hackeo ético

Obteniendo credenciales en redes internas sin despeinarse

Por |2019-02-09T17:37:02-06:00noviembre 29th, 2015|

Introducción En algunas ocasiones al momento de llevar a cabo una prueba de penetración interna, nos encontramos con que los equipos analizados se encuentran con sus correspondientes actualizaciones al día. Esto es porque la “seguridad de los sistemas” fue tomando poco a poco un alto lugar sobre las prioridades al momento de efectuar las tareas [...]

Retomando el valor de un análisis de vulnerabilidades

Por |2019-02-17T19:36:53-06:00junio 12th, 2012|

Cuando se habla de análisis de vulnerabilidades, también denominado AV, regularmente se asocia a la ejecución de una herramienta automatizada que detecta vulnerabilidades conocidas y cuando alguien me pregunta ¿Mi infraestructura necesitará un análisis de vulnerabilidades?, siempre trato que entre ambos tomemos en cuenta algunas consideraciones. Un análisis de vulnerabilidades es más que la ejecución [...]

Las pruebas de penetración: más que comprometer sistemas

Por |2019-02-17T21:38:37-06:00febrero 29th, 2012|

Durante el mes de diciembre de 2011, en un foro[i] de discusión se comentaba si las pruebas de penetración ya no aportan el valor que deberían, e incluso se decía que no es posible calcular el ROI (retorno de inversión, por sus siglas en inglés). Esta discusión no es nueva, incluso Schneier[ii] ha dado a [...]

Antivirus, PE, backdoor y otras cosas (segunda parte)

Por |2019-02-08T17:35:58-06:00noviembre 8th, 2011|

En la primera parte de este artículo revisé cómo es posible modificar la estructura y el flujo de un programa con el fin de colocar en él código malicioso que permita a un atacante tomar control del sistema donde se ejecuta dicho programa. En esta segunda parte trataré de explicar algunas de las técnicas que [...]

Antivirus, PE, backdoor y otras cosas (primera parte)

Por |2019-02-17T21:42:35-06:00noviembre 7th, 2011|

Cuando se habla de brincarse las restricciones de seguridad que implementan los controles tecnológicos tales como antivirus, IPS, firewall, se puede llegar a pensar en artes oscuras que están fuera de nuestro alcance, sin embargo no es así; como parte de una serie de artículos pretendo abordar cómo es posible evadir software antivirus mediante la [...]

¿Qué tan seguro es realizar sus actividades en dispositivos móviles?

Por |2019-02-17T21:46:01-06:00noviembre 7th, 2011|

La mejor noticia para quienes utilizamos Internet es que ahora sus posibilidades están al alcance de cualquier usuario y, al mismo tiempo, la peor noticia para los que utilizamos Internet es que precisamente esas posibilidades estén al alcance de cualquier usuario. Los más recientes avances en redes y comunicaciones nos han permitido disponer de conexiones [...]

El capital humano

Por |2019-02-17T22:04:35-06:00noviembre 7th, 2011|

Hace algún tiempo una persona conocida tuvo que viajar por cuestiones laborales a un país que se encontraba inmerso en conflictos internos y por esta razón se consideraba un lugar peligroso. La empresa para la que trabajaba decidió contratar un seguro que protegía no solo la integridad física de esta persona, sino también el valor [...]

Ingeniería Social: eludiendo el «firewall humano»

Por |2019-02-08T18:10:16-06:00enero 21st, 2011|

El mundo de la seguridad de la información está siempre en evolución, los hackers constantemente desarrollan maneras de evitar las medidas de seguridad multi-capa que las organizaciones establecen en su perímetro, usando para ello nuevos vectores de ataque altamente sofisticados, creativos y devastadores. Es por ello que, como profesionales de la seguridad, necesitamos estar un [...]

Seguridad en aplicaciones

Por |2019-02-09T17:26:18-06:00junio 30th, 2010|

Cada vez las aplicaciones tienen mayores funcionalidades y proveen mayor acceso a la información sensible del negocio, por otro lado la velocidad a la que crece esta información en la mayoría de las organizaciones sobrepasa su capacidad de protegerla y gestionarla: La evolución rápida y constante de las técnicas de hacking es indiscutible: se estima [...]

Logrando credibilidad en los esfuerzos de seguridad (parte 4)

Por |2019-02-10T21:12:02-06:00junio 30th, 2010|

En la última entrega de la serie, se revisarán escenarios de riesgo para ejemplificar su uso como herramienta para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad; también se hablará brevemente del ROSI (return on security investment) y, finalmente, se darán algunas conclusiones.   Escenarios de riesgo  El objetivo de los escenarios [...]