Análisis de Vulnerabilidades

Valentín Martín Manzanero

Pablo González

Introducción
Análisis de Vulnerabilidades
1. Encontrar Vulnerabilidades
 Ingeniería Social
 Recoger información
2. Vulnerabilidades
 Herramientas de Escaneo
 Plataformas de Explotación
 Exploits
3. Vulnerabilidades web
 Hacking webs
 OWASP
 Webgoat, DVWA…..

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
1. Encontrar Vulnerabilidades
• Ingeniería Social
Técnica de engaño al usuario para obtener información.
• Email fraudulentos.
• Llamadas
• Faxes
• Páginas vulnerables
• Recoger información
Esta fase es para recoger todo tipo de información
• Buscadores
• Servicios Web
• Peticiones http
• Cabeceras de correos electrónicos
• Obtener información de los DNS
• Análisis Web
• Metadatos
• Analizar la información
• Obtención emails

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
2. Vulnerabilidades
• Herramientas de Escaneo
• Nessus, Openvas, Nexpose
• Herramientas de Explotación
• Metaxploit, Canvas, Core impact
• Shellcodes
• Exploits
• Tipos de Vulnerabilidades
• Explotación de vulnerabilidades en
Windows

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
3. Vulnerabilidades web
• Tipos de vulnerabilidades
• SQL injection
• XSS
• ….
• Plataformas de aprendizaje
• Webgoat
• DVWA
• mutillidae

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
1. Ingeniería Social
• La ingeniería social es una técnica que trata de engañar
y persuadir, con la pretensión de conseguir
información útil y significativa de su víctima, que puede
ser desde un pequeño usuario que lee un correo y al
ejecutar el archivo adjuntado tiene que revelar datos
personales o contraseñas, hasta una empresa o gran
organización escogida con ánimo de causar el mal.
• También puede lograr que un individuo logre
convencer a otro para introducir sus datos en un
determinado lugar que cree seguro y que luego no es así,
por ejemplo a través de llamadas telefónicas. Tiene por
tanto la intención de hacer que el individuo actúe como el
delincuente quiere que lo haga, bien haciendo clic en un
enlace, o respondiendo un correo fraudulento, etc.

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
1. Ingeniería social
• Lo más común es que la ingeniería social se lleve a cabo
a través de canales tecnológicos como por ejemplo
Internet o el teléfono, aunque también se produce cara a
cara, siendo menos habitual, ya que implica un mayor
riesgo y osadía del individuo que comete el delito.

El contacto lo
A quien va dirigido:
realiza:
• Organizaciones • Conocido, amigo o
escogidas al azar o pariente.
como objetivo. • Prestador de
• Determinado servicios.
empleado o grupo de • Autoridad.
empleados.
• Un usuario.

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
Ingeniería Social en la red
La ingeniería social se hace más importante ante la dificultad
que tienen los hackers para saltarse la seguridad de la red,
protegida mediante firewalls, control de accesos, etc; ya que
facilita la intrusión a través de la recolección de datos internos
sobre procedimientos, códigos, datos personales, etc.

Por ello es conveniente desconfiar de los correos, llamadas y

demás interacciones con desconocidos.

“El factor determinante de la seguridad de las empresas es

la capacidad de los usuarios de interpretar correctamente
las políticas de seguridad y hacerlas cumplir” - Kevin
Mitnick, consultor de seguridad informática, ingeniero
social y ex–hacker.

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
Casos
 Intento de suplantación de identidad o “phishing”
cuyo ejemplo más claro suele ser la recepción por parte del
usuario de un correo electrónico de su banco, en el que
nos envían un formulario donde tenemos que introducir los
datos personales o login, lo cual permitirá al delincuente
informático tener acceso a nuestra cuenta bancaria o vender
los datos obtenidos.
 La recepción por parte del usuario en su cuenta de
correo de postales con invitaciones o con felicitación de
fiestas navideñas de algún amigo y que te obligan a
introducir nuevamente el login, enviando los datos
obtenidos a páginas web como por ejemplo
www.hackearhotmail.com.

Título de la asignatura - Profesor de la asignatura

Análisis de Vulnerabilidades
Medidas contra el engaño
La ingeniería social intenta aprovecharse de los fallos que cometen las personas a la
Hora de divulgar la información, lo cual es muy peligroso tanto para un individuo como
para una organización, por ello hay ciertas medidas que se pueden adoptar para
evitarlo.

• concienciar a todas las personas de la organización,

especialmente aquellas que vas a transmitir información como
por ejemplo las telefonistas, secretarias y ejecutivos. Esto se
puede hacer mediante charlas informativas sobre la posible
extracción de datos por parte del intruso o ingeniero social.
También es muy importante tener muy bien organizada la
descentralización de la empresa, es decir, tener bien definidos
los segmentos a través de los cuales va a ser trasmitida la
información hasta llegar al ejecutivo.
• Se pueden hacer también pruebas de seguridad en los
distintos medios utilizados para la trasmisión de la información.
http://elblogdeangelucho.com/elblogdeangelucho/blog/2012/10/07/ingenieria-social-el-hacking-humano/

Título de la asignatura - Profesor de la asignatura

www.unir.net