You don't have access to this class

Keep learning! Join and start boosting your career

Aprovecha el precio especial y haz tu profesión a prueba de IA

Antes: $249

Currency
$209
Suscríbete

Termina en:

0 Días
3 Hrs
50 Min
0 Seg
Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Técnicas de ataque y explotación de vulnerabilidades

10/22
Resources

The objective of attack and exploitation techniques is to verify and define attack vectors based on information gathering and vulnerabilities found. Examples of attack vectors include:

  • Attacking vulnerabilities found.
  • Miscellaneous attacks.
  • Social engineering.
  • Physical access attacks.

What is a zero-day exploit?

A "zero-day" or "0Day" in cybersecurity is a vulnerability in an Internet-connected device, network component or piece of software that has just been discovered or exposed. The idea is that this vulnerability has no prior history, i.e. it has zero days of existence.

Why are 0 days so important?

Zero-day vulnerabilities are the most difficult type of vulnerability to protect, as few security companies and very few (if any) antivirus software packages are prepared to handle them or the malware that attempts to exploit them.

When a zero-day vulnerability is discovered, there are no patches available to address the problem, and no other mitigation strategies because everyone has just learned of the vulnerability.

Contribution created with contributions from: Angie Espinoza (Platzi Contributor) and GTBche.

Contributions 22

Questions 1

Sort by:

Want to see more contributions, questions and answers from the community?

Kevin Mitnick, el hacker más famoso del mundo. Decidió reorganizar su enfoque cibernético, por lo que comenzó a trabajar como consultor de seguridad web.

“Sí lo soy (un hacker), pero lo hago con autorización. Ahora es con mi compañía para monitorear los controles de seguridad de las empresas. Antes lo hacía gratis y me trajo muchos problemas”

¿Qué es un exploit de día cero?

  • Un “día cero” o “0Day” en el negocio de la ciberseguridad es una vulnerabilidad en un dispositivo conectado a Internet, componente de red o pieza de software que esencialmente acaba de ser descubierto o expuesto. La idea es que esta vulnerabilidad tiene cero días de historia.

Entonces, ¿qué significa esto? ¿Por qué es importante?

  • Las vulnerabilidades de día cero son el tipo de vulnerabilidad más difícil de proteger porque ninguna empresa de seguridad y muy pocos paquetes de software antivirus, si es que hay alguno, están preparados para manejarlas o el malware que intenta explotarlas.

¡No hay parches disponibles para resolver el problema y no hay otras estrategias de mitigación porque todos se acaban de enterar de la vulnerabilidad!

Vulnerabilidad en WinRAR

  • Los piratas informáticos pueden ocultar fácilmente un paquete ACE modificado como si fuese un archivo RAR dado que esta aplicación reconoce los archivos por su forma y contenido, no por su extensión.

Cuando el usuario ejecuta este archivo, el fichero ACE explota la vulnerabilidad «Absolute Path Traversal» de la librería y finalmente consigue ejecutar código aleatorio en la memoria, copiando malware que se encuentra dentro del fichero comprimido en el sistema sin levantar sospechas.

"8:08 hablo con el encargado de la reunión, le hizo unas preguntas y al final logro obtener direcciones Ip información de servidores tecnologías etc " Ingenieria social pura y dura

Técnicas de ataque y explotación de vulnerabilidades
Objetivos
● Definir los vectores de ataque con base en la
inteligencia recabada y a las vulnerabilidades
identificadas.
● Verificar la existencia y explotabilidad de las
vulnerabilidades.
Vectores de ataque
● Vulnerabilidades en tecnologías.
● Ataques misceláneos.
● Ingeniería social.
● Acceso físico

Hace unos días 16 de Julio 2023 nos dejó Kevin Mitnick, RIP Kevin

El ataque DDoS a los DNS de Dyn, fue realizado por la botnet MIRAI, una de las más grandes Botnet de todos los tiempos.
Mas info aca

Lo conoci personalmente a Kevin Mitnick cuando estuvo en Buenos Aires en el 2005.
Un personaje muy controvertido.

Gracias por la recomendación el Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting se ve muy bien de contendió.

no hace mucho descargue una aplicación no servia de nada mas que apareciera una imagen de picachu generando electricidad cuando mi dispositivo estuviera cargando. la aplicación se descargo como file me y cuando se termina de instalar se bloqueó mi celular y mi comandante de desbloqueo no servia pero no se por que la huella si bueno abri desinstale y eliminé y medi cuenta que tenia muchas carpetas replicadas

Usa el término ‘vector de ataque’ pero no define qué significa eso.

Ataques de denegación de servicios consiste en hacer colapsar los servicios y denegar el acceso al servicio a los clientes legítimos mediante explotación de vulnerabilidades o enviando un sin número de paquetes para colapsar el ancho de banda de la red,

Veo necesario resumir en si los vectores que el menciona de forma concreta: * **Vulnerabilidades tecnológicas** 🛠️ Son fallos en software, hardware o configuraciones que los atacantes pueden explotar para obtener acceso no autorizado, robar datos o causar daño. 🔹 *Ejemplo:* Un sistema operativo desactualizado con una falla de seguridad permite que un hacker instale malware sin que el usuario lo note. * **Ataques misceláneos** 🎭 Son tácticas variadas que no encajan en una sola categoría, pero que pueden comprometer la seguridad. Pueden incluir abuso de permisos, errores de configuración, explotación de procesos descuidados o la combinación de varios métodos para lograr acceso. 🔹 *Ejemplo:* Un atacante encuentra credenciales filtradas en internet y las usa en distintos servicios hasta encontrar una cuenta sin protección adicional. * **Ingeniería social** 🎭 Se basa en manipular a las personas para que revelen información, entreguen acceso o realicen acciones inseguras. No ataca la tecnología directamente, sino la confianza o el desconocimiento de las personas. 🔹 *Ejemplo:* Un estafador llama a un empleado haciéndose pasar por el equipo de TI y le pide que cambie su contraseña a una que él conoce. * **Acceso físico** 🔑 Ocurre cuando alguien obtiene acceso directo a un dispositivo, instalación o sistema para manipularlo, extraer información o instalar herramientas maliciosas. 🔹 *Ejemplo:* Un atacante deja un USB infectado en la oficina de una empresa, esperando que alguien lo conecte a su computadora, instalando malware automáticamente.
Hola, que herramienta forence podría utilizar para hacer seguimiento a un posible 0-Day?
Yo ya seguí el curso de ingeniería social, muy bueno
1. Yo ya seguí el curso de ingeniería social, muy bueno
Gracias
En Colombia los ataques mas comunes a nivel de ingenieria social + phishing son los correos de notificaciones supuestamente oficiales como: * Comunicado por parte de la Registraduria Nacional con notificaciones de no cumplimiento como jurado de votación que llevan a una web ficticia para recolecciond e datos. * Comunicado de la DIAN haciendo referencia a multas o verificación de estado de renta en la que recolectan datos personales. * Comunicado de bancas virtuales en las que supuestamente tu clave dinamica fue bloqueada o tu cuenta bancaria llevando a sucursales virtuales bancarias falsas. Y por ultimo se estan presentando ataques por medio de Smishing o mensajes de texto SMS.
  • muy interesante cada uno de los temas que tratamos en la explotación de vulnerabilidades es importante aprender cada uno de estos temas para poder protegernos de este tipo de técnicas y de ataques

ataque por fuerza bruta ,ingenieria social