No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Invierte en tu educación con el precio especial

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

11 Días
19 Hrs
18 Min
39 Seg

Pentesting

10/15
Recursos

Las pruebas de seguridad o pentesting se refieren a ejecutar ataques informáticos a una plataforma o aplicación, con el fin de encontrar vulnerabilidades en el sistema.

Caso de Pentesting

En el 2020, un grupo criminal Ruso, logró infiltrarse en los sistemas del gobierno de E.E.U.U. Esto fue posible gracias a la increíble preparación antes del ataque. Ya que desde 2019 tuvieron su primer contacto con solarwinds.

Solarwinds = es una empresa de E.E.U.U. La cual ayuda a otras empresas u organismos de gobierno, a administrar sus redes, sistemas e infraestructura de tecnología de la información.

Posteriormente, inyectaron código, para realizar unas pruebas, que consolidara su posición dentro de la empresa solarwinds.

Inyectar código = es cuando una persona introduce nuevas instrucciones a una plataforma o aplicación, por medio de un hueco de seguridad.

Luego de hacer las respectivas pruebas, decidieron instalar una backdoor o puerta trasera, en el sistema de solarwinds.

Backdoor = es una conexión oculta dentro del sistema, que permite entrar y salir datos. Estas son utilizadas usualmente para modificar el código de una plataforma o app sin necesidad de una actualización.

Fue hasta marzo del 2020, cuando se empezó a distribuir la nueva versión del software, con el código malicioso dentro. Lo que les ayudaría a pasar inadvertidos por todos los clientes de solarwinds.

Una vez distribuido el código malicioso, detectaron a su objetivo, porque no iban a atacar a todo el mundo. Sacaron la información que querían y dejaron fuera el software malicioso que habían inyectado.

No fue hasta diciembre del 2020, cuando se encontraron rastros del software malicioso, que la compañía solarwinds se dio cuenta de que habían sido hackeados. El resto de meses los hackers hicieron realidad sus planes.

Vectores de ataque

Sacando la parte positiva de toda está situación, vamos a aprender, algunos de los elementos más utilizados para los ataques cibernéticos. Entonces echemos un vistazo a los vectores de ataque que son el medio por el cual se realizan ataques.

  • Inyección de código
  • Pérdida de autenticación (Una persona es capaz de pasar los controles de autenticación, como la contraseña y usuario de una aplicación
  • Pérdida de controles de acceso (Es cuando una persona es capaz de hacer que un software haga cosas para las que no fue destinado)
  • Uso de componentes con vulnerabilidades conocidas (Utilizas las vulnerabilidades de un software que ya fueron publicadas)
  • Registros y monitoreos insuficientes (supervisar todas las acciones que pasan en el sistema, pero sin la debida frecuencia)
  • Deserialización insegura (Exploits que se inyectan a las aplicaciones)

Importancia delPentesting

El pentesting es muy útil para que las compañías se puedan proteger de forma proactiva ante las distintas vulnerabilidades que tienen, pero que aún no conocen. Incluso tú podrías llevar a cabo algunas pruebas de seguridad, con el objetivo de proteger algún sistema, eso sí, con el debido permiso de la aplicación o plataforma a la que le harás pentesting, ya que si no tienes permiso, es ilegal.


Revisado todo lo anterior, llegamos al punto para decir que las pruebas de seguridad son una de las herramientas de la ciberseguridad para proteger los sistemas encontrando vulnerabilidades. Teniendo claro que como toda herramienta se puede emplear para el bien o el mal.

Contribución creada con los aportes de: Danilo H

Aportes 85

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

🐱‍👤 Pentesting o pruebas de seguridad son pruebas de penetración para evaluar la seguridad de los sistemas. Consisten en realizar ataques informáticos a aplicaciones con el objetivo de encontrar vulnerabilidades existentes.
Para qué .-

  • Reducir el gasto de seguridad de TI y mejorar el ROSI (Retorno de Inversión en Seguridad).

  • Enfocarse en vulnerabilidades de alta severidad y aumentar la consciencia de seguridad.

  • Adoptar las mejores prácticas.

Qué se va a evaluar. .-

  • Seguridad en la Red (interna, externa, inalámbrica)

  • Aplicaciones.- ver los diferentes módulos de una ap. Ej. Si usan xml o Json, evaluar que envían la info de forma cifrada.

  • Seguridad Física .- Si tienen, por ejemplo Data Center. Preguntarse cómo está el acceso a dicho Data Center.

  • Ingeniería Social.- la manera de engañar a las personas para sacarles información Tomar en cuenta aspecto como ¿Se destruye bien la información que desechamos? Cualquier persona revisando la basura podría tomar datos importantes para la empresa.

Tipos de Pruebas

  • Caja Negra.- Simula un ataque como en el mundo real.

  • Caja Blanca.- Aquí el persona de la empresa nos dará acceso a toda la información, la infraestructura, qué implementaciones de seguridad tiene, qué políticas utiliza. Se dividen en pruebas anunciadas y pruebas no anunciadas.

  • Grey-Box.- Combinación de las anteriores.

🛑 Fases del Pentesting

  • Pre Ataque.- se realiza una planeación, se definen los objetivos. se prepara el ataque con un papel llamado Reglas de Compromiso.

  • Ataque.- Recolección de información a través de fuentes pasivas o activos. Escaneo de vulnerabilidad.

  • Post Ataque.- Reporte técnico para el equipo de TI y no técnico para el equipo de toma de decisiones.

Método P.I.C.O
Recomendaciones para detectar y no caer en ciberestafas.

Pretexto: nos van a contactar con una oferta, premio, subsidio, etcétera.

Impostor: en nombre de una empresa u organismo reconocido.

Contexto: se provechan de una situación específica.

Oportunidad: ofrecen una oportunidad única e increíble para acceder en un tiempo muy corto.

Una vez vi una frase en un curso de Cloud Computing que dice.Hay dos clases de empresas las que fueron hackeadas y las que volverán a ser hackeadas

Desbordamiento del búfer: Al cambiar datos excediendo los límites del búfer, la aplicación accede a memoria asignada para otros procesos, lo que puede ocasionar bloqueo del sistema y escalamiento del privilegios.

Este curso tiene demasiado potencial, pero esta mal planteado. No se puede esperar a que los estudiantes aprendan de un tema tan abstracto con solo escuchar a alguien hablar. Necesita ser mas interactivo y mas puntual.

En la clase se mencionan inyecciones de javascript
En realidad el término “correcto” es XSS (Cross Site Scripting) Por si desean investigar más al respecto y es tal cual ejecutar javascript en los campos que no tengan validación suficiente
Existen 2 tipos persistentes y no-persistentes
Un dato curioso es que las siglas inicialmente serían CSS sin embargo se cambiaron para que no fuera confundido con las hojas de estilo

Pentesting: Consisten en realizar ataques informáticos a aplicaciones con objetivo de encontrar vulnerabilidades existentes.

Si deseas obtener una Certificación en esta área de Pentesting, OSCP es lo tuyo.

Keyloggers: es aquel software infeccioso destinado al robo de información pulsada. En otras palabras, registra, todas las escrituras del usuario por medio de pulsaciones del teclado.
Ingeniería social: nombre que se le otorga a la habilidad de robar información, aprovechándose de las debilidades del usuario, persuadiéndolo por medio de mensajes directos, y se clasifican de la siguiente manera:
**Phishing: **el atacante obtiene información confidencial, por medio de la suplantación de identidad, o representaciones supuesta, de organismos o páginas en Internet.
Fuente: interntetpasoapaso

Vectores de ataque en ciberseguridad:

  • Ataques activos
    • **Spoofing: **Se refiere al uso de técnicas para la suplantación de identidad.

    • Modificación: Consiste en modificar la tabla de enrutamiento del router con el fin de que el remitente envíe su mensaje por un camino mas largo provocando gran retraso.

    • DDoS: El Ataque de Denegación de Servicios (DDoS) consiste en mantener la red ocupada consumiendo el ancho de banda con mensajes constantes que alteran la normalidad de la prestación de servicio.
      -Fabricación: Se genera un mensaje de enrutamiento falso para evitar que la información llegue a destino.

-Ataques Pasivos
-Sniffing o Análisis de tráfico: Un atacante intenta detectar la ruta de comunicación entre remitente y el receptor. El atacante puede encontrar la cantidad de datos que se desplazan entre la ruta del remitente y del receptor. No hay modificación en los datos.
-Escuchas furtivas: Se produce en la red móvil ad-hoc. El objetivo principal de este ataque es averiguar información secreta o confidencial de la comunicación.
-Supervisión: Ataque donde se pueden leer datos confidenciales, pero no se pueden editar los mismos.

  • Correos electrónicos de phishing: los correos electrónicos de phishing son uno de los tipos más comunes de ciberataques. Pueden ser especialmente difíciles de mitigar porque, si bien el personal de TI puede ser experto en verificar el contenido de un correo electrónico, es posible que los miembros de la empresa no lo sean.

Los correos electrónicos de phishing intentan engañar al destinatario para que proporcione información restringida, a menudo presentándole un enlace a un sitio web malicioso.

  • Estrategia de mitigación: la organización de TI debe fomentar la denuncia de correos electrónicos de phishing y bloquear a los remitentes conocidos de correo malicioso a través de un filtro de correo electrónico centralizado para evitar que los usuarios sean bombardeados con correos electrónicos de phishing.

El Pentesting es como tocar un instrumento. Todos quieren aprenderlo solo para tocar su canción favorita pero nadie quiere meterse de lleno en las partituras, las notas, el solfeo, la escritura, etc.

Gente, así como todo en la vida, el pentesting tiene su camino por si mismo, no solo es copiapegar comandos y esperar a que hagan lo que quieres y lo que buscar como todo un scriptkiddie, el pentesting requiere de mucho conocimiento y práctica técnica, en un año estudiándolo puedo decir que me falta demasiado, muchísimo más que aprender. En el pentesting hay demasiado troubleshooting y demasiada información que aprender para estar al nivel profesional, con solo decir que, cada año hay demasiadas CVE’s nuevas que se registran y se deben practicar para no quedarse atrás y cada una trata de cosas que incluso nadie jamás había visto y se necesita cierto conocimiento previo de la tecnología afectada o su funcionamiento para poderla comprender. Hay demasiado conocimiento previo que aprender como en todo. Pero no hay por que temer. Nadie tiene prisa! 😃

Un vector de ataque hace referencia a un agujero o falla presente en la red, equipos y/o seguridad establecida, que permiten el acceso a ciberdelincuentes informáticos, para transmitir códigos maliciosos.

Correo Electrónico
Es el principal vector de ataque debido a que es un medio empleado por organizaciones de todos los tamaños, desde pequeñas hasta grandes empresas.

Endpoint
Nos referimos a estaciones de trabajo que pueden ser empleados para infectar los sistemas de la organización mediante una memoria USB o un disco duro extraíble, mediante este medio un atacante puede dañar con código malicioso un computador de trabajo o infectar una red LAN.

Hola a todos, les comparto un enlace sobre los 10 vectores de ataque más utilizados por los ciberdelincuentes. Este listado proviene del Instituto Nacional de Ciberseguridad (INCIBE) en España. A continuación, menciono los vectores y en el link podrán encontrar un poco más de información:

  1. Correo electrónico y mensajería instantánea
  2. Navegación web
  3. Endpoints
  4. Aplicaciones web, portales corporativos, intranets y redes sociales
  5. Software de redes y sistemas mal configurado, desactualizado o no parchado
  6. Credenciales de usuario comprometidas
  7. Credenciales y contraseñas predecibles por defecto
  8. Insiders
  9. Carencias del cifrado
  10. Debilidades en la cadena de suministro

Link: https://www.incibe.es/protege-tu-empresa/blog/los-10-vectores-ataque-mas-utilizados-los-ciberdelincuentes

NOTA: Es interesante ver como muchos de los vectores de ataque dependen directamente de la utilización que den los usuarios de la tacnología, de la cultura de seguridad que tengan y como son las personas, el eslabón más débil de la cadena.

Los 3 vectores de ataque más comunes que explotan documentos de Office

Vector de ataque 1: Documentos con macros
El primer vector son documentos, por lo general de Word, que contienen código Visual Basic for Application (VBA) conocido como macros. La propiedad de leer ese código viene desactivada por defecto, lo que quiere decir que, para que un usuario se infecte, hace falta su aprobación.
En algunos casos es posible extraer el código malicioso del archivo, pero en otros no, ya que suelen estar protegidos por una contraseña creada por el atacante.

Vector de ataque 2: Documentos con OLE
El segundo vector involucra a documentos maliciosos con Object Linking and Embedding (OLE). Este método permite incrustar y vincular archivos, como, por ejemplo, scripts o ejecutables.
Al igual que con las macros, la víctima no se infectará con solo abrir el archivo, sino que se deberá hacer doble clic sobre el objeto, que se encuentra dentro del documento, para que se efectúe la infección.
Los cibercriminales usan esta técnica aprovechando que Microsoft Office da la posibilidad de cambiar visualmente el icono o imagen del contenido malicioso por alguna otra que pueda generar más confianza, para así lograr que la víctima abra el contenido.

Vector de ataque 3: Documentos que explotan vulnerabilidades
El último vector que describiremos, aunque no por eso es el menos importante, tiene que ver con aquellos documentos maliciosos que explotan algún tipo de vulnerabilidad en las aplicaciones de Microsoft Office (Word, Excel, Power Point, etc.).
A diferencia de los métodos anteriormente descriptos, aquí el código malicioso se ejecutará inmediatamente al momento de abrir el documento, sin ningún tipo de aprobación previa, mensaje o advertencia.

Te encontraste una memoria y rápidamente vas a conectarla a tu PC para saber qué contiene??? …

Considero que existen multiples vectores de ataque pero creo que los mas importantes son :

  1. Desconocimiento sobre el tema: Creo de vital importancia que las empresas estatales como privadas deberian de dejar en su presupuesto anual que les brinda el estado o fondos de ellos, conversatorios o charlas acerca de ciberseguridad, esto con el fin de ir introudciendo a todo el personal dentro de este tema.
  2. Informacion Personal: Considero que la informacion personal es otro vector de ataque, de ahi se puede extraer informacion fidedigna y de vital importancia acerca de lo que se quiere como lo quiere, Por eso los bancos son vectores de ataque a nivel empresarial porque cuentan con informacion muy importante.
  3. Metodo de autenticacion: El robo de credenciales es para mi otro vector de suma importancia.

Por eso dicen que xisten 2 tipos de empresas, las que fueron hackeadas y las que volverna a ser hackeadas.

Si te interesa el pentesting y no sabes por donde comenzar deberías pasarte por el canal de twich de @s4vitar en un solo en vivo aprendes un mogollon ya que es pura practica.

Resumen en Notion
https://n9.cl/f9zxt

Uso de componentes con vulnerabilidades conocidas


Es cuando una persona o empresa usa software con vulnerabilidades ya conocidas y que no ha sido actualizado, por lo tanto sufre el riesgo de que los criminales usen esas vulnerabilidades para atacar efectivamente.

De ahi la importancia de actualizar el software!

By SsimorPro

yo que me creia hacker cuando en hotmail se veia la clave en la url cuando accedias jajajaja

vectores de ataque

inyección de código: insertar código malicioso dentro de código normal
perdida de autentificación: saltar usuario y contraseño
perdida de controles de acceso : un usuario puede escalar privilegios
uso de componentes con vulnerabilidades conocidas:
registro de monitoreos insuficiente: si no se registra, lo que se hace en la red, y no se monitorea hace un hueco de seguridad
deserialización insegura: inyectar exploit en aplicaciones
backdoor o puesta trasera: un punto de acceso, que permanece oculto para los demás

  • DDoS: ataque de degeneración de servicios sobrecargando el trafico de los servidores

hacer una copia de una pagina por ejemplo facebook con el fin de que cuando alguien introdusca su usuario y contraseña sean enviadas a un atacante.
La url es algo que no se puede copiar y tu pagina falsa tendra una url diferente a facebook[.]com pero ya esposible suplantar la url en una ventana pop up

Oh si leí acerca del caso!. Fué una intrusión sorprendente!

El objetivo de un pentester es proteger y mejorar la postura de seguridad de las aplicaciones o sistemas.

Las pruebas de seguridad o pentenst consisten en realizar ataques informaticos a aplicaciones con el objetivo de encontrar vulnerabilidades existentes.

El pentesting, o pruebas de penetración, es una metodología de evaluación de seguridad que consiste en simular ataques cibernéticos contra sistemas informáticos, redes o aplicaciones web con el fin de identificar vulnerabilidades y puntos débiles que podrían ser explotados por hackers reales. Los pentesters utilizan técnicas y herramientas avanzadas para poner a prueba la resistencia de los sistemas frente a diferentes tipos de ataques, como intrusiones, explotaciones de vulnerabilidades y robo de datos. El objetivo principal del pentesting es ayudar a las organizaciones a mejorar su postura de seguridad y proteger sus activos digitales contra posibles amenazas cibernéticas.

Las pruebas son de suma importancia ya que hay aprendemos la forma como se hacen los ataques y la solución a ellos.
**Software de redes y sistemas mal configurado**, desactualizado o no parcheado, es decir, no se han seguido procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los ataques de DoS o Denegación de servicios.
**Vectores de ataque** Vector de ataque es el método que utiliza un atacante al intentar obtener acceso ilegítimo a un sistema de TI y acceder a información confidencial, normalmente aprovechando una vulnerabilidad en una red, un sistema o una aplicación. Los vectores de ataque más comunes incluyen archivos adjuntos de correo electrónico, malware, troyanos o virus, ataques de ingeniería social, phishing, ataques de fuerza bruta. Diagrama que muestra los tipos comunes de vectores de ataque **Diagrama que muestra los tipos comunes de vectores de ataque** · La mayoría de los vectores de ataque de denegación de servicio siguen la misma premisa básica. Utilizan un recurso o equipo de Internet y transfieren paquetes en un esfuerzo por degradar el rendimiento. · Los ataques de DDoS volumétrico saturan las redes con enormes cantidades de tráfico al saturar el ancho de banda del recurso objetivo o al dificultar la capacidad de un dispositivo de red para procesar paquetes**.** · Los ataques DDoS de sistema de nombres de dominio (DNS) son un tipo común de vector de ataque que cruza la línea entre los ataques DDoS volumétricos y los de aplicación. · Los ataques a la capa de aplicación aprovechan ciertas vulnerabilidades dentro de una aplicación específica, intentando saturar ciertas funciones para hacer que la aplicación no responda o no esté disponible para los usuarios legítimos. **Prolexic** Con Prolexic, el tráfico de red se dirige a uno de los 20 centros de barridos globales de alta capacidad donde el centro de control de operaciones de seguridad (SOCC) de Akamai implementa controles de mitigación proactivos o personalizados para detener los ciberataques al instante. **App & API Protector** La facilidad de uso de App & API Protector ofrece una de las automatizaciones de seguridad más avanzadas disponibles en la actualidad. Proteger sitios web, aplicaciones y API de una amplia gama de vectores de ciberataque**:** · Maximizar la inversión en seguridad con una solución que incluye protecciones de API, visibilidad y mitigación de bots, protección contra DDoS, conectores SIEM, optimización web, aceleración de API, cloud computing, etc. · Simplificar el mantenimiento mediante actualizaciones automatizadas y capacidades de ajuste automático diseñadas para reducir la fricción operativa y la sobrecarga administrativa. · Minimizar la superficie de ataque de API descubriendo y protegiendo automáticamente sus API frente a vulnerabilidades, incluidas las 10 principales vulnerabilidades de seguridad de las API según OWASP. · Garantizar una disponibilidad DNS permanente mediante la plataforma escalable y distribuida globalmente de Akamai. · Conseguir una resolución de DNS más rápida y fiable con asignación de vértice de zona y miles de servidores en todo el mundo. Fuente: <https://www.akamai.com/es/glossary/what-is-attack-vector>

Gracias

### **¿Cuáles son los vectores de ataque más frecuentes?** Teniendo en cuenta que los [vectores de ataque](https://attack.mitre.org/matrices/enterprise/ "Mitre - Attack - Enterprise") están sujetos a cambios con los avances tecnológicos y que los ciberdelincuentes podrían utilizar varios en cada ataque, en la actualidad estos son los más frecuentes: 1. **Correo electrónico y mensajería instantánea,** por ejemplo los correos y SMS de [*phishing*](https://www.incibe.es/empresas/tematicas/phishing "Incibe - TemáTICas - Phishing")** que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de paquetería, la Agencia Tributaria, nuestros proveedores y clientes, o nuestro soporte técnico, para engañarle con diversos señuelos, a seguir enlaces a páginas web falsas donde le pedirán introducir sus credenciales o [descargar adjuntos maliciosos](https://www.incibe.es/empresas/blog/riesgos-abrir-los-archivos-adjuntos-origen-desconocido-el-correo-electronico "Incibe - Blog - Riesgos al descargar adjuntos de origen desconocido en correos electrónicos") que instalan [***malware***](https://www.incibe.es/empresas/tematicas/malware "Incibe -Temáticas - Malware"). Es muy frecuente que se trate de [***ransomware***](https://www.incibe.es/empresas/tematicas/ransomware "Incibe - Temáticas - Ransomware"), es decir, el *malware* que bloquea los datos a cambio de un rescate. En otros casos, el *malware* convierte a nuestros dispositivos en [zombis](https://www.incibe.es/empresas/blog/botnet-y-saber-si-tu-empresa-forma-parte-ella "Incibe - Blog - Qué es una botnet y cómo saber si tu empresa forma parte de ella") a su servicio para lanzar ataques a terceros o para otros fines poco éticos. 2. **Navegación web**, bien por falta de actualización de los navegadores o por instalación de *plugins* maliciosos, bien por visitar páginas fraudulentas. Ante navegadores no actualizados, los ciberdelincuentes podrían explotar vulnerabilidades con técnicas como: * *drive-by download*, que permite la descarga de *malware* sólo con visitar una página maliciosa o ver un correo html; * *browser in the browser*, que simula una ventana emergente de autenticación, donde nos pedirán las credenciales. Fuente: <https://www.incibe.es/empresas/blog/los-10-vectores-ataque-mas-utilizados-los-ciberdelincuentes>

El objetivo principal de un pentest es identificar las posibles brechas en la seguridad de un sistema para que puedan ser corregidas antes de que sean explotadas por cibercriminales. Los pentesters pueden examinar si un sistema es lo suficientemente robusto como para resistir ataques desde posiciones autenticadas y no autenticadas, así como desde una variedad de roles del sistema
https://www.hiberus.com/crecemos-contigo/pentesting-owasp-fases-metodologia/

Ataque de contraseña: Intento de acceder a dispositivos, sistemas, redes o datos protegidos con una contraseña.

Ataque a la cadena de suministro: Ataque que se dirige a sistemas y aplicaciones de empresas desarrolladoras y proveedoras de hardware y/o software para localizar una vulnerabilidad en la que se pueda implementar malware.

Ataque criptográfico: Ataque que afecta las formas seguras de comunicación protegidas por un sistema criptográfico.

Ataque de “agujero de agua”: Tipo de ataque en el que un agente de amenaza compromete a un sitio web visitado con frecuencia por un grupo específico de usuarios/as.

Ataque de suplantación de identidad en redes sociales (Phishing en redes sociales): Tipo de ataque en el que el agente de amenaza contacta a la víctima en alguna red social, con el fin de robar información personal o tomar el control de la cuenta.

Ataque físico: Incidente de seguridad que afecta a los entornos digitales y físicos en donde se implementa.

Riesgos de seguridad según OWASP: Inyección Autenticación rota Exposición de datos confidenciales Entidades XML externas (XXE) Pérdida de control de acceso Mala configuración de la seguridad Scripting entre sitios Deserialización no segura Uso de componentes con vulnerabilidades conocidas Registro y supervisión insuficientes

Tipos de pentesting (pruebas de penetración)

Pentest de "caja blanca" (o white box): en esta prueba de penetración, se proporcionará al Pentester información sobre la estructura de seguridad implementada de la organización. Además, este método se puede implementar junto con el equipo de TI de la organización y el equipo de pruebas de penetración.
Pentest de "caja negra" (o "black box"): en este caso, las acciones de un atacante real son simuladas, ya que no proporcionan ninguna información relevante a un especialista o equipo, excepto el nombre y los datos básicos para una idea general del trabajo de la empresa.
Pentest de “caja gris” (o " gray box "): en esta situación, solo una pequeña parte de los empleados de la organización (1 - 2 personas), incluidos los profesionales de TI y seguridad que responderán a los ataques no tienen información sobre el escaneo existente. Para este tipo de prueba, es muy importante que el pentester o el equipo tengan el documento apropiado para evitar problemas con las agencias de aplicación de la ley, si el servicio de seguridad responde adecuadamente.
Pentest externo: un ataque de un hacker "ético" que se lleva a cabo contra servidores o dispositivos externos de la organización, como su sitio web y servidores de red. El objetivo es determinar si un atacante puede penetrar el sistema de forma remota y hasta dónde puede hacerlo.
Pentest interno: un usuario autorizado con derechos de acceso estándar realiza una imitación de un ataque, lo que le permite determinar qué daño puede causar un empleado que tiene algunas cuentas personales con respecto a la administración

El vector de ataque mas común es el correo electrónico.

Ataques de pishing: mediante ingeniería social busca robar credenciales y datos importantes

Un hacker ético o un hacker de sombrero blanco.

Creo que lo más común de inyección de codigo es inyección SQL

🧿¿Qué es la serialización y la deserialización?🧿
La serialización es un proceso en el que se traducen estructuras de datos (o estados de objetos) a un formato que puede almacenarse y reconstruirse con posterioridad.
La deserialización, por otro lado, es lo opuesto a la serialización, es transformar los datos serializados provenientes de un archivo, secuencia o socket de red en un objeto, y es en este último proceso donde reside la vulnerabilidad.
Aunque muchos lenguajes de programación permiten personalizar los procesos de deserialización, con frecuencia los atacantes logran abusar de estas características cuando la aplicación deserializa datos controlados por el atacante.
🧿¿Cuáles son los riesgos de Insecure Deserialization?🧿
La deserialización insegura permite a un atacante manipular objetos serializados para pasar datos dañinos al código de la aplicación, e incluso, reemplazar un objeto serializado por un objeto de una clase distinta.
Es decir, los objetos que estén disponibles para el sitio web serán deserializados e instanciados, independientemente de la clase que se esperaba. De hecho, es por ello que esta vulnerabilidad también se conoce como inyección de objetos.

Recuerda, que El pentesting es una acción constituida por un conjunto de “test de penetración”, o penetration tests, que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades. Están diseñados para clasificar y determinar el alcance y la repercusión de dichos fallos de seguridad.

Ya he visto que los vectores de ataque se pueden categorizar en activos y pasivos, los pasivos tienen como objetivo acceder al sistema sin afectar a los recursos del mismo y los activos son ataques mucho más agresivos y alteran los recursos del mismo.
No sabía que se llamaban “ataques de fuerza bruta” los habituales ataques donde te hackean tu usuario y contraseña. Es uno de los vectores de ataque más habituales especialmente desde la pandemia en que con el teletrabajo todo el mundo llevó la oficina a su casa rebajando las medidas de seguridad al estar en un entorno doméstico con menores garantías de ciberseguridad.

Un correlacionador de eventos (SIEM) es usado por un SOC para evitar que se realicen acciones sin control

Realizar ataques informáticos como hacker eticos, para mi sospechoso el mismo gobierno y empresa

Donde está el FBI? Y dicen que eran rusos? Y esto antes de pandemia? Sospecho que esto fue planeado por el mismo gobierno americano para lo que hoy día sabe.os con eso de Ucrania etc.

😃

las pruebas de seguridad consiste en hacer ataque informáticos para encontrar vulnerabilidades

me parece la historia parecida, en mi caso la puerta trasera creada en el navegador firefox y desde ahi poco a poco iban instalando herramientas para cambiar el kernel, de momento lo que hago es que cuando detecto una actividad fuera de lo normal cambio de kernel. lo ideal es impedir el keyloger aue es la llave al resto del procedimienro de inyeccion de codigo. de momento estoy atacando la sicologia del atacante al robar trozos de informacion y tener que adecuar de nuevo el kernel.
el atacante se desespero y bloqueo la opcion de descargar archivos desde firefox, pero pues esa unica funcion la hago con chrome

otros vectores de ataque:

  • Correo electrónico y mensajería instantánea, por ejemplo los correos y SMS de phishing que suplantan a organizaciones conocidas por el receptor, como bancos, empresas de paquetería, la Agencia Tributaria, nuestros proveedores y clientes, o nuestro soporte técnico, para engañarle con diversos señuelos, a seguir enlaces a páginas web falsas donde le pedirán introducir sus credenciales o descargar adjuntos maliciosos que instalan malware. Es muy frecuente que se trate de ransomware, es decir, el malware que bloquea los datos a cambio de un rescate. En otros casos, el malware convierte a nuestros dispositivos en zombis a su servicio para lanzar ataques a terceros o para otros fines poco éticos.
  • Navegación web, bien por falta de actualización de los navegadores o por instalación de plugins maliciosos, bien por visitar páginas fraudulentas. Ante navegadores no actualizados, los ciberdelincuentes podrían explotar vulnerabilidades con técnicas como:
  • drive-by download, que permite la descarga de malware sólo con visitar una página maliciosa o ver un correo html;
  • browser in the browser, que simula una ventana emergente de autenticación, donde nos pedirán las credenciales.
    También puede que el usuario llegue en sus búsquedas, o por otros medios, a seguir enlaces que descargan malware o llevar a páginas de phishing. Los ciberdelincuentes suplantan webs legítimas copiándolas y poniéndoles direcciones web similares con homógrafos o enlaces que se parecen a las reales cambiando algún carácter que a la vista no es fácil distinguir.
  • Endpoints o terminales y otros dispositivos en los que no se han configurado las opciones de seguridad lo que los deja vulnerables. Las configuraciones de los fabricantes por defecto son, en muchos casos, poco seguras. Por ejemplo, si usan contraseñas débiles o si permiten que se conecten USB o discos extraíbles, estos podrían llevar malware. Otras veces son configuraciones incompletas o insuficientes de las redes a las que pertenecen esos dispositivos y permiten el acceso a ellos y su manipulación. Un caso particular son los dispositivos IoT.
  • Aplicaciones web, portales corporativos, intranets y redes sociales con configuraciones defectuosas o si están desactualizados pueden suponer una vía de entrada o bien una forma de dar información al ciberdelincuente para posteriores ataques.
  • Software de redes y sistemas mal configurado, desactualizado o no parcheado, es decir, no se han seguido procedimientos adecuados en su configuración y no se han aplicado las actualizaciones o no existen por estar ya el software fuera de su vida útil. Un ejemplo de uso de esta vía de entrada por los ciberdelincuentes son los ataques contra el router, como DNS hijacking o los ataques de DoS o Denegación de servicio, como le pasó a esta empresa en esta historia real.
  • Credenciales de usuario comprometidas bien porque están en fugas de datos y se reutilizan en otros sistemas, bien porque han sido obtenidas por fuerza bruta o por ataques de ingeniería social. En otros casos son obtenidas mediante software o hardware que registra las pulsaciones o keyloggers o software que espía redes wifi abiertas o con configuraciones de cifrado obsoletas.
  • Contraseñas y credenciales predecibles o por defecto bien porque no se han cambiado, las típicas ´admin/admin´ o las que pone el fabricante y se pueden encontrar en la web; o si se han cambiado se ha hecho por otras de uso común o fácilmente predecibles por el entorno de usuario; bien porque están ´hardcodeadas´, es decir, incluidas en la electrónica de los dispositivos.
  • Insiders o personas con acceso que pueden exfiltrar información. Pueden ser empleados insatisfechos por despecho, exempleados que conservan por fallos de procedimiento credenciales de acceso o bien los que pudieran haberse dejado sobornar por ciberdelincuentes.
  • Carencias del cifrado bien por su debilidad, al usar claves simples y deducibles o protocolos obsoletos, o por no aplicarse correctamente las políticas al respecto, por ejemplo en dispositivos móviles o portátiles o por olvido de cifrar documentos en la nube. Este vector puede llevar a fugas de información.
  • Debilidades de la cadena de suministro, como proveedores tecnológicos o empresas colaboradoras. Si sus sistemas sufren un incidente, nuestros datos pueden verse comprometidos. Por ello hemos de revisar las cláusulas de seguridad de los Acuerdos de Nivel de Servicio. Un caso particular son los proveedores de servicios en la nube.

¿Qué son los vectores de ataque en ciberseguridad?
Correo Electrónico.
Drive-by compromise.
Navegación por internet.
Ataques de fuerza bruta.
Endpoint o dispositivos finales.
Aplicaciones web.
La Red.
Explotación de vulnerabilidades.

Pentesting o pruebas de seguriadad
Ejecutar ataques informáticos a una plataforma o aplicación con el fin de encontrar vulnerabilidades.

Un caso muy popular fue cuando un grupo ruso se infiltró en los sistemas de SolarWinds, una empresa EEUU que ayudaba a otras empresas y al mismo gobierno, con sus redes , infraestructura y sistemas.

Backdoor: “Puerta secreta” o conexión oculta en un sistema que permite la entra y salida de datos. Usadas para modificar código de una plataforma o app.

Vectores de ataque en el Pentesting: (Medios por los que se hace un ciberataque)

  • Inyección de Código: Añadir nuevas instrucciones a una plataforma o aplicación mediante un hueco de seguridad.

  • Pérdida de la autenticación: Saltar controles de acceso de una plataforma.

  • Pérdida de controles de Acceso: Cuando un usuario hace cosas no permitidas para su perfil.

  • Uso de componentes con vulnerabilidades conocidas: Software con errores conocidos. Para evitar eso se requiere actualizaciones.

  • Regristro y monitoreos insuficientes: Todo lo que pasa a nivel de red de una empresa o otro lugar, es importante que se registre.

  • Deserialización segura: Exploits que se inyectan a aplicaciones.

Otros vectores de ataque son:

  • Ataques de fuerza bruta
  • Explotación de vulnerabilidades
  • Drive-by compromise
  • Unidades de memoria externa

Cabe recarlcar que en las fases de recoleccion de informacion los atacantes a veces duran años antes de su ataque.

Pentesting es una práctica/técnica que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo.

El Pentesting o también llamado test de penetración está diseñado para determinar el alcance de los fallos de seguridad de un sistema. Asimismo, es una de las practicas más demandadas actualmente ya que gracias a estos test, una empresa puede llegar a saber a qué peligros está expuesta y cuál es el nivel de eficiencia de sus defensas. Por eso, el “Pentester” o Auditor de ciberseguridad es una de las profesiones más demandas dentro del mundo de la Seguridad Informática, lo que los convierte en uno de los profesionales más solicitados del momento, al igual que las escuelas donde se imparte esta especialización.

Conozco este método de ataque y normalmente se utiliza una herramienta llamada OpenBullet
HTTP Request Smuggling:

  • es una técnica de ataque que se lleva a cabo interfiriendo con el procesamiento de solicitudes entre los servidores front-end y back-end. El atacante aprovecha la vulnerabilidad modificando la solicitud para incluir otra solicitud en el cuerpo de la primera solicitud. Esto se hace abusando de los encabezados Content-Length y Transfer-Encoding. Después de que el ataque es exitoso, la segunda solicitud en el cuerpo de la primera solicitud es contrabandeada y procesada.

Encontre esta por internet y queria compartila con la comunidad
Contraseñas débiles
Las contraseñas débiles son una vulnerabilidad humana extremadamente común que compromete seriamente cualquier sistema con información confidencial.

excelente clase y muy interesante todo lo del pestesting

Keyloggers: es aquel software infeccioso destinado al robo de información pulsada. En otras palabras, registra, todas las escrituras del usuario por medio de pulsaciones del teclado.

Pentesting

La deserialización insegura

Registro y monitoreo insuficientes

Uso de componentes con vulnerabilidades conocidas

Pérdida de controles de acceso

Pérdida de autenticación

Inyección de código

Vectores de ataque

Historia de un grupo criminal Ruso

No estoy muy seguro pero considero que la aplicación de ingeniería social puede ser considerado un vector de ataque.

Sniffing o Análisis de tráfico

No estoy seguro si cuenta como un vector pero gracias a la edición el registro de windows durante el proceso de instalación de Windows 11, es posible saltarse el chequeo de: TPM, RAM y SecureBoot.

Gracias a eso he logrado testear el nuevo Windows de Microsoft en un equipo de 2012.

  • Software Malicioso. Malware dentro de los se destacan: Ransomware, Troyano y Spyware.

  • Phishing. Tipos: Spare Phishing, Whale Phishing.

  • DDos. Objetivo: agotar los recursos de servidores o sitios Web con mensajes extraños y solicitudes de trafico.

  • Cross-Site-Scripting-XSS. Ataque de inyeccion de un script o codigo malicioso en un sitio web para ejecutarse en JavaScript, Flash y HTML.

  • Ataques de fuerza Bruta. Ataque criptografico de prueba y error para adivinar la informacion de inicio de sesion.

Entendía los vector como por donde entra el ataque:

  1. Correo
  2. Aplicaciones nube / física
  3. Perímetro
  4. Infraestructura nube / física

El tema de la persistecia y post-intrusión, es tan importante como el evento de penetar un sistema. Lo que hizo este grupo fue planficado y llevaron correctamente cada una de las etapas. Sin embargo hubiesen podido borrar todo tipo de rastro, de este modo no se hubiesen percatado de la filtración o lo habrian hecho pero con dificultad.

pruebas de penetración

Vectores de ataques me dio ante semejante presente

Me gustaría saber más sobre Pishing.

Bueno, efectivamente en mi empresa tocó correr para actualizar Orion (yo soy el administrador)

Uno de los vectores de ataque que más me tiene fascinado, es la que me dedico a proteger, Ataques de DDoS. Me parece fascinante como una cantidad de datos puede inutilizar servicios, colocando en riesgo la reputación de una empresa y poniendo a correr a los encargados de las redes.