4. 4
Ethical Hacking
1 Conceptos Generales
¿Qué es un Hacker?
Es una persona o comunidad de
personas que poseen
conocimientos profundos y
avanzados sobre los sistemas
informáticos, y que según su
orientación, se dedican a delinquir
vulnerando los sistemas o a
mejorar la protección de estos.
6. 6
Etichal Hacking
1 Tipos de Hacker
Black Hat Hackers (Sombrero negro)
¿Qué es un Hacker de sombrero negro?
White Hat Hackers (Sombrero blanco)
¿Qué es un Hacker de sombrero blanco?
7. 7
Etichal Hacking
1 Tipos de Hacker
LENGUAJE DE PROGRAMACIÓN
Black Hat Hackers (Sombrero negro)
Son expertos delincuentes informáticos,
con la experiencia y el conocimiento para
ingresar a las redes informáticas sin el
permiso de los propietarios, explotar las
vulnerabilidades de seguridad y eludir los
protocolos de seguridad, con el propósito
de beneficiarse económicamente.
White Hat Hackers (Sombrero blanco)
Son expertos profesionales informáticos
que son contratados para usar sus
conocimientos y poner a prueba la
seguridad de las redes y sistemas de una
empresa. Tras descubrir las
vulnerabilidades, elaboran un informe que
permita mejorar la seguridad del sistema.
8. 8
Etichal Hacking
1 Tipos de Hacker
Gray Hat Hackers (Sombrero gris) Red Hat Hackers (Sombrero rojo)
¿Qué es un Hacker de sombrero gris? ¿Qué es un Hacker de sombrero rojo?
9. 9
Etichal Hacking
1 Tipos de Hacker
Gray Hat Hackers (Sombrero gris) Red Hat Hackers (Sombrero rojo)
Son expertos informaticos en proceso de
popularidad y reconocimiento. Sin
permiso, acceden a la información de
servidores de negocios, empresas y
gobiernos, comúnmente sin tomar ventaja,
ni ganar dinero, pero lo hacen público.
Son expertos informáticos que, rastrean
Hackers de sombrero negro, y cuando los
encuentran, despliegan todo su arsenal
de ataque contra el sistema del Hacker de
sombrero negro. Son conocidos también
como los Robin Hood de la seguridad.
10. 10
Etichal Hacking
1 Tipos de Hacker
Blue Hat Hackers (Sombrero azul) Green Hat Hackers (Sombrero verde)
¿Qué es un Hacker de sombrero azul? ¿Qué es un Hacker de sombrero verde?
11. 11
Etichal Hacking
1 Tipos de Hacker
Green Hat Hackers (Sombrero verde) Blue Hat Hackers (Sombrero azul)
Son personas que se encuentran en
formación para convertirse en Hackers, se
instruyen y obtienen certificados, así
como cursos de desarrollo de habilidades
para aprender a piratear sistemas
informáticos.
Por un lado, son expertos informáticos
que vulneran los sistemas para vengarse
de personas, empleadores, instituciones o
gobiernos. Y, por otro lado, son expertos
que son invitados por empresas para
probar sistemas que se acaban de crear.
13. 13
Etichal Hacking
1 Tipos de Hacker
Crackers
Es el sinónimo de un hacker de sombrero negro. Vulneran sistemas con el propósito de
beneficiarse económicamente, para ello realizan desde envíos de correos o mensajes
MSM phishing, infección de sistemas con algún tipo de malware, y organizar ataques
informáticos a las empresas como los DDoS.
15. 15
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Malware
¿Qué es un malware, qué tipos existen y
cómo se infecta un sistema?
16. 16
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Malware
Es un tipo de ataque realizado a través de un programa que se infiltra en un
ordenador, con el objetivo de permitir acceso remoto al perpetrador, y por
consiguiente, el acceso a al sistema y a los datos confidenciales.
Los malwares mas comunes son los ransonware, spyware, adware, worm, trojan, etc.
Las infecciones se producen cuando se realiza sin saberlo una
acción que provoca la descarga del malware. Esta acción podría
ser un clic en el vínculo de un correo electrónico, la visita a un
sitio web inseguro, o la descarga de algún programa gratuito.
17. 17
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Inyección de SQL
¿Qué es inyección de SQL y cómo se
produce comúnmente la infiltración?
18. 18
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Inyección de SQL
Es otro tipo de ataque que se aprovecha de los errores existentes en aplicaciones
web, y permiten acceder a las bases de datos de SQL. Durante la perpetración,
se incrusta un código propio malicioso para quebrantar las medidas de seguridad y
privacidad. De esta manera, se accede a datos protegidos o de carácter sensible.
La infiltración de código intruso se produce por vulnerabilidad
informática presente en una aplicación web, en el nivel de validación
de las entradas para realizar operaciones sobre una base de datos.
El origen de la vulnerabilidad radica en la incorrecta comprobación o
filtrado de las variables utilizadas en un programa que contiene, o
bien genera, código SQL.
20. 20
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Phishing
Es un tipo de ataque que forma parte de la técnica denominada ingeniería social, que
emplean los ciberdelincuantes para engañar a las personas, de tal modo que, sin
darse cuenta comparten su información confidencial como contraseñas y números de
tarjetas de crédito.
El ataque se produce vía correo electrónico, un mensaje MSM o una
llamada telefónica. A través de estos medios, imitan o suplantan a una
persona, empresa u organización de confianza. Cuando la víctima lee el
correo o el mensaje, encuentra un mensaje pensado para asustarlo, y
debilitar su buen juicio. El mensaje siempre exige que la víctima vaya a
un sitio web y actúe de inmediato o tendrá consecuencias por aforntar.
22. 22
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Doxing
Es un tipo de ataque asociado al malware ransonware, que consiste en secuestrar
información privada de las persanas y publicarlas en Internet, si la víctima no paga por
el rescate de su información.
El ataque se produce tras realizar un meticuloso rastreo y
recabamiento de información de la víctima. Aunque mucha gente
cree que Internet es anónimo, existen varias formas de identificar a
alguien en línea, a través de spywares, ingeniería social, redes
sociales.
24. 24
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: DDoS
Es un tipo de ataque denominado denegación de servicio distribuido, que impide a un
sistema informático operar normalmente, bloquearlo o colapsarlo. Esto se logra al
sobrecargar las redes y servidores con mucho tráfico.
El ataque se produce, emplando miles de botnets (equipos
infectados con un tipo de malware cuyos usuarios no saben
que están formando parte del ataque). El atacante que tiene
acceso remoto a estos botnets, ordena realizar un ataque
sincronizado de inundación de paquetes sobre el servidor víctima.
26. 26
Etichal Hacking
2 Escenarios de Ataque
Tipos de ataque: Cryptojacking
Es un tipo de malware que
secuestra una PC o
dispositivo móvil y utiliza,
sin que el dueño lo note, los
recursos de esta para
extraer diversas formas de
monedas digitales.
28. 28
Ethical Hacking
3 Seguridad
Hacking ético
Es el proceso de prueba de invasión de
sistemas informáticos, realizado por un
Hacker debidamente autorizado, con el fin
de analizar, evaluar, fortalecer y mejorar la
seguridad de los sistemas informáticos.
Los hackers que se dedican a esta labor poseen conocimientos profundos sobre los
sistemas operativos, las redes, la programación, criptografía, bases de datos,
exploits, y se apoyan en variadas herramientas de hackeo.
30. 30
Ethical Hacking
4
NMAP es empleada en el descubrimiento de redes y auditoría de seguridad, es
decir, rastrea puertos para descubrir servidores en una red informática y
evaluar la seguridad de estos sistemas.
Esta herramienta determina qué puertos de red están abiertos (puertos de
acceso a los servidores), qué servicios se están ofreciendo a través de estos
puertos, cuáles son las versiones de los servicios, que sistemas operativos los
ejecutan, entre otras funciones.
Herramientas de Ethical Hacking: NMAP
31. 31
Ethical Hacking
4
Es una herramienta empleada para el análisis del tráfico de una red.
Permite analizar exhaustivamente la transferencia de paquetes de la red con sus
más de 2000 posibles protocolos; al tener acceso al contenido de los paquetes
de red, se puede evidenciar la intrución e intentos de piratería de algún
atacante.
Herramientas de Ethical Hacking: Wireshark
32. 32
Ethical Hacking
4
Es una herramienta que rastrea personas y ejecuta ataques de ingeniería social
en tiempo real. La herramienta permite rastrer la actividad de la víctima en
internet, y sin que esta se dé cuenta, acceder a su información confidencial, e
inclusive descargar malware sobre el sistema de la víctima; a partir de la
clonación de páginas web.
Trape se desarrolló inicialmente para mostrar como las grandes compañías de
internet pueden obtener información confidencial, recopilando registros de
actividad sin autorización del usuario.
Herramientas de Ethical Hacking: Trape
33. 33
Ethical Hacking
4
Es una herramienta que se empleada para detectar y explotar las fallas de las
páginas y aplicaciones web que permiten la inyección de código SQL.
Esta herramienta evalua la página web objetivo y genera un reporte indicando si
la página es vulnerable o no. De ser vulnerable y profundizar con la evaluación,
se obtiene el nombre de las bases de datos SQL vulnerables, las tablas que
estructuran la base de datos, así como las comunas, y finalmente, el acceso a los
datos de todos los campos, incluidos usuarios y contraseñas.
Herramientas de Ethical Hacking: SQLmap