Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 26 vistas

    2-Obtención de Información Privada HT

    Cargado por

    YASER ROMERO HERNANDEZ
    El documento proporciona información sobre footprinting y reconocimiento, ingeniería social y OSINT. En particular, describe los primeros pasos para obtener información sobre una organización objetivo, incluida la recopilación de datos a través de fuentes abiertas y pasivas, así como técnicas de ingeniería social para interactuar con personas dentro de la organización y obtener información confidencial.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    2-Obtención de Información Privada HT

    Cargado por

    YASER ROMERO HERNANDEZ
    26 vistas23 páginas
    El documento proporciona información sobre footprinting y reconocimiento, ingeniería social y OSINT. En particular, describe los primeros pasos para obtener información sobre una organización objetivo, incluida la recopilación de datos a través de fuentes abiertas y pasivas, así como técnicas de ingeniería social para interactuar con personas dentro de la organización y obtener información confidencial.

    Descripción original:

    privacidad informacion

    Título original

    2-Obtención de Información privada ht

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento proporciona información sobre footprinting y reconocimiento, ingeniería social y OSINT. En particular, describe los primeros pasos para obtener información sobre una organización objetivo, incluida la recopilación de datos a través de fuentes abiertas y pasivas, así como técnicas de ingeniería social para interactuar con personas dentro de la organización y obtener información confidencial.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    26 vistas23 páginas

    2-Obtención de Información Privada HT

    Cargado por

    YASER ROMERO HERNANDEZ
    El documento proporciona información sobre footprinting y reconocimiento, ingeniería social y OSINT. En particular, describe los primeros pasos para obtener información sobre una organización objetivo, incluida la recopilación de datos a través de fuentes abiertas y pasivas, así como técnicas de ingeniería social para interactuar con personas dentro de la organización y obtener información confidencial.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 23

    Obtención de

    Información

    José Palacio Velásquez


    MSc Ingeniería de Sistemas y Computación
    Especialista en Seguridad Informática
    Ingeniero Especialista Nivel 1 NST
    Certified Cobit 5 Foundation
    Auditor Interno ISO/IEC 27001:2013
    CSFPC – Cybersecurity Foundation Professional Certificate
    Advertencia

    LEY 1273 DE 2009


    De la Protección de la Información y de los Datos
    Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El
    que, sin autorización o por fuera de lo acordado, acceda en
    todo o en parte a un sistema informático protegido o no con
    una medida de seguridad, o se mantenga dentro del mismo en
    contra de la voluntad de quien tenga el legítimo derecho a
    excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a
    noventa y seis (96) meses y en multa de 100 a 1000 salarios
    mínimos legales mensuales vigentes.
    Contenido

    • Footprinting y Reconocimiento
    • Ingeniería Social
    • OSINT
    FOOTPRINTING Y
    RECONOCIMIENTO
    Footprinting y Reconocimiento
    • Primer paso de la evaluación de la postura
    seguridad de una organización.
    • La idea es obtener toda la información
    posible de la organización

    Información de la Organización Información de la Red Información del Sistema

    Ubicación de la Empresa Dominios y Subdominios Sistemas Operativos

    Detalles de Empleados Identificación de Redes Ubicación de Servidores Web

    Números de Teléfono Registros DNS Usuarios y Contraseñas

    Tecnología Utilizada Direcciones IP alcanzables Correos Electrónicos


    Tipos de Footprinting
    Footprinting Pasivo: Obtención de información sin
    interacción directa con el objetivo
    • Información en motores de búsqueda
    • Información en entidades externas

    Footprinting Activo: Interacción directa


    con el objetivo para obtener información
    • Consultas al sitio web
    • Acceso a documentos de la organización
    Objetivos del Footprinting
    Conocer la postura de seguridad de la
    organización objetivo

    Reducir el área de enfoque a redes, dominios,


    accesos específicos

    Identificar posibles vulnerabilidades para


    concentrar los escaneos en las mismas

    Construir un mapa de la infraestructura de red


    Realización del Footprinting

    Motores de
    Servicios Web Redes Sociales
    Búsqueda

    Correos
    Sitio Web OSINT
    Electrónicos

    Ingeniería
    Whois y DNS
    Social
    INGENIERÍA SOCIAL
    Ingeniería Social
    Arte de convencer a las personas para revelar
    información confidencial o participar en actividades
    delictivas de forma inconsciente.

    Conjunto de técnicas psicológicas y habilidades


    sociales utilizadas de forma consciente para
    obtener información de terceros.

    Cualquier persona de la
    empresa puede ser victima
    de ingeniería social
    Factores Vulnerables
    Entrenamiento de Las personas
    Acceso no regulado
    seguridad
    a la información desconocen lo
    insuficiente
    valiosa que es la
    información que
    Desconocimiento manejan y se
    Falta de políticas de
    seguridad
    de los compañeros descuidan en
    de trabajo
    protegerla
    No hay software o
    hardware que
    pueda ayudar en los
    ataques no técnicos
    Fases de la Ingeniería Social
    Investigar la organización objetivo
    • Redes sociales
    • Sitios web
    • Visitar la empresa
    • Buscar en la basura
    Seleccionar a la o las víctimas
    • Empleados confiados
    • Empleados enojados
    Desarrollar una relación
    • Socializar con los empleados
    Explotar la relación
    • Obtener información sensible de los empleados
    Blancos Comunes
    Recepcionistas y secretarias

    Personal de helpdesk

    Personal de soporte técnico

    Personas del área comercial

    Administradores de sistemas

    Clientes y contratistas
    Técnicas de Ingeniería Social
    Basada en Humanos:

    • Obtener información sensible por interacción


    humana

    Basada en Computación

    • Lleva a cabo con ayuda de computadores

    Basada en Móviles

    • Haciendo uso de aplicaciones para


    dispositivos móviles
    Ingeniería Social Basada en Humanos
    Inpersonation: Suplantar a una persona
    de la organización

    Eavesdropping: Escuchar pasivamente


    las conversaciones de los empleados

    Shoulder Surfing: Mirar sobre el monitor


    o sobre el hombro de un empleado

    Dumpster Diving: Buscar en la basura de


    la organización
    Ingeniería Social Basada en Humanos
    Tailgating: Seguir a una persona con
    acceso autorizado a un área
    aprovechando que aun no se ha
    cerrado la puerta

    Piggybacking: Solicitar el acceso al vigilante con el pretexto


    de que olvido su carné

    Ingeniería Social Inversa: El atacante se presenta como una


    figura de autoridad y la victima busca su consejo antes o
    después de ofrecer la información que necesita
    Ingeniería Social Basada en Computación

    • Ventanas emergentes • Redes sociales


    • Hoax • Phishing
    • Cadenas de mensajes • Estafas
    • Correos no deseados • Software maliciosos
    • Mensajería instantánea • USB Memory Dongles
    Ingeniería Social Basada en Móviles
    Apps Maliciosas
    • Malware que se comercializan como software espía,
    servicios y content providers maliciosos.

    Apps Legitimas Reempaquetadas


    • Aplicaciones móviles legitimas troyanizadas

    Fake Security Apps - Scareware


    • Aplicaciones que se muestran como antimalware y que
    comprometen al sistema operativo

    Ataques Vía SMS/MMS


    • Aplicaciones que propagan malware a través de los
    servicios de mensajería de la red celular.
    OSINT
    OSINT
    • Open Source Intelligent
    • Técnicas de Inteligencia usando fuentes abiertas
    • Uso de herramientas para obtención de
    información de fuentes desclasificadas y abiertas
    • La información pública es gratuita pero se
    encuentra en estado entrópico, por eso no es fácil
    de encontrar y explotar
    Usos de OSINT
    Conocer sobre la identidad digital de una organización o de un individuo

    Auditorias en temas de seguridad de la información

    Conocer la reputación online de personas

    Realización de perfiles de seguridad

    Estudios psicológicos

    Evaluar tendencias de mercado, etc.


    OSINT para Empresas
    Física Lógica
    • Ubicación / Dirección • Redes Sociales
    • Teléfonos / PBX-Extensiones • Presencia en Internet
    • Sucursales • Nombres de Dominio
    • Servicios o productos • ISP
    • Mercado objetivo • Servicios Tecnológicos
    • Vehículos • Cuentas de Correo
    • Propiedades • Información de Contacto
    • Empleados y Roles de los • Direccionamiento IP
    mismos • Nombre y Versión de Servicios
    • Hotos y eventos • Geolocalización de IP
    • Socios de negocios • Sistemas Operativos
    • Producción intelectual
    Fuentes de Información
    • Periódicos en Línea
    • Revistas
    • Bibliotecas en Línea • Chats y Canales IRC
    • Conferencias y Eventos • Correos Electrónicos
    • Websites de Empleos • Sitios Web Corporativos
    • Blogs y Foros • Documentos
    • Canales en Línea • Fotografías
    • Plataforma
    Tecnológica

    También podría gustarte