JAVIER MAURICIO ALVAREZ VARGAS Instructor Director

Socialización de Pruebas de Seguridad

Contraer

Cordial saludo

Esta evidencia consiste en interactuar con los demás participantes del proceso
formativo, socializando alrededor de los documentos presentados sobre pruebas
de penetración y Hacking ético, además completamente consultando sobre
Hacking database y SQL-Injection. En el foro “Socialización de pruebas de
Seguridad”, cada Aprendiz debe participar haciendo sus aportes de manera
respetuosa, amable y consiente, siguiendo el siguiente procedimiento:

1. Publicar un mensaje donde socialice con sus compañeros la respuesta a las

preguntas:

• ¿Qué es ser un hacker ético?

• En Colombia, en los últimos años se han presentado situaciones muy
renombradas relacionadas con el Hacking. ¿Qué opina al respecto?
• ¿Qué es SQL-Injection?
• ¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

2. Revisar los mensajes de al menos dos de sus compañeros y opinar

complementando las
respuestas.

saludos!

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 17 días
 YEISON ALEJANDRO VALENCIA HOLGUIN
RE: Socialización de Pruebas de Seguridad
Contraer

- un hacker etico es aquel que utiliza sus conocimientos de informática y seguridad

para encontrar vulnerabilidades o fallas de seguridad en el sistema, con el objetivo
de reportarlas en la organización para que se tomen todas las medidas
necesarias.

- pues puede ser bueno en algunas cosas pero en otras no, porque se podria
evitar muchas amenazas informaticas y se podria ayudar al gobierno con esas
solicitudes como lo estaba haciendo el hacker sepulveda.

- es un método de infiltración de código intruso que se vale de una vulnerabilidad

informática presente en una aplicación en el nivel de validación de las entradas
para realizar operaciones sobre una base de datos.

- se puede prevenir organizadon muy bien la base de datos y no tener contraseñas

que se distingan entre si y pues protejela con los programas licenciados y no
pirateados.

el codigo mas comun de inyeccion SQL es: 'OR'1'='1;

para ser consultas o llamadas con el equipo anfitrion se podria hacer un ping a la
IP requerida.

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 14 días
 AHARON ALEXANDER AGUAS NAVARRO
RE: Socialización de Pruebas de Seguridad
Contraer

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 14 días

MAURICIO BERMUDEZ JIMENEZ

RE: Socialización de Pruebas de Seguridad
Contraer
¿Qué es ser un hacker ético?
Es un experto en computadoras, plataformas y redes de datos, su función es atacar
los sistemas de seguridad, con la intención de buscar y encontrar vulnerabilidades
que de otra forma podrían ser explotados de manera maliciosa.
Los hackers éticos también son conocidos como Pen-Tester, ya que realizan “Pruebas
de Penetración”. Aunque en general utilizan las mismas técnicas que los hackers
tradicionales, su deber es reportar las fallas, más que el aprovechamiento de eso.
Otra denominación que se da a estos expertos es la de White-Hat hackers, haciendo
alusión a las películas del viejo oeste donde el “bueno” llevaba sombrero blanco.
Tomado
de: https://senaintro.blackboard.com/bbcswebdav/institution/semillas/217219_1_VIRTUAL/O
AAPs/OAAP6/recursos/ethical_hacking.pdf
En Colombia, en los últimos años se han presentado situaciones muy
renombradas relacionadas con el Hacking. ¿Qué opina al respecto?
Con la aparición de las nuevas tecnologías también se han desarrollado formas de
estafa, robos o ataques a través de internet. En los últimos años, algunos de los
llamados 'hackers' han caído luego de los seguimientos policiales a sus ciberdelitos,
como 'Oroboruo', el paisa que atacó días antes de las votaciones del plebiscito a la
Registraduría.
El caso de Andrés Sepúlveda es el más emblemático de un hacker en Colombia.
El joven protagonizó un escándalo que sacudió las elecciones presidenciales en 2014,
que tenían en la disputa de la segunda vuelta a Juan Manuel Santos y Óscar Iván
Zuluaga, cuando fue allanada su oficina para desenmascarar al hacker que tenía
entre sus pertenencias documentos de inteligencia sobre el proceso de paz con las
Farc.
De acuerdo con las autoridades, con esa información se pretendía sabotear los
diálogos y estaba contenida en ocho computadores, varias USB, documentos
de la Fuerza Pública, listados de desmovilizados de la guerrilla y reportes sobre
campañas políticas.
Además, sorprendió que Sepúlveda para el momento de su captura se desempeñaba
como contratista de la campaña de Óscar Iván Zuluaga, para quien laboraba en
seguridad cibernética y redes sociales.
En las investigaciones se conoció que el hacker años atrás había trabajado en las
campañas de Álvaro Uribe (2005-2006) y Juan Manuel Santos (2010), de la mano del
polémico asesor venezolano J. J. Rendón.
Entre los documentos más relevantes que accedió de la Mesa de Diálogos, se
encontraban archivos de asuntos técnicos; fotografías que se enviaron desde y
hacia correos de las Farc, entre otros.
Sepúlveda paga una condena de 10 años de cárcel por espiar e interceptar
conversaciones de manera ilegal de los negociadores del proceso de paz entre el
Gobierno y las Farc. También, se le imputaron cargos como concierto para delinquir,
acceso abusivo informático, uso de software malicioso y violación de datos
personales.
Fuente: Periódico “El Tiempo”
https://www.eltiempo.com/justicia/cortes/delitos-de-hackers-en-colombia-52232
Opinión personal:
Según lo anterior se puede observar de como el hacking en Colombia ha sido
ejecutado en el desarrollo de celebraciones democráticas muy importantes para el
país, como es el caso de las mismísimas elecciones presidenciales. Lo anterior
adoptado como estrategia o más bien “arma de guerra” por los mismos políticos
protagonistas de las determinadas contiendas electorales realizadas, con fines
obviamente de poder.

¿Qué es SQL-Injection?
La inyección SQL es una técnica de inyección de código que puede destruir su base
de datos.
La inyección SQL es una de las técnicas de piratería web más comunes.
La inyección SQL es la colocación de código malicioso en las declaraciones SQL, a
través de la entrada de la página web.
Tomado de: https://www.w3schools.com/sql/sql_injection.asp

¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

Para proteger un sitio web de la inyección SQL, puede usar parámetros SQL.
Los parámetros SQL son valores que se agregan a una consulta SQL en tiempo de
ejecución, de manera controlada.
ASP.NET Razor Example
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = @0";

db.Execute(txtSQL,txtUserId);

Tenga en cuenta que los parámetros se representan en la instrucción SQL mediante

un marcador @.

El motor SQL verifica cada parámetro para asegurarse de que sea correcto para su
columna y se trate literalmente, y no como parte del SQL que se ejecutará.

Tomado de: https://www.w3schools.com/sql/sql_injection.asp

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 14 días

EDWIN JAVIER RIASCOS MANCERA

RE: Socialización de Pruebas de Seguridad
Contraer

¿Qué es ser un hacker ético?

R// Un hacker ético, también conocido como hacker de sombrero blanco, es un experto en
seguridad de la información que intenta penetrar sistemáticamente en un sistema
informático, red, aplicación u otro recurso informático en nombre de sus propietarios, y con
su permiso, para encontrar seguridad vulnerabilidades que un hacker malicioso podría
explotar potencialmente.

El propósito de la piratería ética es evaluar la seguridad e identificar vulnerabilidades en

sistemas, redes o infraestructura de sistemas. Incluye encontrar e intentar explotar cualquier
vulnerabilidad para determinar si es posible el acceso no autorizado u otras actividades
maliciosas.
En Colombia, en los últimos años se han presentado situaciones muy renombradas
relacionadas con el Hacking. ¿Qué opina al respecto?

R// La razón principal por la cual las computadoras son inseguras es que la mayoría de los
compradores no están dispuestos a pagar, en dinero, características o tiempo de
comercialización, para que la seguridad se incorpore a los productos y servicios que desean.
Como resultado, estamos atrapados con protocolos de Internet pirateables, computadoras
que están plagadas de vulnerabilidades y redes que son fácilmente penetrables.

Hemos aceptado esta tenue situación porque, durante mucho tiempo, la seguridad
informática se ha centrado principalmente en los datos. Los datos bancarios almacenados
por las instituciones financieras pueden ser importantes, pero nadie muere cuando es
robado. Independientemente de cuán malos sean estos hacks, históricamente ha sido más
barato aceptar los resultados que solucionar los problemas. Pero la naturaleza de cómo
usamos las computadoras está cambiando, y eso conlleva mayores riesgos de seguridad.

¿Qué es SQL-Injection?

R// La inyección SQL es una vulnerabilidad de seguridad web que permite que un atacante
interfiera con las consultas que una aplicación realiza en su base de datos. En general,
permite a un atacante ver datos que normalmente no pueden recuperar. Esto puede incluir
datos que pertenecen a otros usuarios o cualquier otro dato al que la aplicación pueda
acceder. En muchos casos, un atacante puede modificar o eliminar estos datos, causando
cambios persistentes en el contenido o el comportamiento de la aplicación.

En algunas situaciones, un atacante puede escalar un ataque de inyección SQL para

comprometer el servidor subyacente u otra infraestructura de fondo, o realizar un ataque de
denegación de servicio.

¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

R// La única forma segura de prevenir los ataques de inyección SQL es la validación de
entrada y las consultas parametrizadas, incluidas las declaraciones preparadas. El código de
la aplicación nunca debe usar la entrada directamente. El desarrollador debe desinfectar
todas las entradas, no solo las entradas del formulario web, como los formularios de inicio
de sesión. Deben eliminar posibles elementos de código malicioso, como comillas simples.
También es una buena idea desactivar la visibilidad de los errores de la base de datos en sus
sitios de producción. Los errores de la base de datos se pueden usar con la inyección SQL
para obtener información sobre su base de datos.

Responder Citar Escribir correo electrónico al autor

Ocultar 1 respuesta

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 13 días

JAVIER MAURICIO ALVAREZ VARGAS Instructor Director

RE: Socialización de Pruebas de Seguridad
Contraer

gracias por tu aporte

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 12 días

ERIKA TATIANA AYALA JIMENEZ

RE: Socialización de Pruebas de Seguridad
Contraer

 Qué es ser un hacker ético?

Hacking ético es una forma de referirse al acto de una persona, o mejor conocido como hacker,
que utiliza sus conocimientos de informática y seguridad para encontrar vulnerabilidades o fallas de
seguridad en el sistema, con el objetivo de reportarlas en la organización para que se tomen todas
las medidas necesarias que posibilite prevenir una catástrofe cibernética, como el robo de
información. Los profesionales que se dedican al Hacking ético, practican una serie de pruebas o
test denominados Test de penetración, cuyo objetivo es poder burlar las diferentes vallas de
seguridad que tiene la red para diferentes organizaciones, con la única intención de probar su
efectividad, o por el contrario, demostrar la vulnerabilidad de aquel sistema.
  En Colombia, en los últimos años se han presentado situaciones muy renombradas
relacionadas con el Hacking ?

Oroboruo’, el paisa de los más de 3.000 ataques a dominios del gobierno

A sus 27 años, ‘Oroboruo’, nombre en el mundo cibernético de la persona que atacó la página web
de la Registraduría previo a las votaciones del plebiscito, vulneró en 3.196 oportunidades a 1.374
dominios, muchos de ellos del gobierno, a los que les inyectaba códigos maliciosos y también los
desconfiguraba. La guarida desde donde ‘Oroboruo’ realizaba sus ataques cibernéticos era su
casa, en el barrio Buenas Aires, en Medellín, donde llegaron las autoridades de la Policía para
capturarlo.

Fuente: https://www.eltiempo.com/

 Qué es SQL-Injection?

El sql injection es un tipo de ataque a una base de datos en el cual, por la mala filtración de las
variables se puede inyectar un código creado por el atacante al propio código fuente de la base de
datos.

 Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

1. Asignar mínimos privilegios al usuario que conectará con la base de datos

2. Verificar siempre los datos que introduce el usuario
3. Escapar los caracteres especiales utilizados en las consultas SQL
4. Delimitar los valores de las consultas
5. Programar bien, poniendo en práctica las necesidades básicas y el interés para desarrollar
una aplicación totalmente segura

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 12 días

CRISTIAN GIOVANNY RODRIGUEZ ACEVEDO

RE: Socialización de Pruebas de Seguridad
Contraer

• ¿Qué es ser un hacker ético?

Es quien, en ambientes controlados, despliega "Ataques" documentados, donde se validan

las protecciones de seguridad que deben tener las organizaciones y como están preparadas
para enfrentar ataques reales y así garantizar la continuidad de las operaciones. Está a
cobrado gran importancia debido al crecimiento tecnológico y capacidad de poder afectar
organizaciones de gran tamaño.

• En Colombia, en los últimos años se han presentado situaciones muy renombradas

relacionadas con el Hacking. ¿Qué opina al respecto?

Definitivamente es un hecho que nos ha afectado directa o indirectamente, en mi caso vi

como una empresa de tecnología del sector salud en Colombia fue afectada con la
modalidad de secuestro de la información, se podría decir que no fueron tan grandes las
perdidas pero si dejo en evidencia que a pesar de que existían controles y se estaba
trabajando en implementaciones de Seguridad ISO, se requería ser más estrictos en las
aplicaciones de estas políticas ya que por excepciones se logró la falla de seguridad.

De aquí que han llegado al país empresas con que ofrecen los servicios de Hacker ético y
soluciones se bloqueó y prevención de ataques desde el momento cero de la creación.

• ¿Qué es SQL-Injection?

En los desarrollos es la vulnerabilidad generada donde al no utilizar buenas prácticas de

construcción de software se pueden embeber instrucciones que permiten extraer o dañar
información directamente a las bases de datos.

¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

Una de las formas es usar el "ORM" de los Framework de desarrollo para separar la capa
de acceso a datos y prevenir esta modalidad de ataques.

también, el lograr detallar los usuarios a conectarse y que objetos y procesos van a realizar
(podría a llegar a ser complicidad su implementación, pero aporta un alto nivel en
seguridad)

Pero en general creo que este se debe mitigar desde la construcción del software que
realmente es la interfaz usadas para la ejecución de estos tipos de ataques.

Responder Citar Escribir correo electrónico al autor

Mensaje no leído
Marcar como no leído
Mensaje no marcado
Definir indicador

Hace 11 días

EDWYN IVAN SALAMANCA MACIAS

RE: Socialización de Pruebas de Seguridad
Contraer

¿Qué es ser un hacker ético?

utilizar conocimientos avanzados en Seguridad, comunicaciones, Sistemas Operativos, DB

ETC, para encontrar
fallas de seguridad y huecos o fallas en los sistemas, en este punto se contempla

-->Fallas en Sistemas operativos

-->Fallas a nivel de Firewalls
-->Fallas de seguridad en redes
-->Fallas de seguridad en conexiones a internet
-->Fallas de seguridad en aplicaciones

El objeto de hacer test de vulnerabilidades por parte de un {hacker ético} es encontrar

estas fallas y con base a esto tomar
las acciones correctivas y asi prevenir que personas inescrupulosas atenten contra los
sistemas generalmente con fines de lucro o simplemente con fines de destruir un sistema e
incluso una organizacion.

En Colombia, en los últimos años se han presentado situaciones muy renombradas

relacionadas con el Hacking. ¿Qué opina al respecto?

El muy sonado caso del haker "sepulveda" en mi concepto es un caso mas de distraccion,
pues es una persona que en lo que escuche no es conocido en el medio informatico o por
sus caulidades como experto informatico, de igual forma un haker con avanzadas
destrezas lo primero que busca es evitar ser encontrado para lo cual utiliza multiples
estrategias, para el caso "sepulveda" fue encontrado facilmente
¿Qué es SQL-Injection?
SQL-Injection es una metodologia utilizada para capturar trazas de codigo enviado desde
aplicaciones las cuales generalmente son aplicaciones Web y que por lo general son mal
construidas, Ej si una aplicacion dentro del codigo utiliza nombres de base de datos o
nombres de tablas y campos y es facilmente capturable es muy facil de decifrar la
estructura y asi poder enviar un ataque, de igual forma se encuentran aplicaciones que
incluso delatan la cadena de conexion con usuario y password, este es un error aun mas
grave pues al interceptar esta cadena un haker ya tiene todo lo nesesario para acceder a la
base de datos

¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

-->Cifrado de trafico
-->Utilizacion de certificados SSL
-->Utilizacion de las mejores practicas en desarrollo de aplicaciones
-->Utilizacion de sinonimos para ofuscar nombres de objetos en la base de datos
-->Encripcion de codigo T-SQL a nivel de base de datos, EL Procedimientos amlacenados
enciptados en la base de datos