No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Técnicas de ataque y explotación de vulnerabilidades

10/22
Recursos

El objetivo de las técnicas de ataque y explotación es verificar y definir los vectores de ataque basándose en la obtención de información y vulnerabilidades encontradas. Algunos ejemplos de vectores de ataque incluyen:

  • Atacar las vulnerabilidades encontradas.
  • Ataques misceláneos.
  • Ingeniería social.
  • Ataques de acceso físico.

¿Qué es un exploit de día cero?

Un "día cero" o "0Day" en el ámbito de la ciberseguridad es una vulnerabilidad en un dispositivo conectado a Internet, componente de red o pieza de software que acaba de ser descubierto o expuesto. La idea es que esta vulnerabilidad no tiene historia previa, es decir, tiene cero días de existencia.

¿Por qué son tan importante los 0 day?

Las vulnerabilidades de día cero son el tipo de vulnerabilidad más difícil de proteger, ya que pocas empresas de seguridad y muy pocos paquetes de software antivirus (si es que hay alguno) están preparados para manejarlas o el malware que intenta explotarlas.

Cuando se descubre una vulnerabilidad de día cero, no hay parches disponibles para resolver el problema, y no hay otras estrategias de mitigación porque todos se acaban de enterar de la vulnerabilidad.

Contribución creada con los aportes de: Angie Espinoza (Platzi Contributor) y GTBche.

Aportes 21

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Kevin Mitnick, el hacker más famoso del mundo. Decidió reorganizar su enfoque cibernético, por lo que comenzó a trabajar como consultor de seguridad web.

“Sí lo soy (un hacker), pero lo hago con autorización. Ahora es con mi compañía para monitorear los controles de seguridad de las empresas. Antes lo hacía gratis y me trajo muchos problemas”

¿Qué es un exploit de día cero?

  • Un “día cero” o “0Day” en el negocio de la ciberseguridad es una vulnerabilidad en un dispositivo conectado a Internet, componente de red o pieza de software que esencialmente acaba de ser descubierto o expuesto. La idea es que esta vulnerabilidad tiene cero días de historia.

Entonces, ¿qué significa esto? ¿Por qué es importante?

  • Las vulnerabilidades de día cero son el tipo de vulnerabilidad más difícil de proteger porque ninguna empresa de seguridad y muy pocos paquetes de software antivirus, si es que hay alguno, están preparados para manejarlas o el malware que intenta explotarlas.

¡No hay parches disponibles para resolver el problema y no hay otras estrategias de mitigación porque todos se acaban de enterar de la vulnerabilidad!

Vulnerabilidad en WinRAR

  • Los piratas informáticos pueden ocultar fácilmente un paquete ACE modificado como si fuese un archivo RAR dado que esta aplicación reconoce los archivos por su forma y contenido, no por su extensión.

Cuando el usuario ejecuta este archivo, el fichero ACE explota la vulnerabilidad «Absolute Path Traversal» de la librería y finalmente consigue ejecutar código aleatorio en la memoria, copiando malware que se encuentra dentro del fichero comprimido en el sistema sin levantar sospechas.

"8:08 hablo con el encargado de la reunión, le hizo unas preguntas y al final logro obtener direcciones Ip información de servidores tecnologías etc " Ingenieria social pura y dura

Técnicas de ataque y explotación de vulnerabilidades
Objetivos
● Definir los vectores de ataque con base en la
inteligencia recabada y a las vulnerabilidades
identificadas.
● Verificar la existencia y explotabilidad de las
vulnerabilidades.
Vectores de ataque
● Vulnerabilidades en tecnologías.
● Ataques misceláneos.
● Ingeniería social.
● Acceso físico

El ataque DDoS a los DNS de Dyn, fue realizado por la botnet MIRAI, una de las más grandes Botnet de todos los tiempos.
Mas info aca

Lo conoci personalmente a Kevin Mitnick cuando estuvo en Buenos Aires en el 2005.
Un personaje muy controvertido.

Hace unos días 16 de Julio 2023 nos dejó Kevin Mitnick, RIP Kevin

no hace mucho descargue una aplicación no servia de nada mas que apareciera una imagen de picachu generando electricidad cuando mi dispositivo estuviera cargando. la aplicación se descargo como file me y cuando se termina de instalar se bloqueó mi celular y mi comandante de desbloqueo no servia pero no se por que la huella si bueno abri desinstale y eliminé y medi cuenta que tenia muchas carpetas replicadas

Gracias por la recomendación el Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting se ve muy bien de contendió.

Usa el término ‘vector de ataque’ pero no define qué significa eso.

Ataques de denegación de servicios consiste en hacer colapsar los servicios y denegar el acceso al servicio a los clientes legítimos mediante explotación de vulnerabilidades o enviando un sin número de paquetes para colapsar el ancho de banda de la red,

Hola, que herramienta forence podría utilizar para hacer seguimiento a un posible 0-Day?
Yo ya seguí el curso de ingeniería social, muy bueno
1. Yo ya seguí el curso de ingeniería social, muy bueno
Gracias
En Colombia los ataques mas comunes a nivel de ingenieria social + phishing son los correos de notificaciones supuestamente oficiales como: * Comunicado por parte de la Registraduria Nacional con notificaciones de no cumplimiento como jurado de votación que llevan a una web ficticia para recolecciond e datos. * Comunicado de la DIAN haciendo referencia a multas o verificación de estado de renta en la que recolectan datos personales. * Comunicado de bancas virtuales en las que supuestamente tu clave dinamica fue bloqueada o tu cuenta bancaria llevando a sucursales virtuales bancarias falsas. Y por ultimo se estan presentando ataques por medio de Smishing o mensajes de texto SMS.
  • muy interesante cada uno de los temas que tratamos en la explotación de vulnerabilidades es importante aprender cada uno de estos temas para poder protegernos de este tipo de técnicas y de ataques

ataque por fuerza bruta ,ingenieria social