Si no puede ver este mail, haga click aquí

Staff

Registro

Infosecurity Vip

Inicio

Año 17 - nº 1 - Enero 2021

Hacking Bajo la Lupa

Hacking ético: ¿tienes lo que hay que tener?

Rodolfo de Juana

Editor de Ciberseguirdad

MuySeguridad.net - España


Invertir en seguridad es una de las grandes obsesiones para las empresas de cara a este año. Y por supuesto, para ello, las empresas se van a pelear por reclutar a los mejores profesionales en un mercado que lleva años en una situación de pleno empleo. A nivel global, se estima que la inversión en este sector alcanzará los 250.000 millones de dólares en 2023, con un crecimiento medio anual del 10,2% en los próximos cinco años.

Pero si los perfiles generalistas en ciberseguridad están demandados, aún lo está más el de los conocidos como “hackers éticos”, una profesión al alza y que vive un “momento dulce” a raíz de los intensos ataques que en los últimos años están experimentando todo tipo de empresas.

Hacking ético: más allá del pentesting

Hackear un sistema e identificar y reparar posibles vulnerabilidades. En esto consistiría de forma muy resumida, la actividad de un hacker ético. Dicho de otra forma: utilizar las técnicas y métodos utilizados por los “hackers convencionales”, para mejorar la posición de defensa de una organización o empresa. A la hora de desarrollar su trabajo, un hacker ético comienza en primer lugar por intentar responder a las siguientes preguntas:

  • ¿Qué tipo de vulnerabilidades es capaz de ver un atacante potencial?

  • ¿Qué información o sistema de la compañía resulta más interesante para un hacker?

  • ¿Qué podría hacer un hacker con la información que obtenga?

  • ¿Cuántas personas han detectado un posible intento de ataque?

  • ¿Cuál es la mejor forma de solucionar esa vulnerabilidad?

 

 

Este tipo de preguntas por supuesto, afectan al conjunto de recursos de TI de la compañía, por lo que estos profesionales estudian entre otras cosas, posibles ataques a aplicaciones web, sistemas, servidores, redes wireless o posición de defensa ante ataques de hacking social o de ingeniería inversa.

Estas características pueden hacer pensar que el trabajo de un hacker ético y el de un “pentester” es similar. Y aunque ciertamente lo es, existen algunas diferencias sustanciales que nos llevan a hablar de dos perfiles realmente diferenciados.

Pentesting vs. Hacker Ético

Las habilidades empleadas por un hacker ético le permiten practicar un ciclo de evaluación continua de la postura de seguridad de una organización. Además, suelen tener un profundo conocimiento de la organización y de sus vulnerabilidades, así como de su enfoque de gestión de las mismas. Al comprender las posibles debilidades, utilizan los mismos métodos y herramientas que un hacker malicioso utilizaría para explotarlas.

Por contra, el pentesting se presenta más bien como un proceso que analiza la seguridad de un área específica de la organización, que se prepara para el desarrollo de una prueba concreta. Este tipo de pruebas se presentan como un proceso de evaluación coordinado, que suele contratarse en una empresa externa… y es el cliente el que define el alcance de lo que se va a reportar y probar en un momento puntual.

Formación y certificaciones en hacking ético

Además de tener conocimientos generales sobre redes y sistemas, lógicamente de un hacker ético se espera que tenga grandes conocimientos en seguridad informática. Esto se ha reflejado en los últimos años tanto en el incremento de la oferta de cursos y masters de formación en este campo, como en la demanda de profesionales que cuenten con un título certificado.

En este sentido, hace unos meses os contábamos cómo de las quince certificaciones IT mejor pagadas del momento, cinco estaban relacionadas con la seguridad informática, como como CIISP (Certified Information Systems Security Professional (CISSP) o CompTIA Security+.

Además, existen certificaciones específicas para el desarrollo de una carrera profesional en este campo. La más conocida es CEH (Certified Ethical Hacker), pensada desde una perspectiva multi-fabricante y que cubre las 20 habilidades básicas que debe tener un profesional en este terreno: footprinting, scanning, análisis de vulnerabilidades, técnicas de hacking, ingeniería social, pentesting, gestión de riesgos y un largo etc.

Fuente: MuySeguridad.net

 

Ediciones Anteriores:


Análisis profundo del ransomware Hub

Tomas Meskauskas
PCrisk Director
España
 


Ataque al firmware de la llave bluetooth permite robar el Tesla X

Lenner Wouters
Advanced Master en IA
Universidad de Lovaina - Bélgica


Address Bar Spoofing una ataque que permite inserción de malware

Javier Jiménez
Redactor de Ciberseguridad
RedesZone.net


Análisis de la filtración masiva de datos en Telegram

Aina Puo Rodriguez
Editora de ciberseguridad
CyberSecurity News - España


Cómo operan los hackers chinos que quisieron robar la fórmula de la vacuna contra el coronavirus

Gustavo Sierra
Corresponsal de Guerra
Multimedios CNN, Univisión, Clarin, Infobae


nálisis del hackeo mas grave a Twitter de su historia

La popular red social estaba en llamas este pasado miércoles tras sufrir el ataque más duro desde el nacimiento de la compañía.


Nuevamente Zoom permite tomar control de los dispositivos de los usuarios

Raquel Gálvez Farfán
Koodous CEO
Málaga - España


Samsung Galaxy A Quantum: el nuevo dispositivo “inhackeable” del gigante surcoreano

El gigante surcoreano Samsung presentó oficialmente su nuevo dispositivo Samsung Galaxy A Quantum, el primer smartphone de la historia provisto con tecnología de generación de números cuánticos aleatorios (QRNG).


Análisis técnico del escándalo de ZOOM: porqué no usarla en entornos corporativos

Fernando Ramírez
Chief Executive Officer - Hispasec
Málaga - España


Análisis tecnico de Mukashi una mutación del gusano Mirai

Roberto Segura Delgado
Analista de Malware
Hispasec


Fortalezas de NFC para transacciones a través de móviles

Rosina Odorqui
Hacknoid by Arcanus – Security - CEO
Responsable Latinoamerica


Ejércitos de hackers pone al mundo ante ante un nuevo estilo de guerra sin reglas ni límites

José Pablo Porretti
Periodista Internacional
Infobae - Argentina


Técnicas de evasión en redes LAN y WAN

Christian Javier Vila
Sr Cybersecurity Consultant
CTO - ISEC Global Inc


Compradores en la Darknet ven cómo sus bitcoins son robados

Raquel Gálvez Farfán
Security Operation Center
HISPASEC - España


Session Hijacking análisis técnico

Christian Javier Vila
Sr Cybersecurity Consultant
CTO - ISEC Global Inc.


SHODAN.io como herramienta de pentesting

Christian Javier Vila
Sr Cybersecurity Consultant
CTO - ISEC Global Inc.

Gestión Infosec

Entrevista

Las leyes

Palabras de CISO

Tips para un CISO

Puntos de vista

Actualización Técnica

Hacking bajo la lupa

Estadísticas

Productos

Toolbox

Capacitaciones

Links de interés

¿Lo sabías?

Hot vulnerabilities

Comunidad Infosec

Efraude

Noticias

Bolsa de trabajo

Agenda y eventos

Lectores

Libro de pases

El chiste del mes

Ver Anteriores

Envíenos su Comentario

Conferencias 2021 y anteriores

Últimas Conferencias:

 

 

 


‘hackean’ el robot de cocina de Lidl y encuentran un micrófono oculto

Isabel Rubio
Corresponsal de Ciberseguridad
Diario El País - España


eyeDisk: el pendrive ‘que no se puede hackear’ expone claves en texto claro

eyeDisk es un proyecto gestado en la plataforma de financiación colectiva Kickstarter que se presenta como una unidad USB de almacenamiento seguro para la privacidad y los datos al utilizar un sistema de identificación biométrica para permitir el acceso al contenido únicamente al propietario.


Priorización Predictiva, centrarse en o más importante

Moisés Acevedo
Regional Channel SE, LATAM

Tenable


Escenario Actual de Informática Forense y Respuesta ante incidentes

Christian Javier Vila
Sr Cybersecurity Consultant
CTO - ISEC Global Inc.


Una primera aproximación de Owasp para testing de IoT

Christian Javier Vila

Sr Cybersecurity Consultant

CTO - ISEC Global Inc.


Cómo funciona el protocolo de USB Tipo C Authentication

Alfonso De Frutos
Editor ADSLZone
España


Publicación del libro electrónico Curso de Criptografía Aplicada

Jorge Ramió Aguirre
Director de la Red Temática Criptored
España


Incidentes con malware

Christian Javier Vila
Senior Cybersecurity Consultant
CTO - ISec Global Inc


Análisis de seguridad en Servidores Web

Christian Javier Vila
Senior Cybersecurity Consultant
CTO - ISec Global Inc


¿Cómo se trabaja hoy en día en el campo de la ciberseguridad?

Desiree Rodriguez
Responsable de Globb Security
España


Detección de botnets a través de flujo de red

David Cantón
Analista de Ciberseguridad de INCIBE
España


Internet de las cosas como vector de ataque de malware

Investigadores de Cisco Talos revelaron un informe en el que se documenta una red gigante de bots IoT conocida como VPNFilter. En consecuencia más de 500 mil dispositivos en todo el mundo están infectados con este malware (software malicioso), la mayoría de ellos son routers de Internet de consumo doméstico de diferentes proveedores, con algunos dispositivos NAS (almacenamiento conectado a la red) que también fueron atacados


Cibersecurity and blockchain

John R. Robles
Director J. Robles & Associates
Puerto Rico


¿Porqué hackean las empresas?

Carlos Fernando Arismendy
Kronux Solutions
Medellin - Colombia


Ciberprotección con Machine Learning

Ángel Israel Gutiérrez
A3SEC
Ciudad de México


Descubren que se pueden realizar ataques man-in-the-middle contra carteras Ledger

Ledger es una cartera de criptomonedas en formato hardware que soporta varias divisas, entre ellas las populares Bitcoin y Ethereum.


Análisis técnico de la famosa estafa de la camioneta a mitad de precio

Christian Javier Vila
Senior Cibersecurity Consultant
CTO - ISec Global Inc


Millones de sistemas cifrados vulnerables

Christian Javier Vila
Senior Cibersecurity Consultant
CTO - ISec Global Inc


¿hay relación entre Kronos y Wannacry?

Christian Javier Vila
Senior Cibersecurity Consultant
CTO - ISec Global Inc


Señuelos en la dark web

Christian Javier Vila
Senior Cibersecurity Consultant
CTO - ISec Global Inc


¿Qué es la esteganografía?

Alfonso Muñoz
Director Proyecto Thoth
España


Cómo funciona la nueva herramienta de anonimato de Tor

Multiproceso, sandboxing y sockets de dominio UNIX las novedades. Se ha publicado una edición edición de Tor Browser, el navegador del proyecto The Onion Router que nos proporciona anonimato y privacidad, a la hora de navegar por internet.


La Clave para detectar amenazas avanzadas

Juan Agosto
Director VPnet
San Juan de Puerto Rico


Cómo romper el cifrado de comunicaciones en smartphones

Hugo Scolnik
Director de Firmas Digitales srl
Argentina


¿Qué son y para qué sirven las funciones hash?

Jorge Ramió Aguirre
Director de la Red Temática Criptored
España


¿Se pueden duplicar huellas dactilares usando internet?

Posar en una foto haciendo el símbolo de la paz es habitual en muchas partes del mundo. Pero, ¿y si ese inocente gesto estuviera poniéndonos en riesgo frente a los hackers?


¿Cómo funciona el algoritmo de Elgamal?

Jorge Ramió Aguirre
Director de la Red Temática Criptored
España


Mensajería cifrada para Hackers

Desiree Jaimovich
Tecnología
Infobae - Argentina


DRAMMER y los ataques a la RAM de móviles

Lucian Constantin
IT Security
ID NEWS - Rumania


Soluciones técnicas antiransomware

Leandro Faundéz
GData
Buenos Aires
Extracto de la conferencia dictada para InfosecurityTour 2016


Cómo hackear cuentas de redes sociales sólo con el número de teléfono

Mónica Valle
Periodista especializada en tecnología y ciberseguridad
Directora de Globb Security - España


Riffle, una herramienta que mejora las debilidades de la red TOR

A la famosa red Tor le ha salido un fuerte competidor. Desarrollada por investigadores del MIT, el Instituto Tecnológico de Massachusetts, Riffle es una nueva red anónima que promete mejorar todos los fallos de la popular Tor.


¿Qué es el código Base64?

Jorge Ramió Aguirre
Director de la Red Temática Criptored
España


Cómo funciona la protección punto a punto de whatsapp

Christian Javier Vila
Director de iCoaching
ISEC Global Inc.


Hardware Hacking aplicado a la Seguridad

David Meléndez Cano
Albalá Ingenieros S.A
España


5 alternativas a las contraseñas

Javier Lacort
Corresponsal de Tecnología
Hipertextual, España


No confundas cifrar con codificar

Jorge Ramió Aguirre
Director de la Red Temática Criptored
España


CIBERGUERRA: ANÁLISIS TÉCNICO DE LOS ATAQUES

Christian Javier Vila
Director de iCoaching
ISEC Global Inc.


Predicción de los Ataques a las Tecnologías para el 2016

El equipo de Investigación y Análisis de Kaspersky Lab para América Latina ha dado a conocer sus predicciones para el 2016, en las cuales anticipa que los ataques a empresas y a usuarios finales aumentarán y se enfocarán en blancos locales.


Criptografía; ¿Por qué sucumbe el DES ante un ataque en red?

Jorge Ramió Aguirre

Criptored - España


Módulo de Metasploit para enumerar las sesiones guardadas de PuTTY

Hoy en día en entornos corporativos se utiliza mayoritariamente estaciones de trabajo con Windows 7 y el cliente PuTTY para acceder por SSH a servidores Linux.


Hammertoss una app de espionaje que usa esteganografía

En un informe publicado por FireEye se detalla el funcionamiento de Hammertoss. Se trata de la herramienta de comunicación y robo de información creada por el grupo que han denominado APT29 y con objetivos de espionaje muy concreto.


Cómo identificar archivos DLL maliciosos con análisis estático

Ignacio Pérez
Security Researcher & Awareness
ESET LA

 


Como pueden rastrear tu ubicación incluso sin acceder al GPS del móvil

Si estás mínimamente informado sobre seguridad aplicada a dispositivos móviles sabrás que, efectivamente, permitir a una aplicación acceder al GPS del móvil supone riesgos .


TeslaCrypt, ransomware que si puede ser descifrado

Al contrario que el ransomware CryptoLocker, el TeslaCrypt si tiene solución gracias a que usa un cifrado simétrico (AES CBC 256) implementado en la función "EncryptWithCbcAes"


Hackers rusos violaron seguridad de la Casa Blanca

Hackers que trabajan para el gobierno ruso fueron capaces de acceder al sistema de correo electrónico del presidente Obama


El peligro detrás de un 'wearable'

Por Andrés Guerrero
Senior Security Researcher,
Kaspersky Lab


Netcat, algunas configuraciones interesantes...

Por Lucas González

Director Tres Patitas - Argentina

¿Quién no atesora en algún cajón, un cortaplumas de su niñez? . Netcat es un cortaplumas para Sys Admin, Hackers, Penetration Tester, Profesionales de la Seguridad...


Explotación práctica de señales de radio con Software Defined Radio

Por Luis Colunga
Exposición brindada en Ekoparty 2014
Argentina


Doxing y las zonas de seguridad de Microsoft Outlook

Por Chema Alonso
Un informático en el lado del mal - España

Las técnicas de Doxing se utilizan para desvelar identidades ocultas en la red. Saber quién está detrás de un perfil falso de Facebook, quién es el que maneja una cuenta de Twitter o el que está detrás de un correo electrónico. El objetivo de todas estas técnicas de doxing es poder averiguar nueva información de la persona detrás de la cuenta. Una nueva dirección IP, un número de teléfono o una versión de software pueden ayudar a avanzar en una investigación y por tanto son muy delicadas y codiciadas todas las nuevas técnicas que se conocen a este respecto.


Acusan a hackers chinos de atacar los celulares de Hong Kong

Reclamo democrático.Se propagó en los teléfonos móviles un virus informático poco común que ataca a los sistemas operativos Android y el iOS de Apple. Permite acceder a mails, sms, contactos, llamadas, nombre de usuario y contraseñas.


Análisis de ransomware móvil: Koler

Según Kaspersky Lab, el ransomware dispone de 30 mensajes personalizados para las víctimas en función de su país. Suplanta a la policía y pide un rescate de entre 100 y 300 dólares para desbloquear el dispositivo


Operación Tovar desconecta el malware Gameover Zeus y CryptoLocker
Las fuerzas policiales han colaborado para interrumpir temporalmente la botnet con más éxito del mundo, Gameover Zeus (también conocido como P2PZeus o GoZeus), dando a cientos de miles de víctimas un breve espacio en el que pueden liberarse del malware.


Frozen: Un nuevo phishing para robar datos de Apple

A principios de este mes llegó una nueva oleada de spam para lanzar una campaña de phishing con el objetivo de robar los datos de cuentas Apple ID. El correo, como puede verse, viene informando de que la cuenta de Apple Store del usuario ha sido congelada, para lo que se solicita datos del cliente


Warbiking // Insecure Passwords
Si bien el término no es nuevo, el crecimiento de WiFi se está haciendo cada vez más viable y atractiva.
Es la búsqueda de puntos de acceso WiFi inseguras en bicicleta - y Sophos ha lo estado haciendo por las calles.


Heartbleed: Una grave falla amenaza la seguridad en internet

Heartbleed, una vulnerabilidad de la herramienta de encriptación OpenSSL –utilizada por alrededor de dos tercios de los sitios web–, abre la puerta a que atacantes tengan acceso a información sensible, como contraseñas, mensajería, correos electrónicos, entre otros


El Extraño Cibermundo De Hoy

Por Carlos Uriel Bautista
Sales Engineer
McAfee México

Extracto de la conferencia dictada para Infosecurity Tour 2014


Full Analisys del mensajero TELEGRAM

Desde que se confirmó la compra de WhatsApp por parte de Facebook, los usuarios han empezado a buscar alternativas a este medio de comunicación. Una de las aplicaciones que ha llegado pisando fuerte es Telegram, que aprovechando la caída que tuvo WhatsApp hace escasos días, ha conseguido cerca de dos millones de nuevos usuarios.


Mutación en Ataques DOS hacia protocolo NTP

Por David García

IT Security Audit Manager

HISPASEC SISTEMAS S.L. | España


Impresión 3d cada vez mas vulnerable...

La nueva tecnología de impresión en 3D todavía está dando mucho de qué hablar en cuestiones de seguridad. Uno de los principales temores de las compañías y autoridades es que se utilicen estos aparatos para imprimir modelos tridimensionales de objetos que violen la ley o sean peligrosos para los ciudadanos.

 

Copyright © 2004/2021 ISEC Global Inc. Todos los derechos reservados - Política de privacidad