Escolar Documentos
Profissional Documentos
Cultura Documentos
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas
zxcvbnmqwertyuiopasdfghjklzxc
vbnmqwertyuiopasdfghjklzxcvb
nmqwertyuiopasdfghjklzxcvbnm
Universidad Mariano Glvez de Guatemala
Plan sbado
Los primeros puntos nos muestran que la informacin est centralizada y que puede tener un alto
valor y los ltimos puntos nos muestran que se puede provocar la destruccin total o parcial de la
informacin, que incurre directamente en su disponibilidad que puede causar retrasos de alto
costo.
Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar
donde se almacena la informacin. Ahora preguntmonos: Cunto tiempo pasara para que la
organizacin este nuevamente en operacin?
Es necesario tener presente que el lugar donde se centraliza la informacin con frecuencia el
centro de cmputo puede ser el activo ms valioso y al mismo tiempo el ms vulnerable.
A continuacin se presentan algunos aspectos que han hecho que la informacin sea cual sea su
fuente de origen sea manipulada sus orgenes y el problema que est ha causado. Estableciendo a
su vez una alternativa de solucin para la misma, siendo est la Ingeniera Social.
General
Establecer un sistema de seguridad social, el cul sea confiable para los usuarios en
cualquiera que sea la actividad que se realice en la web.
Especficos
1.1 ANTECEDENTES
Ingeniera social:
Segn Digital Guardian, el 97% de los ataques informticos no aprovechan una falla en el
software, sino que usan tcnicas de ingeniera social para conseguir las credenciales
necesarias para vulnerar la seguridad informtica. Por eso, a veces poco importan las
medidas de seguridad tecnolgicas que implementes si las personas estn mandando su
clave por correo electrnico. Como parte de la estrategia de seguridad de tu compaa,
tienes que hacer un gigantesco esfuerzo para evitar que los criminales informticos
implementen tcnicas de ingeniera social para entrar a tus sistemas
1.2 JUSTIFICACION
Al montar toda tu estrategia digital, es fundamental tener la seguridad informtica entre las
prioridades. Adems de registrar el dominio disear los sistemas e implementar tcnicas de
SEO, es fundamental proteger toda la informacin del negocio. La mejor manera de poder
implementar una estrategia de seguridad es conocer como funcionan los mtodos de ataque
para poder contrarrestar y prevenir este tipo de ataques.
Por tal razn en esta investigacin se analiza la ingeniera social explotando alguna
vulnerabilidad en una aplicacin Web.
1.4 OBJETIVOS
Una fase de acercamiento para ganarse la confianza del usuario, hacindose pasar por un
integrante de la administracin, de la compaa o del crculo o un cliente, proveedor, etc.
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta.
Por ejemplo, ste podra ser un pretexto de seguridad o una situacin de emergencia;
Una distraccin, es decir, una frase o una situacin que tranquiliza al usuario y evita que se
concentre en el alerta. sta podra ser un agradecimiento que indique que todo ha vuelto a
la normalidad, una frase hecha o, en caso de que sea mediante correo electrnico o de una
pgina Web, la redireccin a la pgina Web de la compaa.
La ingeniera social puede llevarse a cabo a travs de una serie de medios:
Por telfono,
Por correo electrnico,
Por correo tradicional,
Por mensajera instantnea,
Se busca generar una situacin creble, de confianza, sin dejar nada libre al azar. Un
ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace
poco les mostramos cuando se utiliz la esttica de la gira de los Rolling Stones para crear
un sitio que prometa entradas gratis a cambio de clics en Facebook.
Cuando un atacante lleva a cabo una tcnica de Ingeniera Social, su efectividad depende
del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria,
La mayora de los protocolos de cifrado como SSL utilizan algn tipo de autenticacin de
extremo a extremo (end-to-end), especficamente para prevenir ataques MITM. Con
Heartbleed se compromete la funcin de SSL de autenticar una o ambas partes de la
comunicacin a travs de un certificado de seguridad confiable, dejando la puerta abierta
para el hombre en el medio. Por eso es tan peligroso.
Todo sistema de cifrado que se respete se protege contra ataques MITM requiriendo la
trasmisin de la informacin a travs de un canal seguro adicional, al cual solo se puede
acceder con la llave de cifrado segura correspondiente. Si el atacante logra acceder a esa
llave, puede comenzar un ataque MITM.
BeEF enganchar (hook) uno o ms de los navegadores web y los utilizan como cabezas
para el lanzamiento de los mdulos de comando dirigidas y nuevos ataques contra el
sistema desde dentro del contexto del explorador.
BeEF engancha (Hook) uno o ms navegadores web como cabezas de playa para la puesta
en marcha de los mdulos de mando dirigidos . Cada navegador es probable que sea en un
contexto de seguridad diferente, y cada contexto puede proporcionar un conjunto de
vectores de ataque nicos. El marco permite que el probador de la penetracin pueda
seleccionar los mdulos especficos ( en tiempo real ) para apuntar a cada navegador , y por
lo tanto a cada contexto.
3. PROPUESTA
Propuesta
1. Presentacin:
La investigacin tiene como principal objetivo demostrar cmo se puede afectar o
aprovechar una vulnerabilidad por medio de ingeniera social a travs de un browser. Una
vez se ha logrado el objetivo de establecer la conexin se ejemplificar como direccionar
todo el trfico hacia una sola direccin IP.
2. Justificacin:
Dado que la demostracin se har por medio de un ataque, es importante mencionar que
precisamente para tener menos riesgos y vulnerabilidades es necesario conocer de que nos
defendemos.
Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden
provocar un ciberataque.
Concienciar a los profesionales de las compaas de la importancia de la seguridad
informtica en su trabajo diario.
El hacking tico analiza los sistemas y programas informticos corporativos, asumiendo el
rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el
estado real de si seguridad TI. Para llevar a cabo este hacking tico es imprescindible contar
con la autorizacin expresa de la empresa, plasmada en un contrato donde se indiquen las
obligaciones que debe cumplir el auditor (confidencialidad, integridad, secreto profesional,
lmites de la auditora, etc.). El resultado final indica los puntos dbiles de la empresa y que
3. Objetivos.
Demostrar el uso de la ingeniera social.
Utilizacin de Beef para direccionar el trfico de una pgina hacia una sola IP.
Identificar tipos de ataque por medio de browsers.
4. Organizacin Requerida.
Derivado del mbito en el que se realiza, adicional al grupo conformado por siete personas,
se necesita de dos mquinas, una con Sistema
5. Plan de Accin:
Levantar una mquina virtual con Sistema Operativo Windows
Levantar una mquina virtual con Sistema Operativo Kali Linux
Elaboracin de pgina donde se ejecutar el Script
Preparacin del Script que se ejecutar en el navegador.
Demostracin de la ejecucin y anlisis de los resultados.