NovaHacking
  • Whoami
  • Artículos
    • Panamá Papers
    • Tratamiento para la TTY
    • Introducción a la Ciberseguridad
    • Introducción al Buffer Overflow
    • Introducción al Pivoting
    • IDS - IPS (Suricata)
    • Colisión de Hash
    • RSA Cracker
  • Herramientas
    • Explotación
      • Hydra
      • pwncat-cs
    • Reconocimiento
      • Nmap
      • Arp scan
  • CTF
    • Dockerlabs
      • Amor
      • BreakMySSH
      • DockHackLab
      • FirstHacking
      • sjd
      • WhereIsMyWebShell
      • Dark
      • Queuemedic
      • Buffered
      • Pn
      • Canario
      • Domain
      • HereBash
  • Linux
    • 🐧Inicio Linux
Powered by GitBook
On this page
  • Pentesting
  • La tríada de la Ciberseguridad
  • Tipos de Pentesting
  • La prueba de caja blanca
  • En la prueba de caja negra
  • En la prueba de caja gris
  • Tipos de Hackers
  • Hacker de sombrero blanco
  • Hacker de sombrero gris
  • Hacker de sombrero negro
  • Metodología
  • Estándares y Regulaciones en Ciberseguridad
  1. Artículos

Introducción a la Ciberseguridad

TAG -> Artículos

Pentesting

Es una práctica de seguridad informática en la que profesionales conocidos como "hackers éticos" utilizan sus habilidades para identificar y resolver vulnerabilidades en sistemas informáticos. La base del hacking ético esta relacionada a tres conceptos fundamentales conocidos como la Tríada de la Ciberseguridad.

Victor García

La tríada de la Ciberseguridad

  • Confidencialidad: Implica proteger la información sensible de accesos no autorizados. Los hackers éticos se centran en asegurar que los datos críticos de una organización o individuo estén protegidos contra posibles amenazas.

  • Integridad: Se relaciona con la garantía de que la información no sea alterada de manera no autorizada. Los hackers éticos buscan evitar la manipulación no deseada de datos, asegurando que la información se mantenga precisa y sin cambios indebidos.

  • Disponibilidad: Se refiere a garantizar que los recursos informáticos estén disponibles y accesibles cuando sea necesario. Los hackers éticos trabajan para prevenir o mitigar ataques que podrían afectar la disponibilidad de sistemas, aplicaciones o datos.

Tipos de Pentesting

Existen tres tipos de pruebas de penetración: caja blanca (white box), caja negra (black box) y caja gris (grey box).

La prueba de caja blanca

Implica que el equipo de seguridad tiene acceso completo a la infraestructura y el código fuente de la aplicación que se está probando. Es el tipo de prueba más completo y se utiliza para evaluar toda la infraestructura en red de la compañía.

En la prueba de caja negra

El equipo de seguridad no tiene información previa sobre la infraestructura o la aplicación que se está probando. Se trata de realizar ataques con la menor cantidad posible de información sensible de la empresa, esto sería lo más cercano a un ataque cibernetico realista.

En la prueba de caja gris

El equipo de seguridad tiene acceso limitado a la infraestructura o la aplicación que se está probando. Es una combinación de las pruebas de caja blanca y caja negra, y puede ser útil para proporcionar una visión más completa de la seguridad y el rendimiento de un sistema sin tener que invertir el tiempo y los recursos necesarios para una evaluación completa de caja blanca.

Cada tipo de prueba de penetración tiene sus propias ventajas y desventajas, y se utilizan para evaluar la seguridad de los sistemas informáticos y las aplicaciones.

Es importante destacar que el objetivo de estas pruebas es encontrar vulnerabilidades en la seguridad, para que puedan ser corregidas antes de que sean explotadas por ciber atacantes y puedan acceder a los sistemas sin autorización alguna.

Tipos de Hackers

Existen tres tipos principales de hackers:

Hacker de sombrero blanco

También conocidos como "éticos" o "buenos", estos hackers trabajan para identificar y remediar vulnerabilidades en sistemas, redes y aplicaciones. Los hackers de sombrero blanco tienen permiso para realizar pruebas de penetración y otros tipos de evaluaciones de seguridad.

Hacker de sombrero gris

Estos hackers se ubican en un punto intermedio entre los hackers de sombrero blanco y los de sombrero negro. A diferencia de los hackers de sombrero blanco, los hackers de sombrero gris pueden realizar pruebas de penetración sin el permiso de la organización afectada. Sin embargo, sus intenciones son normalmente benignas y otras veces buscan ayudar a mejorar la seguridad de los sistemas, por decirlo así, trabajan al borde de la ley.

Hacker de sombrero negro

También conocidos como "maliciosos", estos hackers utilizan sus habilidades para realizar actividades maliciosas, como robo de información, vandalismo y sabotaje. Los hackers de sombrero negro no tienen permiso para realizar pruebas de penetración y actúan sin autorización de la organización afectada.

Metodología

En términos de metodología, los hackers éticos a menudo siguen un enfoque sistemático, que puede incluir la fase de reconocimiento, escaneo, explotación, mantener acceso, encubrimiento del ataque y documentación. Durante estas fases, se busca identificar y corregir vulnerabilidades antes de que puedan ser explotadas por actores malintencionados.

Fase

Descripción

Reconocimiento

Se busca obtener la mayor cantidad de información del objetivo. Se usan técnicas de OSINT si es necesario.

Escaneo

Se analiza la red con base en la información obtenida. Se utilizan herramientas como Nmap, Ping, Arp-scan, etc.

Explotación

Se vulnera el sistema aprovechando los fallos encontrados en el escaneo.

Mantener acceso

Se trata de conservar el acceso al sistema. En caso de obtener una Reverse Shell, se deja un Backdoor.

Encubrimiento del ataque

Se intenta prolongar el acceso sin ser detectado, eliminando evidencia del hackeo.

Documentación

Se redactan los pasos seguidos para encontrar y explotar las vulnerabilidades, además de las soluciones necesarias para corregirlas y cumplir con la Triada.

Estándares y Regulaciones en Ciberseguridad

Norma/Regulación

Descripción

ISO/IEC 27001

Estándar internacional para la gestión de la seguridad de la información (SGSI). Define cómo proteger la información en organizaciones.

NIST (National Institute of Standards and Technology)

Marco de ciberseguridad ampliamente utilizado, que proporciona directrices para identificar, proteger, detectar, responder y recuperar incidentes de seguridad.

GDPR (General Data Protection Regulation)

Regulación europea sobre privacidad y protección de datos que impone requisitos estrictos para el manejo de información personal.

PCI DSS (Payment Card Industry Data Security Standard)

Estándar de seguridad para la protección de datos de tarjetas de crédito y transacciones financieras.

HIPAA (Health Insurance Portability and Accountability Act)

Regulación de EE.UU. que protege la información de salud de los pacientes, asegurando su confidencialidad.

SOX (Sarbanes-Oxley Act)

Ley estadounidense que exige medidas de seguridad para proteger la información financiera de las empresas públicas.

COBIT (Control Objectives for Information and Related Technologies)

Marco de gobierno de TI que ayuda a gestionar riesgos y alinear la ciberseguridad con los objetivos empresariales.

CIS Controls (Center for Internet Security Controls)

Lista de mejores prácticas para mejorar la seguridad informática, organizadas en diferentes niveles de prioridad.

PreviousTratamiento para la TTYNextIntroducción al Buffer Overflow

Last updated 3 months ago