mediante metodologías como la Tabla CVSS. Luego describe quiénes realizan proyectos de Ethical Hacking y cuáles son las principales herramientas utilizadas, incluyendo Footprint, escaneo y enumeración, ataques de fuerza bruta, análisis de vulnerabilidades y exploit. Finalmente, enfatiza que las herramientas solo son útiles con sentido común y olfato para la seg
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
La seguridad empresarial se enfoca en salvaguardar su información para evitar que los hackers penetren la red y accedan a los datos.
Aunque este es un buen comienzo, las organizaciones a menudo de manera ingenua pasan por alto los peligros de robo de datos iniciado por un empleado interno.
En la presentación mostrara las fallas comunes de seguridad internas y mostrara como mitigar y prevenir los riesgos de acceso a los datos de su compañía.
Del mismo modo que los atacantes aprovechan una metodología de amenazas para obtener acceso a sus objetivos, las organizaciones deben implementar una metodología de defensa para proteger su entorno de estos ataques. La metodología de Defensa propone casos prácticos y lineamientos a seguir utilizando el marco de ciberseguridad más reconocido de la industria: NIST Cybersecurity Framework.
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
Los incidentes acontecidos en el último tiempo, en empresas y organizaciones de distintos rubros y tamaños. Han dejado en evidencia la necesidad de replantear las estrategias de ciberseguridad, re-enfocando la atención y recursos nuevamente hacia los dispositivos de cómputo, pero en un entorno dinámico y bajo continua expansión.
Tenable, empresa líder en detección y gestión de vulnerabilidades, ofrece la mayor cobertura y efectividad para identificar la brecha de ciber exposición de nuestros clientes, permitiéndoles administrar, consistentemente, los esfuerzos tendientes a reducir la probabilidad de ser afectados por ciber ataques.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Como a través de un simple acceso un atacante puede causar daños en las organizaciones a nivel operacional o de robo de información y como se pueden proteger las organizaciones de dichos ataques.
LAS AMENAZAS INTERNAS Y SU IMPACTO EN SEGURIDAD DE DATOSCristian Garcia G.
La seguridad empresarial se enfoca en salvaguardar su información para evitar que los hackers penetren la red y accedan a los datos.
Aunque este es un buen comienzo, las organizaciones a menudo de manera ingenua pasan por alto los peligros de robo de datos iniciado por un empleado interno.
En la presentación mostrara las fallas comunes de seguridad internas y mostrara como mitigar y prevenir los riesgos de acceso a los datos de su compañía.
Del mismo modo que los atacantes aprovechan una metodología de amenazas para obtener acceso a sus objetivos, las organizaciones deben implementar una metodología de defensa para proteger su entorno de estos ataques. La metodología de Defensa propone casos prácticos y lineamientos a seguir utilizando el marco de ciberseguridad más reconocido de la industria: NIST Cybersecurity Framework.
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...Cristian Garcia G.
Los incidentes acontecidos en el último tiempo, en empresas y organizaciones de distintos rubros y tamaños. Han dejado en evidencia la necesidad de replantear las estrategias de ciberseguridad, re-enfocando la atención y recursos nuevamente hacia los dispositivos de cómputo, pero en un entorno dinámico y bajo continua expansión.
Tenable, empresa líder en detección y gestión de vulnerabilidades, ofrece la mayor cobertura y efectividad para identificar la brecha de ciber exposición de nuestros clientes, permitiéndoles administrar, consistentemente, los esfuerzos tendientes a reducir la probabilidad de ser afectados por ciber ataques.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Como a través de un simple acceso un atacante puede causar daños en las organizaciones a nivel operacional o de robo de información y como se pueden proteger las organizaciones de dichos ataques.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
Las campañas de phishing que utilizan como pretexto el interés que acapara el avance del COVID-19 se propagan cada vez con mayor frecuencia. Las mismas buscan no solo robar información personal de sus posibles víctimas, sino propagar noticias falsas y entregar publicidad no deseada a lo largo de todo el ataque.
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Exclusiva experiencia culinaria desde la comodidad de tu hogar, una sesión interactiva dirigida por un Chef de una reconocida escuela vivencial, descubra con nosotros una nueva forma de experimentar el arte culinario. En esta oportunidad nos acompañara Jacobo Resnikov, Regional Cortex Manager en Palo Alto, quien desarrollará el Webinar : DETECTE Y DETENGA ATAQUES SOFISTICADOS CON CORTEX XDR Seguridad continua basada en IA abierta e integrada. Detección de ataques avanzados gracias a los análisis: descubra amenazas gracias a la IA, los análisis de comportamiento y las reglas de detección personalizadas. El agente de Cortex XDR protege los endpoints del malware, exploits y los ataques sin archivo gracias a la protección basada en el comportamiento y a los análisis locales basados en inteligencia artificial
Presentación realizada en el apartado "Empleo y Talento", donde se expuso el trabajo realizado por un "hacker ético", así como las claves para convertirse en uno y hacer de tu hobby una profesión.
La presentación mostrará a los asistentes diferentes casos de intrusión reales y realizados por el ponente en grandes corporaciones, entidades bancarias y organizaciones industriales durante su labor profesional. En cada caso, se mostraran cuáles fueron las acciones realizadas, los pasos y metodología seguidos así como las consecuencias.
La finalidad de la presentación es demostrar que el hacking también puede ser una profesión, que cada día es más demandada debido a su inminente necesidad. Por otro lado, también buscara concienciar y demostrar a los asistentes lo vulnerables que son las organizaciones y cualquiera de nosotros ante ataques informáticos.
Conozca como entender la propuesta de valor que tenemos junto a Check Point en la nube pública con una perspectiva de ciberseguridad para los procesos de adopción de los servicios de nube.
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
Considerando la amplia gama de herramientas y automatización con la que los criminales cuentan, es claro que la única forma de hacer frente al nivel de sofisticación de los ataques cibernéticos modernos, es contar con inteligencia artificial y automatización que nos pueden ayudar a combatir los ataques que estamos enfrentando al día de hoy.
Por otro lado exploraremos algunas estadísticas del mercado alrededor del manejo de los “Security operations center” o “SOC” y como podemos ayudarlos a hacer más eficientes sus operaciones.
Los ataques de phishing, malware y cryptohacking aumentaron exponencialmente en los últimos 2 años y suelen llegar en forma de simples e-mails fraudulentos o al navegar en sitios de internet utilizando la cuenta de correo de la empresa. Si los usuarios aceptan cualquier tipo de correo o archivo o navegan libremente llegando a sitios sospechosos, se deja una ventana abierta para ser víctima de un ciberataque por lo que más allá de las estrategias que los técnicos puedan llevar a cabo a nivel infraestructura, se debe trabajar con políticas y lineamientos de entrenamiento en ciberseguridad para todos los integrantes de vuestra organización, en lenguaje sencillo y de fácil comprensión, que ayuden a identificar correos sospechosos, intentos de ingeniería social, adjuntos potencialmente infectados e incluso un links inciertos, debiendo poder usar un criterio común para inmediatamente reportar estos casos al departamento de seguridad informática.
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
Un programa de amenazas internas es requerido en toda organización que desea transformar su SOC en un Centro de Ciberdefensa. La diferencia radica en la detección anticipada y respuesta automatizada a todo incidente de seguridad. Sea testigo de como mediante el Análisis del Comportamiento de Usuarios y Entidades es posible enfrentar desafíos modernos; deteniendo amenazas antes de que estas causen daño.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
Descripción:
Se explicarán las cuatro fases del proceso de pruebas de penetración contra aplicaciones web. Se inicia examinando la perspectiva mental del atacante. Las partes de una Prueba de Penetración y definición de su alcance. La primeras fases del reconocimiento y mapeo del proceso proporcionan los fundamenteos necesarios para controlar la aplicación. En la fase de descubrimiento se exponen diversas debilidades dentro de las aplicaciones. Además de mapear los vectores de ataque a utilizar contra la aplicación. El descubrimiento también se enfoca en los componentes del lado del cliente. En la fase final de explotación se lanzan los ataques planificados y creados durante las tres fases previas.
Objetivo:
El objetivo de este Taller Virtual es proporcionar al participante una introducción a las Pruebas de Penetración contra Aplicaciones Web. Para este propósito se expondrá la teoría con ayuda de ejercicios y ejemplos prácticos utilizando máquinas virtuales y las diferentes herramientas incluidas en Samurai WTF.
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
En esta plática analizaremos las amenazas a las que están expuestos los usuarios de Internet y organizaciones. Se demostrarán vulnerabilidades que afectan actualmente a diversos dispositivos. Además se presentarán estadísticas nunca antes publicadas sobre el estado actual de la seguridad del ecosistema de redes inalámbricas encontradas en México.
Ponente: Paulino Calderón. Consultor de seguridad informática y desarrollador de software. Es cofundador de Websec. Con experiencia en administración de servidores, diseño de software y auditorías de seguridad de aplicaciones web e infraestructuras de TI. Forma parte del equipo oficial de Nmap como desarrollador NSE. Es el autor de una de las aplicaciones más populares en México en la historia: Mac2wepkey HHG5XX.
Video: https://www.youtube.com/watch?v=V5ofjARl--4
Las campañas de phishing que utilizan como pretexto el interés que acapara el avance del COVID-19 se propagan cada vez con mayor frecuencia. Las mismas buscan no solo robar información personal de sus posibles víctimas, sino propagar noticias falsas y entregar publicidad no deseada a lo largo de todo el ataque.
Ponencia del evento Latin CACS 2017 de Isaca. San José Costa Rica.26 - 27 sept. 2017.
Conceptos y elementos necesarios para el entendimiento de sistemas Android y IOs y auditar técnicamente una aplicación móvil.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Exclusiva experiencia culinaria desde la comodidad de tu hogar, una sesión interactiva dirigida por un Chef de una reconocida escuela vivencial, descubra con nosotros una nueva forma de experimentar el arte culinario. En esta oportunidad nos acompañara Jacobo Resnikov, Regional Cortex Manager en Palo Alto, quien desarrollará el Webinar : DETECTE Y DETENGA ATAQUES SOFISTICADOS CON CORTEX XDR Seguridad continua basada en IA abierta e integrada. Detección de ataques avanzados gracias a los análisis: descubra amenazas gracias a la IA, los análisis de comportamiento y las reglas de detección personalizadas. El agente de Cortex XDR protege los endpoints del malware, exploits y los ataques sin archivo gracias a la protección basada en el comportamiento y a los análisis locales basados en inteligencia artificial
Presentación realizada en el apartado "Empleo y Talento", donde se expuso el trabajo realizado por un "hacker ético", así como las claves para convertirse en uno y hacer de tu hobby una profesión.
La presentación mostrará a los asistentes diferentes casos de intrusión reales y realizados por el ponente en grandes corporaciones, entidades bancarias y organizaciones industriales durante su labor profesional. En cada caso, se mostraran cuáles fueron las acciones realizadas, los pasos y metodología seguidos así como las consecuencias.
La finalidad de la presentación es demostrar que el hacking también puede ser una profesión, que cada día es más demandada debido a su inminente necesidad. Por otro lado, también buscara concienciar y demostrar a los asistentes lo vulnerables que son las organizaciones y cualquiera de nosotros ante ataques informáticos.
Conozca como entender la propuesta de valor que tenemos junto a Check Point en la nube pública con una perspectiva de ciberseguridad para los procesos de adopción de los servicios de nube.
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
Considerando la amplia gama de herramientas y automatización con la que los criminales cuentan, es claro que la única forma de hacer frente al nivel de sofisticación de los ataques cibernéticos modernos, es contar con inteligencia artificial y automatización que nos pueden ayudar a combatir los ataques que estamos enfrentando al día de hoy.
Por otro lado exploraremos algunas estadísticas del mercado alrededor del manejo de los “Security operations center” o “SOC” y como podemos ayudarlos a hacer más eficientes sus operaciones.
Los ataques de phishing, malware y cryptohacking aumentaron exponencialmente en los últimos 2 años y suelen llegar en forma de simples e-mails fraudulentos o al navegar en sitios de internet utilizando la cuenta de correo de la empresa. Si los usuarios aceptan cualquier tipo de correo o archivo o navegan libremente llegando a sitios sospechosos, se deja una ventana abierta para ser víctima de un ciberataque por lo que más allá de las estrategias que los técnicos puedan llevar a cabo a nivel infraestructura, se debe trabajar con políticas y lineamientos de entrenamiento en ciberseguridad para todos los integrantes de vuestra organización, en lenguaje sencillo y de fácil comprensión, que ayuden a identificar correos sospechosos, intentos de ingeniería social, adjuntos potencialmente infectados e incluso un links inciertos, debiendo poder usar un criterio común para inmediatamente reportar estos casos al departamento de seguridad informática.
Aplicando el Análisis de Comportamiento a la Detección de AmenazasCristian Garcia G.
Un programa de amenazas internas es requerido en toda organización que desea transformar su SOC en un Centro de Ciberdefensa. La diferencia radica en la detección anticipada y respuesta automatizada a todo incidente de seguridad. Sea testigo de como mediante el Análisis del Comportamiento de Usuarios y Entidades es posible enfrentar desafíos modernos; deteniendo amenazas antes de que estas causen daño.
Descripción:
Las vulnerabilidades de seguridad, tales como configuraciones incorrectas, sistemas sin parches, arquitecturas inadecuadas, continúan plagando las organizaciones. Las empresas necesitan personal que encuentre estas fallas de forma profesional, para erradicarlas de la infraestructura tecnológica. Algunas personas pueden tener habilidades en Pruebas de Penetración, Hacking Ético, o Evaluaciones de Seguridad, pero muy pocas pueden aplicar estas habilidades con un régimen metódico de evaluaciones profesionales para ayudar incrementar el nivel de seguridad en las organizaciones. Este curso enseña a los participantes la manera de realizar Pruebas de Penetración a redes de forma satisfactoria para mejorar la postura de seguridad de la empresa.
Objetivos:
Los participantes aprenderán a realizar un reconocimiento detallado, aprenderán sobre infraestructura del objetivo, mediante investigación en blogs, buscadores, y redes sociales. Luego se enfocará la atención en la fase de escaneo, experimentando con algunas herramientas en ejercicios prácticos. La fase de explotación incluye la utilización de Frameworks de explotación, exploits manuales y otras tácticas valiosas, todo realizado con ejercicios prácticos en un entorno de laboratorio controlado. El curso también mostrará como preparar un reporte ejecutivo. Durante el desarrollo del curso se incluyen ejercicios prácticos para realizar una prueba de penetración contra una organización hipotética, siguiendo todos las fases detalladas.
Taller Gratuito Virtual de Introducción al PentestingAlonso Caballero
Pentesting o una Prueba de Penetración puede ser definida como un intento legal y autorizado de ubicar y explotar satisfactoriamente sistemas de cómputo con el propósito de hacerlos más seguros. Este procedimiento incluye probar vulnerabilidades mediante ataques para demostrar que estas vulnerabilidades son reales. Todo este proceso es utilizado para ayudar a asegurar las computadoras y redes contra ataques.
Protección y seguridad mediante análisis continuo del nivel de exposición. Los activos expuestos a internet son los más susceptibles de sufrir todo tipo de ataques,
y por eso están en continua vigilancia por parte de las amenazas de internet.
Certificación Internacional en Ethical Hacking
Modulo 2 Hacking Ético
Días de Clases: Sábado 24 y Domingo 25 de Septiembre del 2022
Horario de clases sabatina 10:00 a 13:00 hrs / 15:00 a 20:00 hrs y dominical de 10:00 a 13:00 hrs
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
Como profesionales en ciberseguridad, se tiene la única responsabilidad de encontrar y entender las vulnerabilidades presentes en la organización, para luego trabajar diligentemente en mitigarlas antes de estas sean aprovechadas por los atacantes maliciosos. Este curso abarca las herramientas, técnicas y metodologías para realizar pruebas de penetración contra redes y sistemas, y así estar en la capacidad de realizar proyectos de pruebas de penetración exitosamente. Todas las organizaciones necesitan personal experimentado en seguridad de la información, quienes puedan encontrar vulnerabilidades y mitigar sus efectos. Con este curso se estará en la capacidad de realizar pruebas de penetración y hacking ético, aplicando los conocimientos, herramientas, y técnicas explicadas detalladamente. Consecuentemente descubrir y explotar vulnerabilidades en entornos reales, demostrando así todos los conocimientos adquiridos.
Este curso enseña a los participantes como realizar un reconocimiento detallado, analizado profundamente la infraestructura a evaluar mediante motores de búsqueda, redes sociales y otras fuentes de información para Internet e Intranet. Luego se escanean las redes utilizando las mejores herramientas disponibles. Se abarcan las mejores opciones, configuraciones y capacidades de las herramientas para realizar pruebas de penetración. Se exponen diversos métodos de explotación para ganar acceso hacia los sistemas vulnerables, y de esta manera medir el riesgo real para la organización. Después se realizan acciones posteriores a la explotación y ataques a contraseñas. Todos los ataques se desarrollan en un laboratorio de pruebas controlado.
Las aplicaciones web modernas tienen un rol muy importante en todas las organizaciones. Pero si la organización no tiene la capacidad de evaluar y asegurar adecuadamente sus aplicaciones web, los ciberatacantes podrían comprometer estas aplicaciones, afectando el funcionamiento normal de la empresa, como también robar datos sensibles. Desafortunadamente muchas organizaciones operan bajo la errónea percepción, de un escáner de seguridad para aplicaciones web es la manera más fiable de descubrir fallas en sus sistemas. Las ciberdefensas modernas requieren una comprensión realista y profunda de los problemas de seguridad relacionadas con la aplicación web. Cualquiera puede aprender a realizar algunos tipos de ataques contra la web, pero una prueba de penetración efectiva contra aplicaciones web requiere un conocimiento más profundo.
Este curso enseña a los participantes a entender las principales fallas encontradas en las aplicaciones web, como también a identificar y explotarlas con el propósito de demostrar el potencial impacto hacia la empresa. Los profesionales en seguridad de la información frecuentemente se esfuerzan en ayudar a las organizaciones a entender su riesgo en términos de la empresa. Ejecutar elaborados e impresionantes ataques tiene poco valor si la organización no toma en serio su riesgo, y despliega las medidas correctivas adecuadas. El propósito de este curso es mejorar la seguridad de las organizaciones a través de una prueba de penetración, y no solo demostrar las habilidades de Hacking. Este curso ayuda a los participantes a demostrar el verdadero impacto de las fallas en las aplicaciones web, no únicamente a través de la explotación, sino también a través de una adecuada documentación y reporte.
"Ethical Hacking" Juan Carlos Velarde , desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
2. Juan Oliva
C|EH, CPTE, OSEH, BNS, dCAA, ECE, LPIC-1, Novell CLA
Proyectos de Ethical Hacking,
Proyectos Análisis de vulnerabilidades
Investigador de vulnerabilidades.
Proyectos de Voz sobre IP enfocados a seguridad
Blog : jroliva.wordpress.com
Instructor
- Certificación Linux Professional Institute LPI-C1
- Curso y taller Ethical Hacking y Voz sobre IP
who I am @jroliva
6. Qué es y como se realiza ??
Ethical Hacking
Es un proyecto donde se realiza un análisis de seguridad solicitada
por una empresa para evaluar la seguridad de sus plataformas.
La evaluación se realiza en un ambiente controlado y bajo la supervisión
de la empresa solicitante.
7. Clasificación de acuerdo al objetivo
Redes remotas , ejecución de ataques desde internet
Redes locales , ataques desde dentro de la empresa
Redes Wifi , ataques a nivel criptográfico sobre redes inalámbricas
Dispositivos Móviles , ataques hacia smartphones
Ingeniería Social, Pruebas donde se comprueba la sensibilidad
de los empleados con respecto a la información de la empresa
8. Clasificación de acuerdo al ámbito
Black-Box
No se cuenta con conocimiento de la infraestructura
White-Box
Con un conocimiento completo de la infraestructura
Gray-Box
Conocimiento intermedio de la infraestructura
11. Usando Metodologías
Las mas reconocidas :
Tabla : Tabla de Puntaje de Vulnerabilidad CVSS
Métricas de Puntuación Básica
Métricas de Explotabilidad
Vector de Acceso Remoto
Complejidad de Ataque Medio
Nivel de Autenticación Requerido Ninguno
Métricas de Impacto
Impacto en la Confidencialidad Completo
Impacto en la Integridad Completo
Impacto en la Disponibilidad Completo
Métricas de Puntuación Temporal
Disponibilidad del Exploit Existe
Tipo de Corrección Disponible Arreglo Manual
Nivel de Verificación de la Existencia
de la Vulnerabilidad
Confirmada
Métricas de Puntuación del Entorno
Potencial de Daño Específico o
Colateral
Medio-Alto
Porcentaje de Sistemas Vulnerables Bajo (0-25%)
Requerimiento de Confidencialidad Alto
Requerimiento de Integridad Alto
Requerimiento de Disponibilidad Alto
Resultados
Puntuación Básica CVSS 9,3
Sub puntuación de Impacto 10
Sub puntuación de Explotabilidad 8,6
Puntuación Temporal CVSS 8,4
Puntuación del Entorno CVSS 2,3
Sub puntuación de Impacto
Modificado
10
Puntuación Promedio CVSS 2,3
Evaluación
del Riesgo
21. Ataques de fuerza bruta – contraseñas por defecto
- Metasploit auxiliares
- Hydra
- medusa
22. Ataques del lado del cliente
- Empire Powershell
- Shellter
- Metasploit
23. Análisis de vulnerabilidades y penetración
- Nessus
- Openvas
- metasploit
- SQLmap
- Zap proxy
- Burp suite
- Nickto
24. Exploit
Se define como una brecha en la seguridad de un sistema de
información a través de una vulnerabilidad.
Un 0 day
Es una vulnerabilidad de una aplicación o programa que no
es conocida o pública y que sí es de conocimiento
solo por los programadores.