Instructor:
Ing. Ruben Suxo Camacho
CEH – CISO – ACE – MTA
Expositor
@ru316 rsuxo@moebiusec.com
Ingeniero en Sistemas de Información .
Estudios: UCB – Tecnológico de Monterrey
(ITESM) Zacatecas
MTA, CEH, ACE, CISO
Actividades académicas (tutor
universitario y cursos)
Pentester
Apacionado por la Seguridad Informática
Gerente General y Fundador de Moebius
Security.
hacker cracker
lamer
phreaker
white-hat
script-kiddie
security professional
gray-hat
ethical hacker
hacktivista black-hat
MODULO 1:
Nociones Básicas de un Ethical
Hacking
“La copia, reproducción, transmisión, captación o
grabación de imágenes, sonido o video, uso de
información o datos vertidos en la presente presentación
(sea cuál sea el formato de la misma), no podrá ser
realizada por ningún procedimiento físico, electrónico o
mecánico, incluyendo de manera enunciativa más no
limitativa copias electrónicas, fotocopias, fotografías o
videos, grabaciones magnéticas, o cualquier forma o
sistema de almacenamiento o transmisión de información,
ello sin que medie permiso y autorización por escrito por
parte de Moebius Security ”
Que pasa en 60 segundos?
Seguridad en el mundo
Mundial
Mundial
Intel Security
• Países con mejor ciberseguridad:
• Intel Security and CSIS reveals best cybersecurity
talent.
– Australia
– France
– Germany
– Israel
– Japan
– U.S.
– U.K.
Latinoamerica
• Solo seis países de América Latina y el Caribe
tienen estrategias de seguridad cibernética,
mientras que la mayoría no están preparados
ante las nuevas amenazas, según un informe
del Banco Interamericano de Desarrollo (BID)
y la Organización de Estados Americanos
(OEA) - 2016
Paises con mejor ciber seguridad
• Brasil
• Colombia
• Jamaica
• Panamá
• Trinidad y Tobago
• Uruguay
Situación en bolivia
• Csirt Bolivia
Situación en Bolivia
Situación en Bolivia
Situación en Bolivia
Situación Boliviana
• Según ITU (International Telecomunication
Union) los países con mejor perfil en ciber
seguridad en América son:
Situación en Bolivia
Seguridad en Bolivia
Seguridad en Bolivia
Seguridad en Bolivia
Una realidad en Bolivia
• Se están formando mas “crackers” y menos
profesionales en seguridad.
• Lujo o necesidad
Nuevas Generaciones
Resto del mundo…
Lo que se vee
Evolución de ataques
XSS
distributed DoS Internet worms
vulnerability scanners
denial of service advanced scanning techniques
www attacks
packet spoofing tools with GUIs
backdoors & Trojan horses network management diagnostics
packet sniffing
disabling audits password cracking
session hijacking
Isaac
Jacob
Tech Model Railroad Club TMRC
Lammer
Newbie
Tipos de Hackers
Cracker Wizard
Phreaker
Tipos de Hackers
Master Samurai
Un hacker NO es
un criminal
• Disfruta investigar
• Siempre ayuda
Características de un hacker
• Curioso
• Perseverante
• Paciente
¿Por qué ser ético?
Ética:
«Conjunto de costumbres y normas
que dirigen o valoran el
comportamiento humano en una
comunidad para el bien»
Hacking Ético
Muy costosas
Consume tiempo
No gana licitaciones
No hay estándares de calidad
Subvaloradas
Poca especialización
Trabajar y estudiar
Certificaciones
Estándar Internacional
Si gana licitaciones
Especialización en áreas más
especificas
Muy prácticas
Corto tiempo
Más baratas que una maestría
Aceptada internacionalmente
Certificaciones
Al aprobar por un solo
examen, es posible de hacer
trampa.
No es suficiente para dar
clases en una universidad.
Único examen final (teórico o
práctico).
Abuso de creación de miles de
certificaciones falsas.
Fecha de caducidad.
PREGUNTA
• Cuales son las certificaciones más conocidasen
el mercado actual?
Certificaciones de Gestión
Certificaciones Técnicas
Terminología
HACKER
Terminología
Terminología
• Hack Value
Worth doing!!!!
Terminología
• Probabilidad
Terminología
• Impacto
Seguridad de la Información
Seguridad de la Información
No
confidencialidad integridad disponibilidad autenticidad
Repudio
Triangulo SFU
Objetivo y Ataque
Ataque
=
Motivación + Método + Vulnerabilidad
Tipos de Atacantes
Categoria de Amenazas
RECONOCIMIENTO
Reconocimiento
Reconocimiento
Adquisición de información
Adquisición de información SIN
INTERACTUANDO
INTERACTUAR DIRECTAMENTE
DIRECTAMENTE CON EL
CON EL OBJETIVO
OBJETIVO por cualquier medio
Por ejemplo: Buscar registros
Por ejemplo: Llamadas
enj internet
telefónicas
Fases de un EH
RECONOCIMIENTO SCANNING
Scanning
Se refiere a realizar
Escaneo de puertos
un escaneo general Atacante extrae
incluye dialers, port
teniendo como información como
scanners, Network
base la información nombres de los
mapping,
obtenida en la fase equipos, IPs y
vulnerability
de INFORMATION usuarios
scanners. etc
GATHERING
Fases de un EH
TENER
RECONOCIMIENTO SCANNING
ACCESO
Gaining Access
Fases de un EH
TENER MANTENER
RECONOCIMIENTO SCANNING
ACCESO ACCESO
Mantener Acceso
VIRTUAL
Preguntas?