type: guide
title: "00 Certified Ethical Hacker - Start Here"
source: "Inbox import"
tags:
  - topic/intelligence-analysis
  - method/review
processed: true
status: seedling

00 Certified Ethical Hacker - Start Here

Nota importada desde Inbox durante consolidacion bulk.

Briefing de Ciberseguridad: Fundamentos, Metodologías y Contramedidas Avanzadas

1. Introducción al Hacking Ético y la Ciberseguridad

El hacking ético se presenta como una disciplina esencial para fortalecer la ciberseguridad. Se define como "el uso de herramientas y técnicas de los atacantes para identificar y corregir vulnerabilidades de forma legal y autorizada, con el objetivo de fortalecer la postura de seguridad de una organización." (01 Introducción a Hacking Ético, p. 1). Su objetivo principal es "vencer a un hacker pensando como uno" (01 Introducción a Hacking Ético, p. 1).

Los cinco pilares fundamentales de la seguridad de la información son:

Confidencialidad: Garantiza que la información solo sea accesible para personal autorizado.
Integridad: Asegura la fiabilidad de los datos, previniendo alteraciones no autorizadas.
Disponibilidad: Asegura que los sistemas y datos estén accesibles para los usuarios autorizados cuando se necesiten.
Autenticidad: Confirma que una comunicación, documento o dato es genuino.
No Repudio: Proporciona una garantía de que el emisor de un mensaje no puede negar haberlo enviado y el receptor no puede negar haberlo recibido. (01 Introducción a Hacking Ético, p. 1)

Los tipos de hackers se clasifican según sus motivaciones y la legalidad de sus acciones:

Black Hats: Con fines maliciosos o destructivos.
White Hats (Hackers Éticos): Para propósitos defensivos, con permiso.
Gray Hats: Operan ofensiva y defensivamente, a menudo sin permiso.
Script Kiddies: Usan herramientas de otros sin habilidades avanzadas.
Hacktivistas: Usan el hacking para promover una agenda política o social.
Hackers Patrocinados por el Estado: Empleados por gobiernos para espionaje cibernético. (01 Introducción a Hacking Ético, p. 2)

2. Metodologías de Ataque

Las técnicas de hacking ético siguen metodologías estructuradas que imitan un ciberataque real:

Metodología de Hacking CEH (CHM): Proceso sistemático de cinco fases:

Footprinting y Reconocimiento: Recopilar la mayor cantidad de información sobre el objetivo, de forma pasiva (sin interacción directa, ej. Whois) y activa (interactuando, ej. escaneos). (01 Introducción a Hacking Ético, p. 2; 02 Huellas Digitales y Reconocimiento, p. 1) Las técnicas incluyen el análisis de redes sociales, sitios web, correos electrónicos y la ingeniería social.
Escaneo: Identificar hosts activos, puertos abiertos y servicios en ejecución utilizando la información del footprinting. (01 Introducción a Hacking Ético, p. 2)
Enumeración: Establecer conexiones activas para obtener información detallada como nombres de usuario, recursos compartidos y configuraciones. (01 Introducción a Hacking Ético, p. 2; 04 Enumeración, p. 1) La enumeración "tiene como objetivo principal la recopilación detallada de información sobre el sistema o la red objetivo" (04 Enumeración, p. 1).
Análisis de Vulnerabilidades: Examinar sistemas y aplicaciones para identificar, medir y clasificar debilidades de seguridad. Una vulnerabilidad es "una debilidad en un activo que puede ser explotada por agentes de amenaza" (05 Análisis de Vulnerabilidades, p. 1). Este proceso utiliza puntuaciones como CVSS y bases de datos como CVE/NVD.
Hacking del Sistema (System Hacking): La fase de explotación real, que incluye la obtención de acceso, escalada de privilegios, mantenimiento del acceso y borrado de huellas. (01 Introducción a Hacking Ético, p. 2)

Metodología Cyber Kill Chain (Lockheed Martin): Describe siete fases de una intrusión avanzada, permitiendo a los defensores interrumpir el ataque:

Reconocimiento: Investigación del objetivo.
Armamento (Weaponization): Creación de un payload malicioso.
Entrega (Delivery): Transmisión del arma al objetivo.
Explotación: Activación del código malicioso.
Instalación: Instalación de malware o backdoor.
Comando y Control (C2): Establecimiento de comunicación con el servidor del atacante.
Acciones sobre los Objetivos: Cumplimiento del objetivo final del ataque. (01 Introducción a Hacking Ético, p. 3)

3. Técnicas y Ataques Comunes

Los atacantes emplean diversas técnicas, clasificadas por su naturaleza:

Ataques Pasivos vs. Activos: Los pasivos interceptan y monitorizan el tráfico sin alterarlo (ej. sniffing). Los activos alteran los datos o interrumpen la comunicación (ej. DoS, MitM). (01 Introducción a Hacking Ético, p. 1)
Ingeniería Social: "El arte de convencer a las personas para que revelen información confidencial" (09 Ingeniería Social, p. 1). Explota la psicología humana (autoridad, urgencia, confianza) a través de técnicas como el phishing (correo, voz-vishing, SMS-smishing), el shoulder surfing, el dumpster diving, la suplantación de identidad y el "cebo" (baiting). Es una de las amenazas más persistentes y efectivas.
Ataques de Contraseñas: Métodos para obtener acceso inicial. Incluyen ataques no electrónicos (ingeniería social, shoulder surfing, dumpster diving), activos en línea (diccionario, fuerza bruta, password spraying, pass-the-hash, envenenamiento LLMNR/NBT-NS, Kerberoasting), pasivos en línea (wire sniffing, MitM) y fuera de línea (tabla rainbow). (06 Hacking de Sistemas, p. 2)
Malware: "Software malicioso que daña o deshabilita los sistemas informáticos y otorga un control limitado o total de los sistemas al creador del malware con fines de robo o fraude." (07 Malware Threats, p. 1). Incluye troyanos (RATs, backdoors, botnets, e-banking), virus (polimórficos, metamórficos, de macro), gusanos y ransomware. Las Amenazas Persistentes Avanzadas (APT) son ataques sigilosos y de larga duración cuyo objetivo es la exfiltración continua de información sensible. (07 Malware Threats, p. 1)
Sniffing: Interceptación pasiva o activa del tráfico de red para capturar información sensible. Se usan ataques MAC (MAC Flooding, Switch Port Stealing), DHCP (DHCP Starvation, Rogue DHCP Server) y ARP Poisoning. (08 Sniffing, p. 1)
Denegación de Servicio (DoS/DDoS): Hacen que un sistema o servicio sea inaccesible para sus usuarios legítimos. Los DoS se lanzan desde una única fuente, los DDoS desde una "multitud de sistemas comprometidos (Botnet)" (10 Denegación de Servicio, p. 1). Se clasifican en ataques volumétricos (UDP/ICMP/SYN Flood, Smurf), de protocolo (Ping of Death) y de capa de aplicación (HTTP Flood, Slowloris). El PDoS causa daño irreversible al hardware. (10 Denegación de Servicio, p. 2)
Hacking de Servidores Web: Compromiso de la infraestructura web. Incluye DNS Server Hijacking (redirigir tráfico a sitios maliciosos), Directory Traversal (acceso a archivos restringidos), Website Defacement (alteración visual), Web Server Misconfiguration (errores de configuración), SSH Brute Force y ataques a aplicaciones web (SQLi, XSS, CSRF). (13 Hacking Web Servers, p. 2)
Hacking de Aplicaciones Web: Explotación de vulnerabilidades en las aplicaciones. Se enfoca en los riesgos del OWASP Top 10 (ej. A01: Control de Acceso Roto, A02: Fallas Criptográficas, A03: Inyección). Las técnicas de inyección (SQLi, XSS, Command Injection) son comunes. (14 Hacking Web Applications, p. 2)
SQL Injection (SQLi): "Un fallo en las aplicaciones web y no un problema de la base de datos o del servidor web" (15 SQL Injections, p. 1). Explota entradas no sanitizadas para ejecutar comandos SQL maliciosos en la base de datos. Tipos: In-band (basada en errores, UNION, tautología, consultas apiladas), Inferencial/Ciega (booleana, basada en tiempo) y Out-of-Band.
Hacking de Redes Inalámbricas: Explotación de vulnerabilidades en Wi-Fi y Bluetooth. Incluye Rogue AP (puntos de acceso falsos), Evil Twin (gemelo maligno), ataques de desautenticación, KRACK (Key Reinstallation Attack), Jamming y MAC Spoofing. Los protocolos WEP y WPA son altamente vulnerables. (16 Wireless Networks, p. 2)
Hacking de Plataformas Móviles: Ataques a dispositivos Android e iOS. Vectores: el dispositivo (rooting/jailbreaking, manipulación de código), la red (sniffing, MitM, SS7 exploitation, Simjacker) y la nube. Riesgos clave del OWASP Top 10 Mobile. (17 Hacking Mobile Platforms, p. 2)
Hacking de IoT y OT: Explotación de dispositivos conectados y sistemas de control industrial. Incluye DDoS, explotación de sistemas HVAC, Rolling Code (llaves sin contacto), BlueBorne (Bluetooth), Jamming y ataques basados en Radio Definida por Software (SDR). Los PLC (Controladores Lógicos Programables) son un objetivo crítico. (18 IoT Hacking, p. 2)
Hacking en la Nube: Explotación de entornos de cloud computing. Incluye Service Hijacking (ingeniería social, sniffing), ataques Side-Channel/Cross-guest VM, Wrapping Attack (SOAP), Man-in-the-Cloud (MITC), Cloud Hopper, Cryptojacking y Cloudborne (firmware). El Modelo de Responsabilidad Compartida es fundamental: "El proveedor es responsable de la 'seguridad de la nube' (infraestructura física...), el cliente es responsable de la 'seguridad en la nube' (datos, configuración de acceso...)" (19 Cloud Computing, p. 2).
Evasión de IDS, Firewalls y Honeypots: Los atacantes buscan pasar desapercibidos por los sistemas de seguridad. Técnicas incluyen Insertion/Evasion Attacks, Fragmentación de Paquetes (Overlapping Fragments), Tunneling (ICMP, ACK, HTTP/HTTPS, DNS), Ofuscación (Unicode, shellcode polimórfico), IP Spoofing y VLAN Hopping. (12 Evading IDS, Firewall and Honeypots, p. 2)

4. Criptografía y Seguridad de Datos

La criptografía es el "arte y la ciencia de asegurar la información y las comunicaciones mediante el uso de códigos." (20 Cryptography, p. 1). Sus objetivos fundamentales son Confidencialidad, Integridad, Autenticación y No Repudio. (20 Cryptography, p. 1)

Cifrado Simétrico (clave secreta): Utiliza una única clave para cifrar y descifrar. Rápido, pero el intercambio seguro de la clave es un desafío. Ej. AES, DES (obsoleto).
Cifrado Asimétrico (clave pública): Utiliza un par de claves (pública y privada). Resuelve el problema de distribución de claves, base de firmas digitales y PKI. Más lento. Ej. RSA, Diffie-Hellman, ECC.
Funciones Hash (Message Digest): Algoritmos que producen un valor de tamaño fijo (hash) a partir de una entrada, usado para verificar la integridad. Ej. SHA (SHA-256/512 recomendados), MD5/SHA-1 (vulnerables a colisiones).
PKI (Infraestructura de Clave Pública): "Un conjunto de hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales." (20 Cryptography, p. 1). Incluye Autoridades de Certificación (CA).
Ataques Criptográficos (Criptoanálisis): Ataques que buscan romper el cifrado sin la clave. Incluyen ataques de fuerza bruta, Man-in-the-Middle (MITM), ataque de cumpleaños (en hashes), y ataques de canal lateral (Side-channel) que explotan filtraciones físicas de la implementación.

5. Contramedidas y Detección

La Defensa en Profundidad (Defense-in-Depth) es la estrategia más efectiva, implementando múltiples capas de protección: "si una capa es vulnerada, la siguiente detenga o retrase al atacante" (01 Introducción a Hacking Ético, p. 3).

Principios y Estrategias Clave:

Gestión de Riesgos: Proceso continuo de identificación, evaluación, tratamiento y monitoreo de riesgos. (01 Introducción a Hacking Ético, p. 3)
Manejo y Respuesta a Incidentes (IH&R): Pasos organizados para reaccionar a incidentes, incluyendo preparación, detección, contención, erradicación, recuperación y lecciones aprendidas. (01 Introducción a Hacking Ético, p. 3)
Inteligencia de Ciberamenazas (CTI): Recopilación y análisis de información sobre amenazas y adversarios para tomar decisiones informadas. (01 Introducción a Hacking Ético, p. 3)
Actualizaciones y Parches: Mantener el SO, aplicaciones y firmware actualizados para corregir vulnerabilidades conocidas. (06 Hacking de Sistemas, p. 3)
Políticas de Contraseñas Robustas: Exigir contraseñas complejas, largas y con "salting" para mitigar ataques de fuerza bruta. (06 Hacking de Sistemas, p. 3)
Principio de Mínimo Privilegio: Otorgar a usuarios y aplicaciones solo los permisos estrictamente necesarios. Limita el daño en caso de compromiso. (06 Hacking de Sistemas, p. 3)
Autenticación Multifactor (MFA): Añadir capas adicionales de seguridad más allá de la contraseña. (06 Hacking de Sistemas, p. 3)
Validación de Entradas y Codificación de Salidas: Crucial para prevenir ataques de inyección (SQLi, XSS) en aplicaciones web. "Nunca confíes en los datos que provienen del cliente. Valida todos los datos de entrada en el lado del servidor" (14 Hacking Web Applications, p. 4).
Consultas Parametrizadas: La contramedida más eficaz contra la SQLi, al separar el código SQL de los datos del usuario. (15 SQL Injections, p. 3)
Segmentación de la Red (DMZ): Aislar servidores web y otros sistemas expuestos al público para limitar el impacto de un compromiso. (13 Hacking Web Servers, p. 4)
Uso de Firewalls de Aplicaciones Web (WAF): Filtrar y bloquear tráfico HTTP malicioso en tiempo real. (14 Hacking Web Applications, p. 4)
Monitoreo y Auditoría de Logs: Centralizar y analizar logs para detectar anomalías y actividades sospechosas. (13 Hacking Web Servers, p. 5)
Cifrado Robusto: Utilizar cifrado fuerte (WPA3, AES, TLS) para datos en tránsito y en reposo. (16 Wireless Networks, p. 3; 19 Cloud Computing, p. 3; 20 Cryptography, p. 4)
Detección de Modo Promiscuo: Identificar adaptadores de red que capturan todo el tráfico. (08 Sniffing, p. 5)
Honeypots: Sistemas señuelo para atraer atacantes y recopilar inteligencia, desviándolos de sistemas críticos. (12 Evading IDS, Firewall and Honeypots, p. 2)
Educación y Concienciación del Usuario: La defensa más crucial contra la ingeniería social y otras amenazas. "Empleados bien formados y conscientes se convierten en una 'barrera humana'" (09 Ingeniería Social, p. 5).

Las herramientas comunes incluyen Nmap (escaneo), Wireshark (sniffing), Metasploit (explotación), Burp Suite/OWASP ZAP (aplicaciones web), sqlmap (SQLi), Aircrack-ng (inalámbricas), Shodan (IoT/OT) y OpenSSL (criptografía).

En entornos de nube, el Modelo de Responsabilidad Compartida exige que el cliente asegure "los datos, la configuración de acceso y la seguridad de las aplicaciones" (19 Cloud Computing, p. 2). Se recomienda el uso de IAM, cifrado, CASBs y SIEM.

I. Visión General del Hacking Ético y Conceptos Fundamentales

1. Introducción al Hacking Ético

Definición: Uso autorizado de herramientas y técnicas de atacantes para identificar y corregir vulnerabilidades, fortaleciendo la postura de seguridad.
Objetivo: "Vencer a un hacker pensando como uno."
Pilares de la Seguridad de la Información (Tríada CIA+AN):Confidencialidad: Proteger la información del acceso no autorizado. (Ej: Cifrado, clasificación de datos).
Integridad: Asegurar la fiabilidad y exactitud de los datos, previniendo alteraciones no autorizadas. (Ej: Checksums, controles de acceso).
Disponibilidad: Garantizar que los sistemas y datos estén accesibles para usuarios autorizados cuando sea necesario. (Ej: Redundancia, copias de seguridad).
Autenticidad: Confirmar que una comunicación, documento o dato es genuino. (Ej: Certificados digitales, biometría).
No Repudio: Proporcionar prueba irrefutable de que una acción ocurrió (envío/recepción). (Ej: Firmas digitales).

2. Clasificación de Ataques y Hackers

Clasificación de Ataques:Pasivos: Interceptan y monitorizan tráfico sin alterarlo (ej., sniffing, eavesdropping). Difíciles de detectar.
Activos: Alteran datos o interrumpen comunicación (ej., DoS, Man-in-the-Middle). Más fáciles de detectar.
De Proximidad (Close-in): Atacante físicamente cerca del objetivo (ej., social engineering).
Internos (Insider): Perpetrados por individuos de confianza (ej., empleados) con acceso privilegiado.
De Distribución: Manipulación de hardware/software en origen o tránsito antes de instalación.
Clases de Hackers:Black Hats: Con habilidades informáticas para fines maliciosos/destructivos.
White Hats: Hackers éticos, usan habilidades para propósitos defensivos con permiso.
Gray Hats: Operan ofensiva y defensivamente, a menudo sin permiso, pero pueden revelar vulnerabilidades.
Script Kiddies: Sin habilidades avanzadas, usan herramientas/scripts de otros.
Hacktivistas: Usan el hacking para promover agendas políticas/sociales.
Hackers Patrocinados por el Estado: Empleados por gobiernos para espionaje cibernético.

II. Metodologías y Fases de Ataque

1. Metodología de Hacking CEH (CHM)

Fase 1: Footprinting y Reconocimiento:Objetivo: Recopilar la mayor cantidad de información sobre el objetivo antes del ataque, de forma pasiva (sin interacción directa) y activa (con interacción controlada).
Información buscada: Rangos IP, nombres de dominio, información de empleados, topología de red.
Técnicas: Redes sociales, sitios web (metadatos, archivos archivados), correo electrónico (cabeceras), Whois, DNS, ingeniería social.
Herramientas: Whois, Maltego, Recon-ng, FOCA, Sherlock, Web Spiders, HTTrack, ExifTool, eMailTrackerPro, nslookup, dig, Traceroute.
Contramedidas: Restringir información pública, educar empleados, separar DNS interno/externo, usar servicios de privacidad Whois, deshabilitar geo-etiquetado.
Fase 2: Escaneo (Scanning):Objetivo: Identificar hosts activos, puertos abiertos y servicios en ejecución en la red.
Proceso: Sondeo más profundo y técnico del objetivo basado en información de Footprinting.
Herramientas: Nmap.
Fase 3: Enumeración:Objetivo: Establecer conexiones activas con el sistema para obtener información detallada (usuarios, recursos compartidos, tablas de enrutamiento, banners de servicios).
Información típica: Nombres de usuario/máquina, recursos de red, configuraciones de auditoría.
Servicios/Puertos comunes: TCP/UDP 53 (DNS), 135 (RPC), 137 (NetBIOS NS), 139 (NetBIOS SS), 445 (SMB), 161 (SNMP), 389 (LDAP), 2049 (NFS), 25 (SMTP), 22 (SSH), 23 (Telnet), 69 (TFTP).
Técnicas específicas: Enumeración NetBIOS (nbtstat), usuarios Windows (PsTools, net view), SNMP (SnmpWalk, MIB), LDAP, NTP, NFS, SMTP (VRFY, EXPN), DNS (transferencia de zona, DNS Cache Snooping, DNSSEC Zone Walking), IPsec, VoIP (SIP), RPC, Unix/Linux, FTP, TFTP, IPv6, BGP.
Contramedidas: Desactivar servicios innecesarios, cambiar cadenas de comunidad SNMP, cifrar tráfico LDAP, restringir permisos NFS, deshabilitar comandos SMTP sensibles, asegurar SMB/FTP, restringir transferencias de zona DNS, MFA.
Fase 4: Análisis de Vulnerabilidades:Objetivo: Identificar, medir y clasificar debilidades de seguridad en sistemas y aplicaciones.
Causas comunes: Malas configuraciones, diseño deficiente, debilidades tecnológicas inherentes, descuido/actos intencionales del usuario.
Tipos de vulnerabilidades: Tecnológicas (TCP/IP, SO, red), de configuración (cuentas, servicios, contraseñas por defecto), de aplicación (buffer overflows, fugas de memoria), gestión de parches deficiente, defectos de diseño, riesgos de terceros, día cero, legacy.
Ciclo de vida de gestión de vulnerabilidades: Pre-evaluación (identificar activos, línea base), Evaluación (escaneo, priorización, informe), Post-evaluación (evaluación de riesgos, remediación, verificación, monitoreo).
OWASP Top 10 (Hacking de Aplicaciones Web): Lista de los 10 riesgos más críticos (Inyección, Control de Acceso Roto, Fallas Criptográficas, etc.).
Herramientas: Qualys VM, Nessus, OpenVAS, Nikto, Acunetix, sqlmap, THC-Hydra.
Contramedidas: Validar entradas, configurar de forma segura, gestionar autenticación/sesiones, WAF, consultas parametrizadas, codificación de salida, principio de mínimo privilegio.
Fase 5: Hacking del Sistema (System Hacking):Objetivo: Explotación real de vulnerabilidades para obtener, escalar y mantener el acceso.
Subfases:Obtención de Acceso (Gaining Access): Cracking de contraseñas (fuerza bruta, diccionario, spraying, PtH, Kerberoasting), ingeniería social, explotación de buffer overflows.
Escalada de Privilegios (Escalating Privileges): Pasar de bajos privilegios a administrador/root (ej., secuestro de DLL, abuso de derechos sudo).
Mantenimiento del Acceso (Maintaining Access): Instalar backdoors, troyanos, ejecutar código remoto (WMI/WinRM), rootkits, esteganografía.
Borrado de Huellas (Clearing Logs): Modificar o eliminar registros para evitar detección.
Autenticación Windows: SAM (hashes), NTLM (vulnerable), Kerberos (tickets).
Herramientas: hashcat, John the Ripper, Mimikatz, Metasploit, Responder, OpenStego.
Contramedidas: Políticas de contraseñas robustas (salting, bloqueo), MFA, parches regulares, principio de mínimo privilegio, anti-malware, teclado en pantalla, verificación de integridad del sistema.

2. Cyber Kill Chain

Modelo: Describe siete fases de una intrusión avanzada, ayudando a los defensores a interrumpir el ataque.

Reconnaissance (Reconocimiento): Atacante investiga objetivo.
Weaponization (Armamento): Crea payload malicioso (ej., virus en PDF).
Delivery (Entrega): Transmite el arma (email, USB).
Exploitation (Explotación): Código malicioso explota vulnerabilidad.
Installation (Instalación): Instala malware/backdoor.
Command and Control (C2): Malware establece canal de comunicación.
Actions on Objectives (Acciones sobre los Objetivos): Atacante cumple objetivo final.

3. Técnicas de Ataque Adicionales

Amenazas de Malware:Definición: Software malicioso para dañar, deshabilitar o controlar sistemas.
Componentes: Crypter, Downloader, Dropper, Exploit, Injector, Obfuscator, Packer, Payload.
Vectores: Descargas, adjuntos email, medios extraíbles, vulnerabilidades, publicidad maliciosa, drive-by downloads.
Tipos:Troyanos (Trojans): Código malicioso oculto en software inofensivo (RATs, Backdoors, Botnet Trojans, E-banking, POS, Rootkit Trojans). No se replican.
Virus: Programa autorreplicante que se adjunta a otros programas/documentos (Boot Sector, Polimórficos, Metamórficos, Macro, Sigilosos). Fases: Infección, Ataque.
Amenazas Persistentes Avanzadas (APT): Acceso no autorizado y persistente para exfiltración de información (Preparación, Intrusión, Expansión, Persistencia, Búsqueda/Exfiltración, Limpieza).
Herramientas: Kits de construcción de troyanos, Wrappers, Crypters, Exploit Kits.
Contramedidas: Gestión de parches, antimalware, precaución con descargas/emails, firewalls, copias de seguridad.
Detección: Indicadores de compromiso (IoC) como tráfico anómalo, fallos de inicio de sesión, cambios de registro.
Sniffing:Definición: Interceptación pasiva o activa de tráfico de red para capturar información sensible.
Técnicas: Wiretapping (activo/pasivo), ataques MAC (flooding, port stealing), ataques DHCP (starvation, rogue server), ARP poisoning, MAC spoofing, IRDP spoofing, VLAN hopping, DNS spoofing.
Herramientas: Wireshark, arpspoof, Ettercap, BetterCAP, dhcpstarvation.py, mitm6.
Contramedidas: Cifrado (SSL/TLS, SSH), limitar MAC, DHCP snooping, DAI, IP Source Guard, DNSSEC, BPDU Guard (STP).
Detección: Modo promiscuo (ping, DNS, ARP), IDS, SPAN ports, analizadores de hardware.
Ingeniería Social:Definición: Manipulación psicológica para revelar información confidencial.
Comportamientos vulnerables: Autoridad, intimidación, consenso, escasez, urgencia, familiaridad, confianza, codicia.
Fases: Investigación, selección de objetivo, desarrollo de relación, explotación.
Técnicas:Basadas en personas: Impersonation, Vishing, Eavesdropping, Shoulder Surfing, Dumpster Diving, Reverse Social Engineering, Piggybacking/Tailgating, Honey Trap, Baiting, Quid Pro Quo.
Basadas en ordenadores: Phishing (Spear, Whaling, Pharming), Pop-ups, Scareware, Spam.
Basadas en móviles: Apps maliciosas, repackaging, SMiShing.
Herramientas: SET, Gophish, ShellPhish, Modlishka.
Contramedidas: Políticas de contraseñas/seguridad física, formación y concienciación, filtros de spam, 2FA/MFA, principio de menor privilegio, monitoreo/auditoría.
Detección: IoC conductuales (exfiltración, logs, acceso inusual), barras anti-phishing, IDS/IPS, SIEM.
Denegación de Servicio (DoS/DDoS):DoS: Ataque desde una única fuente para agotar recursos y hacer un servicio inaccesible.
DDoS: DoS a gran escala desde múltiples sistemas comprometidos (botnets).
Botnets: Red de ordenadores zombies controlados por un botmaster (C&C).
Crimen Cibernético Organizado: Grupos que gestionan y alquilan botnets como servicio.
Técnicas:Volumétricas: UDP Flood, ICMP Flood, Smurf (saturan ancho de banda).
De Protocolo: SYN Flood, Ping of Death, Fragmentación (agotan recursos de red).
De Capa de Aplicación: HTTP Flood, Slowloris (atacan lógica de aplicación).
PDoS (Phlashing): Daño irreversible al hardware.
DRDoS (Reflexión): Usa servidores de terceros para amplificar.
Multi-Vector: Combina tipos de ataques.
Herramientas: LOIC, HOIC, XOIC, UDP Unicorn, Zeus, Mirai (botnets).
Contramedidas: Absorber ataque, degradar/apagar servicios, filtrado (ingress/egress), TCP intercept, rate limiting, filtrado RFC 3704, IP reputation, black hole filtering, balanceo de carga, honeypots, appliances DDoS, servicios en la nube.
Detección: Perfilado de actividad, detección secuencial de punto de cambio, análisis de señales, análisis forense (patrones de tráfico, rastreo de paquetes, logs).
Evasión de IDS, Firewalls y Honeypots:IDS (Intrusion Detection System): Detecta y alerta (firma, anomalía, protocolo). NIDS/HIDS.
IPS (Intrusion Prevention System): Detecta y previene activamente (inline).
Firewall: Controla tráfico con reglas (filtrado de paquetes, stateful, proxy).
Honeypot: Sistema señuelo para atraer y estudiar atacantes (baja/media/alta interacción).
Técnicas de evasión: Ataque de inserción, evasión, fragmentación, fragmentos superpuestos, tunneling (ICMP, ACK, HTTP/S, DNS), ofuscación (Unicode, shellcode polimórfico), HTML smuggling, IP spoofing, proxies/anonymizers, VLAN hopping, DLL Hijacking.
Herramientas: Snort, Suricata, Nmap, Loki, AckCmd, bitsadmin.
Contramedidas: Configuración rigurosa, normalización de tráfico, monitoreo de logs, rechazar paquetes fragmentados, DPI, filtros de ingreso/egreso, bloquear auto-ejecución, honeypots, SIEM.
Detección: Correlación de logs, reglas específicas, NTA (Network Traffic Analysis).
Hacking de Servidores Web:Definición: Compromiso de sistemas que almacenan y entregan páginas web.
Componentes: Document Root, Server Root, Virtual Hosting, Web Proxy.
Arquitecturas: LAMP (Linux, Apache, MySQL, PHP), IIS (Microsoft).
Problemas de seguridad: Configuraciones por defecto, permisos inadecuados, software sin parches, servicios innecesarios, falta de políticas.
Técnicas: DNS Server Hijacking, DNS Amplification, Directory Traversal, Website Defacement, Web Server Misconfiguration, HTTP Response Splitting, Web Cache Poisoning, SSH Brute Force, Ataques a Aplicaciones Web (SQLi, XSS, CSRF).
Herramientas: Nmap, Nikto2, Burp Suite, Metasploit, Acunetix, THC Hydra, HTTrack.
Contramedidas: DMZ, gestión de parches, mínimo privilegio, hardening, DNSSEC, validación de entradas, WAF, políticas de contraseñas robustas.
Detección: Monitoreo integridad archivos (hashes), análisis de logs, escáneres de malware/vulnerabilidades, IDS/IPS.
Hacking de Aplicaciones Web (OWASP Top 10):Arquitectura: Capa Cliente/Presentación, Capa Lógica de Negocio (Servidor Web, Aplicación), Capa Base de Datos.
Pila de Vulnerabilidades: Cada capa es un punto potencial de fallo.
Técnicas (alineadas con OWASP Top 10):A01: Control de Acceso Roto: Explotar fallos en restricciones (manipular URL).
A02: Fallas Criptográficas: Datos sensibles sin cifrar o cifrado débil.
A03: Inyección (Injection): Datos no confiables a intérprete (SQLi, XSS, Comandos, LDAP).
A04: Diseño Inseguro: Fallos fundamentales en diseño (falta de modelado de amenazas).
A05: Configuración de Seguridad Incorrecta: Default inseguros, errores detallados, sin parches.
A06: Componentes Vulnerables y Desactualizados: Librerías/frameworks con vulnerabilidades conocidas.
A07: Fallos de Identificación y Autenticación: Debilidades en gestión de sesiones, fuerza bruta, sesión expuesta.
A08: Fallos de Integridad de Software y Datos: Dependencia de actualizaciones sin verificar, deserialización insegura.
A09: Fallos de Registro y Monitoreo: Ausencia de logs adecuados impide detección/investigación.
A10: Falsificación de Solicitudes del Lado del Servidor (SSRF): Aplicación realiza solicitudes a dominio elegido por atacante.
Herramientas: Nikto, Vega, WPScan, sqlmap, THC-Hydra, Nmap, Gobuster, WAFW00F.
Contramedidas: Validación de entradas (whitelisting), codificación de salidas, gestión segura de autenticación/sesiones, control de acceso seguro, consultas parametrizadas, WAF.
Detección: Análisis de logs, IDS/IPS, WAF, revisión de código fuente (SAST/DAST), detección de Web Shells.
Inyección SQL (SQLi):Definición: Explotación de entradas de usuario no sanitizadas para ejecutar comandos SQL maliciosos en la base de datos.
Importancia: Bypass autenticación, divulgación/modificación/eliminación de datos, ejecución remota de código.
Técnicas:In-band (En Banda): Mismo canal para ataque y resultados. Basada en Errores, UNION, Tautología, Consulta Apilada.
Inferencial (Ciega): No hay resultados visibles, se deduce por verdadero/falso o tiempo (Booleana, Tiempo).
Out-of-Band (Fuera de Banda): Canal de comunicación diferente para exfiltrar datos (DNS, HTTP).
Herramientas: sqlmap, Mole, Blisqy, NoSQLMap, Burp Suite, Tamper Chrome.
Contramedidas: Consultas parametrizadas (más importante), validación de entradas (whitelisting), mínimo privilegio, manejo de errores personalizado, WAF.
Detección: Revisión de código (SAST/DAST), pruebas de penetración (Black Box), Fuzzing, detección de evasión de IDS/WAF.
Hacking de Redes Inalámbricas:Terminología: AP, SSID, BSSID, WarDriving.
Estándares IEEE 802.11: a/b/g/n/ac/i (seguridad).
Modos de Autenticación: Abierto, Clave Compartida, Centralizada (802.1X/RADIUS).
Protocolos de Cifrado:WEP: Muy vulnerable (RC4, IV de 24 bits).
WPA: Mejora sobre WEP (TKIP, RC4), vulnerable.
WPA2: Estándar moderno (AES, CCMP), vulnerable a KRACK.
WPA3: Última generación (SAE, 192 bits), protege contra diccionario offline.
Técnicas de Hacking: Rogue AP, Evil Twin, Desautenticación, KRACK, Jamming, MAC Spoofing.
Herramientas: inSSIDer, NetSurveyor, Wireshark, RF Explorer, Aircrack-ng Suite (airodump-ng, aireplay-ng, aircrack-ng), Reaver, Jammers.
Contramedidas: WPA3/WPA2-Enterprise, contraseñas robustas, segmentación de red, ocultar SSID (limitado), firmware actualizado, WIPS, 802.11w, parchear KRACK, deshabilitar WPS.
Detección: Análisis de espectro de RF, monitoreo de tráfico, detección de Rogue AP, auditorías de seguridad.
Hacking de Plataformas Móviles:Vectores de Ataque: Dispositivo (SO, apps, navegador, SIM), Red (Wi-Fi, Bluetooth, celular), Centro de Datos/Nube (backends).
OWASP Top 10 Riesgos Móviles (2016): M1-M10 (ej. Uso Inapropiado de Plataforma, Almacenamiento Inseguro, Comunicación Insegura, Autenticación Insegura, Criptografía Insuficiente).
Técnicas: Rooting/Jailbreaking, SMiShing, Agent Smith, Explotación SS7, Simjacker, Secuestro OTP, Camfecting, Man-in-the-Disk, Spearphone.
Herramientas: Metasploit, drozer, PhoneSploit, zANTI, KingoRoot, Hexxa Plus, AndroRAT, SharkBot, Pegasus, Spyzie.
Contramedidas: Descargar apps de tiendas oficiales, actualizar SO/apps, no rooting/jailbreaking, revisar permisos, contraseñas fuertes, 2FA, VPN, MDM (en corporativo).
Detección: Escáneres de vulnerabilidades, antivirus móvil, análisis de actividad de red (Fing), monitoreo comportamiento (batería, datos, lentitud), herramientas de rastreo.
IoT Hacking:IoT (Internet de las Cosas): Red de dispositivos físicos con IPs, sensores y capacidad de comunicación.
Arquitectura IoT (5 capas): Edge, Access Gateway, Internet, Middleware, Aplicación.
Modelos de Comunicación: Dispositivo a Dispositivo, Dispositivo a Nube, Dispositivo a Gateway, Compartición de Datos en Back-End.
OT (Tecnología Operacional): Software/hardware para detectar/provocar cambios en operaciones industriales (ICS, SCADA, PLC, DCS). Convergencia IT/OT (IIoT).
Modelo Purdue: Arquitectura de referencia para redes ICS (Zonas Empresarial, IDMZ, Fabricación).
Técnicas: DDoS (usando botnets IoT), Explotación HVAC, Rolling Code, BlueBorne, Jamming, SDR (Replay, Criptoanálisis, Reconocimiento), Hacking de PLCs.
Herramientas: Shodan, IoTSeeker, CRITIFENCE, Nmap, Wireshark, Metasploit, RFCrack, Fuzzowski.
Contramedidas: Gestión de credenciales (sin defaults), seguridad de red (firewalls, IDS/IPS, VPN), mantenimiento/actualizaciones, seguridad física, cifrado (end-to-end), PKI.
Detección: Análisis de tráfico/protocolos (sniffing pasivo), escáneres de vulnerabilidades (Nessus), monitoreo/auditorías (logs), fuzzing de protocolos ICS.
Cloud Computing Hacking:Definición: Modelo de entrega de recursos de TI bajo demanda a través de internet.
Características: Autoservicio, acceso por red, pooling, elasticidad, servicio medido, virtualización.
Modelos de Servicio: IaaS (infraestructura), PaaS (plataforma), SaaS (software).
Modelos de Implementación: Pública, Privada, Comunitaria, Híbrida.
Modelo de Responsabilidad Compartida: Proveedor (seguridad de la nube), Cliente (seguridad en la nube).
Técnicas de Hacking: Service Hijacking (ingeniería social, sniffing), Side-Channel/Cross-guest VM Breaches, Wrapping Attack, Man-in-the-Cloud, Cloud Hopper, Cryptojacking, Cloudborne, IMDS Attack.
Herramientas: Escáneres de contenedores (Trivy), herramientas OSINT (Shodan, S3Scanner, Google Hacking).
Contramedidas: Cifrado (reposo/tránsito), MFA, mínimo privilegio, políticas, auditoría/monitoreo, seguridad de red (firewalls, micro-segmentación, CASBs), no compartir credenciales, SSL/TLS.
Detección: Análisis de logs, IDS/IPS, análisis de tráfico, escaneo de vulnerabilidades, auditorías de configuración.
Criptografía:Definición: Arte y ciencia de asegurar la información usando códigos.
Objetivos: Confidencialidad, Integridad, Autenticación, No Repudio.
Tipos de Criptografía:Simétrica (Clave Secreta): Misma clave para cifrar/descifrar. Rápida. Problema: intercambio de claves. (Ej: DES, 3DES, AES, Blowfish, RC4/5/6).
Asimétrica (Clave Pública): Par de claves (pública/privada). Lenta. Resuelve distribución de claves. (Ej: RSA, Diffie-Hellman, ECC).
Conceptos Clave: Texto Plano, Texto Cifrado, Clave, Cifrado (algoritmo), PKI (Infraestructura de Clave Pública), Firma Digital.
Funciones Hash (Message Digest): Algoritmo unidireccional para verificar integridad.
MD5: 128 bits, vulnerable a colisiones, obsoleto.
SHA (Secure Hash Algorithm): SHA-1 (160 bits, obsoleto), SHA-2 (256/512 bits, seguro), SHA-3 (diseño diferente, seguro).
HMAC: Hash con clave secreta para integridad y autenticidad.
Herramientas: BCTextEncoder, AxCrypt, VeraCrypt, BitLocker, OpenSSL, HashMyFiles.
Contramedidas: Algoritmos robustos (AES, SHA-2/3), longitud de clave adecuada, gestión segura de claves (HSM), protocolos seguros (TLS).
Detección (Criptoanálisis): Lineal, Diferencial, Frecuencia, Canal Lateral (potencia, temporización, electromagnético), Detección de Implementaciones Inseguras (escáneres SSL/TLS).
Tipos de Ataques Criptográficos: Ciphertext-only, Known-plaintext, Chosen-plaintext, Fuerza Bruta, MITM (Diffie-Hellman sin autenticar), Cumpleaños, Canal Lateral.

III. Marcos de Referencia y Modelos

Tácticas, Técnicas y Procedimientos (TTPs):Tácticas: Objetivo general de una fase de ataque (ej., "Acceso Inicial").
Técnicas: Método específico para lograr una táctica (ej., "Spear Phishing").
Procedimientos: Implementación particular de una técnica por un grupo de atacantes.
MITRE ATT&CK® Framework:Base de conocimiento de tácticas y técnicas de adversarios basada en observaciones del mundo real.
Recurso fundamental para modelado de amenazas y evaluación de defensas. Matriz de comportamientos post-explotación (Escalada de Privilegios, Evasión de Defensas, etc.).
Diamond Model of Intrusion Analysis:Modelo para analizar eventos de intrusión, definiendo cada evento por cuatro características interconectadas:
Adversario: El atacante.
Capacidad: Herramientas y técnicas del adversario.
Infraestructura: Hardware/software del adversario (servidores C2).
Víctima: El objetivo del ataque.
Ayuda a analistas a pivotar entre elementos para descubrir toda la campaña de un adversario.

IV. Contramedidas y Detección General

Defensa en Profundidad (Defense-in-Depth):Implementar múltiples capas de protección en todo el sistema de información.
Capas: Políticas y procedimientos, seguridad física, perímetro, red interna, host, aplicación, datos.
Gestión de Riesgos (Risk Management):Proceso de "reducir y mantener el riesgo a un nivel aceptable".
Fases: Identificación, Evaluación, Tratamiento (mitigar, transferir, aceptar, evitar), Seguimiento, Revisión.
Inteligencia de Ciberamenazas (Cyber Threat Intelligence - CTI):Recopilación y análisis de información sobre amenazas y adversarios para tomar decisiones proactivas.
Tipos: Estratégica, Táctica, Operacional, Técnica.
Gestión de Incidentes y Respuesta (Incident Handling and Response - IH&R):Pasos organizados para reaccionar a un incidente de seguridad y restaurar operaciones normales.
Fases: Preparación, Detección, Contención, Erradicación, Recuperación, Actividades Post-Incidente (Lecciones Aprendidas).
Indicadores de Compromiso (IoCs):Pistas, artefactos o datos forenses que indican una posible intrusión (ej., tráfico saliente inusual, fallos de inicio de sesión).
Identificación del Comportamiento del Adversario:Identificar TTPs comunes del adversario para anticipar amenazas (ej., reconocimiento interno, PowerShell, DNS Tunneling).
Uso de IA y Machine Learning (ML):Detectar amenazas definiendo el comportamiento normal de la red y reportando anomalías en tiempo real (phishing, vulnerabilidades, botnets).

Cuestionario de Preguntas Cortas

Responde cada pregunta en 2-3 oraciones.

¿Cuáles son los cinco elementos fundamentales de la seguridad de la información (conocidos también como la Tríada CIA+AN)?
Explica la diferencia principal entre un "White Hat" y un "Black Hat" en el contexto del hacking.
Describe la fase de "Footprinting" en la metodología de hacking del CEH y menciona un tipo de información que se busca.
¿Cuál es el propósito del framework MITRE ATT&CK y cómo ayuda a los profesionales de la seguridad?
Define qué es la "enumeración" y por qué es una fase crítica después del escaneo.
Explica cómo una vulnerabilidad de "buffer overflow" puede ser explotada por un atacante.
¿Cuál es la función principal de un "crypter" en el contexto de las amenazas de malware?
Describe brevemente cómo funciona un ataque de "inundación SYN" (SYN Flood) en un ataque DoS/DDoS.
¿Qué es un "honeypot" y para qué se utiliza en ciberseguridad?
¿Cuál es la causa raíz de una vulnerabilidad de "Inyección SQL (SQLi)" y cómo puede ser mitigada eficazmente?

Clave de Respuestas del Cuestionario

Los cinco elementos fundamentales son Confidencialidad (proteger la información del acceso no autorizado), Integridad (garantizar la exactitud y fiabilidad de los datos), Disponibilidad (asegurar el acceso a sistemas y datos), Autenticidad (confirmar la genuinidad de una fuente o dato) y No Repudio (proporcionar prueba irrefutable de una acción).
Un "White Hat" es un hacker ético que usa sus habilidades para fines defensivos y con permiso explícito, buscando y corrigiendo vulnerabilidades. Por el contrario, un "Black Hat" utiliza sus habilidades con intenciones maliciosas, explotando vulnerabilidades para causar daño o beneficio personal sin autorización.
El "Footprinting" es la fase preparatoria donde el atacante recopila la mayor cantidad de información posible sobre un objetivo sin lanzar un ataque directo. Se busca obtener datos como rangos de direcciones IP, nombres de dominio o información de empleados para construir un perfil detallado.
El framework MITRE ATT&CK es una base de conocimiento global de tácticas y técnicas de adversarios basada en observaciones del mundo real. Ayuda a los profesionales de la seguridad a comprender cómo operan los ciberatacantes para modelar amenazas y evaluar la efectividad de sus defensas.
La "enumeración" es el proceso de establecer conexiones activas con un sistema o red para extraer información detallada como nombres de usuario, recursos compartidos y servicios. Es crítica porque esta información específica se utiliza para identificar vulnerabilidades y planificar ataques de explotación más precisos.
Un "buffer overflow" ocurre cuando un programa intenta escribir más datos en un bloque de memoria de los que este puede contener, sobrescribiendo ubicaciones adyacentes. Un atacante puede explotar esto inyectando código malicioso en la memoria, logrando que se ejecute con los permisos de la aplicación vulnerable.
Un "crypter" es un software utilizado para cifrar u ofuscar el código binario de un malware, como un virus o troyano. Su función es evadir la detección por parte de los programas antivirus basados en firmas, alterando la apariencia del malware sin cambiar su funcionalidad.
En un ataque de "inundación SYN", el atacante envía una avalancha de paquetes SYN con direcciones IP de origen falsificadas a un servidor, pero nunca responde con el ACK final. Esto agota la cola de conexiones pendientes del servidor, impidiendo que acepte nuevas conexiones legítimas y negando el servicio.
Un "honeypot" es un sistema informático señuelo diseñado para atraer y atrapar a atacantes, desviándolos de los sistemas de producción reales. Se utiliza para detectar ataques tempranamente y recopilar inteligencia sobre las herramientas, técnicas y procedimientos (TTPs) de los atacantes.
La causa raíz de la "Inyección SQL (SQLi)" es la falta de validación y sanitización adecuada de las entradas de usuario por parte de la aplicación web antes de incluirlas en una consulta SQL. Se mitiga eficazmente usando "consultas parametrizadas", que separan el código SQL de los datos del usuario, evitando su interpretación como comandos ejecutables.

Preguntas de Ensayo Sugeridas

Compara y contrasta la Metodología de Hacking del CEH con la Metodología Cyber Kill Chain. ¿En qué escenarios sería más útil una sobre la otra desde la perspectiva de un defensor, y cómo se complementan en una estrategia de ciberseguridad?
Analiza la importancia de la fase de "Análisis de Vulnerabilidades" y el "Ciclo de Vida de la Gestión de Vulnerabilidades" en el contexto de una organización moderna. Discute cómo la integración de herramientas como el CVSS y bases de datos como el CVE mejora la eficacia de este proceso.
Imagina que eres un consultor de seguridad que debe proteger a una empresa contra ataques de ingeniería social y malware. Desarrolla una estrategia integral de defensa en profundidad, detallando medidas preventivas, técnicas de detección y un plan de respuesta que aborde ambos tipos de amenazas.
Discute los desafíos únicos de seguridad que presentan las plataformas móviles y los dispositivos IoT en comparación con la infraestructura de TI tradicional. Explica cómo técnicas de ataque como el "rooting/jailbreaking" en móviles o el "rolling code" en IoT explotan estas diferencias, y propone contramedidas específicas para cada uno.
Explica cómo la criptografía contribuye a los cuatro objetivos principales de la seguridad de la información (confidencialidad, integridad, autenticación, no repudio). Proporciona ejemplos específicos de cómo los algoritmos (simétricos, asimétricos, hash) y las tecnologías (PKI, firmas digitales) logran cada uno de estos objetivos.

Glosario de Términos Clave

ACK Tunneling: Técnica de evasión que oculta comunicación maliciosa dentro de paquetes TCP con el flag ACK activado, que algunos firewalls no inspeccionan rigurosamente.
Access Point (AP): Dispositivo que conecta clientes inalámbricos a una red cableada o inalámbrica, actuando como un concentrador central para las comunicaciones Wi-Fi.
Adware: Software que muestra anuncios no solicitados, a menudo para generar ingresos para su autor.
AES (Advanced Encryption Standard): El estándar de cifrado simétrico de bloque actual, utilizado a nivel mundial y aprobado por el gobierno de EE. UU.
Aircrack-ng: Una suite de software para auditoría de seguridad de redes inalámbricas 802.11.
Amenaza Persistente Avanzada (APT): Un ataque de red sigiloso y continuo, a menudo orquestado por un estado-nación, en el que un atacante permanece en la red de la víctima durante un período prolongado para extraer datos.
Análisis de Vulnerabilidades: Proceso de identificar debilidades de seguridad en sistemas, redes y aplicaciones.
AndroRAT: Herramienta de administración remota para Android que funciona como un troyano, permitiendo el control encubierto de un dispositivo infectado.
App Sandboxing: Mecanismo de seguridad que aísla las aplicaciones en entornos restringidos para limitar su acceso a datos y recursos del sistema.
ARP Poisoning (Envenenamiento ARP): Técnica donde un atacante envía mensajes ARP falsos para vincular su dirección MAC a la IP de la víctima o del gateway, interceptando el tráfico.
Autenticación: Proceso de verificar la identidad de un usuario o entidad.
Autenticación Multifactor (MFA): Método de seguridad que requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso.
Backdoor (Puerta Trasera): Método encubierto para eludir la autenticación normal y obtener acceso no autorizado a un sistema.
Baiting (Cebo): Técnica de ingeniería social que utiliza un dispositivo físico (ej. USB infectada) para atraer a la víctima.
Banner Grabbing: Técnica para identificar la versión del software de un servicio en un host remoto.
Bastion Host: Un sistema informático altamente fortificado, diseñado para resistir ataques, que se sitúa en el perímetro de una red.
Black Hat: Hacker que viola la seguridad informática con fines maliciosos.
Black Hole Filtering: Técnica de mitigación de DDoS que descarta todo el tráfico (legítimo y malicioso) dirigido a una IP específica.
Blind SQL Injection (Inyección SQL Ciega): Tipo de SQLi donde el atacante no recibe respuesta directa y debe inferir datos por comportamiento o tiempo.
BlueBorne: Vector de ataque aéreo que se propaga a través de conexiones Bluetooth vulnerables.
Botnet: Red de ordenadores privados infectados con software malicioso y controlados como un grupo.
Broken Access Control (Control de Acceso Roto): Fallo de seguridad que ocurre cuando un usuario puede acceder a recursos o realizar acciones para las que no tiene autorización.
Buffer Overflow (Desbordamiento de Búfer): Vulnerabilidad que ocurre cuando un programa escribe datos más allá de los límites de un búfer de memoria.
Burp Suite: Plataforma integrada para realizar pruebas de seguridad en aplicaciones web.
CASB (Cloud Access Security Broker): Software que se sitúa entre los usuarios y las aplicaciones en la nube para aplicar políticas de seguridad.
Cifrado Asimétrico (Clave Pública): Sistema de cifrado que utiliza un par de claves: una pública para el cifrado y una privada para el descifrado.
Cifrado Simétrico (Clave Secreta): Sistema de cifrado que utiliza la misma clave para cifrar y descifrar datos.
Ciphertext (Texto Cifrado): Los datos después de haber sido cifrados, en un formato ilegible.
Criptoanálisis: La ciencia de analizar y descifrar comunicaciones cifradas sin conocer la clave.
Crypter: Software que utiliza el cifrado y la ofuscación para ocultar malware de los programas antivirus.
CVE (Common Vulnerabilities and Exposures): Diccionario público de identificadores estandarizados para vulnerabilidades de seguridad conocidas.
CVSS (Common Vulnerability Scoring System): Estándar abierto para comunicar características y el impacto de las vulnerabilidades de TI.
Cyber Kill Chain: Modelo desarrollado por Lockheed Martin que identifica las etapas de una intrusión en la red.
DDoS (Distributed Denial-of-Service): Ataque de denegación de servicio lanzado desde múltiples fuentes distribuidas.
Defensa en Profundidad: Estrategia de seguridad que implementa múltiples capas de protección en todo el sistema de información.
Denial-of-Service (DoS): Ciberataque que busca hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos.
DHCP Starvation Attack: Agota el pool de direcciones IP disponibles de un servidor DHCP enviando solicitudes falsas.
Diffie-Hellman: Protocolo de intercambio de claves que permite a dos partes establecer una clave secreta compartida a través de un canal de comunicación inseguro.
Directory Traversal (Dot-Dot-Slash Attack): Ataque para acceder a archivos y directorios restringidos fuera del directorio raíz del servidor web.
DMZ (Zona Desmilitarizada): Subred aislada que se sitúa entre la red interna y la externa, para alojar servicios públicos.
DNS (Domain Name System): Sistema de nomenclatura jerárquico y descentralizado para equipos, servicios o recursos conectados a Internet.
DNS Server Hijacking: Compromiso de un servidor DNS para redirigir solicitudes de un sitio legítimo a uno malicioso.
Dropper: Programa diseñado para instalar sigilosamente otros archivos de malware en el sistema.
Dumpster Diving (Buceo en la Basura): Práctica de buscar en la basura para encontrar información valiosa.
Eavesdropping (Escucha Clandestina): Interceptación no autorizada de comunicaciones.
ECC (Criptografía de Curva Elíptica): Alternativa moderna a RSA que ofrece el mismo nivel de seguridad con claves más cortas.
Egress Filtering: Escanea los paquetes que salen de una red para asegurar que la IP de origen pertenece a dicha red.
Email Footprinting: Rastrear comunicaciones de correo electrónico y recopilar información de encabezados.
Enumeración: Proceso de extracción de nombres de usuario, nombres de máquinas, recursos de red, recursos compartidos y servicios de un sistema o red.
Escalada de Privilegios: Acción de obtener acceso a recursos que normalmente están protegidos de un usuario o aplicación.
Escáner de Vulnerabilidades: Herramienta o proceso que examina un sistema o aplicación para identificar fallos de seguridad.
Esteganografía: Técnica de ocultar información (como un mensaje o un archivo malicioso) dentro de otro archivo que parece inofensivo.
Evil Twin (Gemelo Maligno): Punto de acceso fraudulento que imita a uno legítimo para engañar a los usuarios.
Exploit: Fragmento de software, datos o secuencia de comandos que se aprovecha de una vulnerabilidad para causar un comportamiento no intencionado.
Explotación: Fase del hacking donde se utiliza un exploit para comprometer un sistema.
Exfiltración de Datos: Transferencia no autorizada de datos desde un sistema o red.
Falso Negativo: Un ataque real que pasa desapercibido por el IDS.
Falso Positivo: El IDS genera una alerta para tráfico legítimo, confundiéndolo con un ataque.
Fase de Post-Evaluación: Fase final del ciclo de vida de gestión de vulnerabilidades que incluye evaluación de riesgos, remediación, verificación y monitoreo.
Firewall: Barrera de seguridad que controla el tráfico entrante y saliente de una red basándose en reglas.
Footprinting (Toma de Huellas Digitales): Proceso de recopilar información sobre el entorno de seguridad de un objetivo antes de un ataque.
FTP (File Transfer Protocol): Protocolo de red estándar para la transferencia de archivos.
Fuerza Bruta (Brute Force): Método para adivinar una contraseña probando sistemáticamente todas las combinaciones posibles.
Función Hash: Algoritmo que produce una cadena de bits de tamaño fijo (hash) a partir de datos de entrada de tamaño variable.
Fuzzing: Técnica de prueba de software que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa para encontrar errores de programación y vulnerabilidades.
Gestión de Incidentes y Respuesta (IH&R): Conjunto de procesos definidos para identificar, analizar, priorizar y resolver incidentes de seguridad.
Gestión de Riesgos: Proceso continuo de identificar, evaluar, tratar y monitorizar los riesgos para los activos de información.
Gray Hat: Hacker que opera ofensiva y defensivamente, a menudo sin permiso.
Handshake de Tres Vías (Three-Way Handshake): Proceso utilizado por el protocolo TCP para establecer una conexión.
Hardening (Endurecimiento): Proceso de asegurar un sistema reduciendo su superficie de ataque.
Hash de Contraseña: Valor de longitud fija generado a partir de una contraseña mediante un algoritmo matemático unidireccional.
HIDS (Host-based Intrusion Detection System): IDS que se instala en un host individual y monitoriza su actividad interna.
HMAC (Hash-based Message Authentication Code): Mecanismo para verificar tanto la integridad como la autenticidad de un mensaje.
Honeypot: Sistema informático señuelo diseñado para atraer y atrapar a atacantes.
HTTP (Hypertext Transfer Protocol): Protocolo fundamental para la comunicación en la World Wide Web.
HTTP Response Splitting: Atacante introduce caracteres de nueva línea en encabezados HTTP para dividir una respuesta en dos.
IDS (Intrusion Detection System): Dispositivo de hardware o software que monitoriza el tráfico de red en busca de actividades maliciosas.
IIS (Internet Information Services): Software de servidor web de Microsoft.
IMDS (Instance Metadata Service) Attack: Explotación de vulnerabilidad para acceder a metadata de la instancia de la nube.
Impersonation (Suplantación de Identidad): Atacante finge ser una persona legítima para engañar a la víctima.
In-band SQL Injection (Inyección SQL en Banda): Tipo de SQLi donde el atacante usa el mismo canal para lanzar ataque y obtener resultados.
Indicador de Compromiso (IoC): Evidencia forense que indica una posible intrusión.
Ingeniería Social: Arte de manipular a las personas para que revelen información confidencial.
Ingress Filtering (Filtrado de Ingreso): Técnica usada por los ISPs para impedir la falsificación de la dirección de origen del tráfico.
Inyección SQL (SQLi): Técnica de ataque que aprovecha las entradas de usuario no sanitizadas para ejecutar comandos SQL maliciosos en la base de datos.
Integridad: Asegura la fiabilidad de los datos, previniendo alteraciones no autorizadas.
Internet Archive Wayback Machine: Herramienta para recopilar información de páginas web archivadas.
IoT (Internet de las Cosas): Red de dispositivos físicos que poseen direcciones IP y capacidad de detectar, recopilar y enviar datos.
IP Spoofing (Suplantación de IP): Atacante falsifica la dirección IP de origen en un paquete para parecer de fuente de confianza.
IPS (Intrusion Prevention System): Sistema que no solo detecta amenazas, sino que también toma medidas para prevenirlas.
IPsec (Internet Protocol Security): Conjunto de protocolos para asegurar comunicaciones IP.
Jailbreaking: Proceso que permite a los usuarios obtener control privilegiado sobre el sistema operativo iOS.
Jamming (Interferencia de Señal): Atacante utiliza un dispositivo para emitir señales de radiofrecuencia que ahogan la señal legítima.
John the Ripper: Herramienta popular de código abierto para el cracking de contraseñas.
Kerberoasting: Ataque post-explotación que intenta descifrar los hashes de contraseñas de las cuentas de servicio de Active Directory.
Kerberos: Protocolo de autenticación por defecto en redes de dominio de Windows, usa "tickets".
Keylogger: Programa o dispositivo de hardware que registra cada pulsación de tecla realizada por un usuario.
KRACK (Key Reinstallation Attack): Ataque que explota una vulnerabilidad en el protocolo WPA2 durante el handshake de 4 vías.
LAMP (Linux, Apache, MySQL, PHP): Arquitectura de servidor web open-source común.
LDAP (Lightweight Directory Access Protocol): Protocolo de Internet para acceder y mantener servicios de directorio distribuido.
LLMNR/NBT-NS Poisoning: Cuando un sistema Windows no puede resolver un nombre a través de DNS, los atacantes responden a la solicitud y capturan el hash de la contraseña.
MAC Flooding: Inundar la tabla CAM de un switch con direcciones MAC falsas, forzándolo a actuar como un hub.
MAC Spoofing (Suplantación de MAC): Atacante modifica la dirección MAC de su dispositivo para que coincida con la de un cliente autorizado.
Maltego: Herramienta automatizada para determinar relaciones y enlaces del mundo real entre personas, organizaciones, etc.
Malware: Software malicioso diseñado para dañar, deshabilitar o tomar control de sistemas informáticos.
Man-in-the-Cloud (MITC) Attack: Ataque avanzado MITM donde el atacante engaña a la víctima para instalar código que coloca el token de sincronización del atacante en la unidad de la víctima.
Man-in-the-Middle (MitM): Ataque en el que el atacante retransmite secretamente y posiblemente altera la comunicación entre dos partes.
Metasploit Framework: Plataforma de pentesting para encontrar, explotar y validar vulnerabilidades.
MIB (Management Information Base): Base de datos virtual de objetos de red que SNMP gestiona.
Mimikatz: Herramienta post-explotación capaz de extraer contraseñas en texto plano, hashes y tickets de Kerberos de la memoria.
Mínimo Privilegio (Least Privilege): Principio de seguridad que otorga a usuarios y aplicaciones solo los permisos estrictamente necesarios.
Mirroring de sitios web: Crear una réplica o clon de un sitio web.
MITRE ATT&CK: Base de conocimiento de tácticas y técnicas de adversarios basada en observaciones del mundo real.
Modelo de Responsabilidad Compartida (Cloud): Delinea las obligaciones de seguridad del proveedor de la nube y del cliente.
NFS (Network File System): Permite a los usuarios acceder a archivos en sistemas remotos.
NIDS (Network-based Intrusion Detection System): Analiza el tráfico que fluye a través de toda una red.
Nikto: Escáner web de código abierto que realiza pruebas exhaustivas contra servidores web.
Nmap: Herramienta de código abierto para la exploración de red y auditorías de seguridad.
No Repudio: Proporciona una garantía de que el emisor de un mensaje no puede negar haberlo enviado y el receptor no puede negar haberlo recibido.
NTP (Network Time Protocol): Sincroniza relojes de computadoras.
NTLM (NT LAN Manager): Protocolo de autenticación tipo desafío-respuesta utilizado en redes Windows.
Ofuscación: Modificación del payload del ataque para que no coincida con firmas de detección.
OT (Tecnología Operacional): Software y hardware diseñados para detectar o provocar cambios en las operaciones industriales.
OWASP Top 10: Lista de los riesgos de seguridad más críticos para las aplicaciones web.
Out-of-Band SQL Injection (SQLi Fuera de Banda): Técnica avanzada de SQLi que usa un canal de comunicación diferente para enviar datos extraídos.
Pass-the-Hash (PtH): Un atacante que ha obtenido el hash de la contraseña de un usuario puede utilizarlo directamente para autenticarse en otros sistemas.
Password Spraying: Técnica que prueba una única contraseña contra una gran cantidad de cuentas de usuario.
Payload (Carga Útil): Parte del malware que realiza la acción maliciosa deseada.
PDoS (Permanent Denial-of-Service / Phlashing): Ataque que causa un daño irreversible al hardware del sistema.
Pharming: Redirigir el tráfico de un sitio web legítimo a uno fraudulento sin el conocimiento del usuario.
Phishing: Envío de correos electrónicos fraudulentos que parecen legítimos para robar información personal.
Piggybacking: Entrar en un área segura siguiendo de cerca a una persona autorizada con su consentimiento (a menudo engañado).
PKI (Public Key Infrastructure): Conjunto de hardware, software, personas, políticas y procedimientos necesarios para gestionar certificados digitales.
Plaintext (Texto Plano): El mensaje original en formato legible.
Polimórfico (Virus): Virus que modifica su propio código con cada nueva infección para evadir la detección.
Prepared Statements (Consultas Parametrizadas): Técnica de programación para prevenir SQLi que separa el código SQL de los datos del usuario.
PUA (Aplicaciones Potencialmente no Deseadas): Aplicaciones que pueden suponer un riesgo para la seguridad y la privacidad de los datos, aunque no sean estrictamente maliciosas.
Ransomware: Tipo de malware que amenaza con publicar datos de la víctima o bloquear el acceso a ellos a menos que se pague un rescate.
RAT (Remote Access Trojan): Troyano que proporciona al atacante control total y remoto sobre el sistema de la víctima.
Reconocimiento: Fase inicial donde un atacante recopila la mayor cantidad de información posible sobre un objetivo.
Recon-ng: Framework de reconocimiento web con módulos independientes para bases de datos.
Reverse Social Engineering (Ingeniería Social Inversa): Atacante se presenta como autoridad, haciendo que la víctima lo contacte para pedir ayuda y revele información.
RFCrack: Herramienta utilizada para probar comunicaciones de RF por debajo de 1 GHz, para ataques de "Rolling Code".
Rolling Code (Código Rodante): Ataque a sistemas de acceso sin llave que utilizan un código que cambia con cada uso.
Root Guard (STP): Evita que los puertos se conviertan en puente raíz si reciben BPDUs superiores.
Rogue AP (Punto de Acceso Falso): AP no autorizado en una red corporativa.
Rootkit: Programas diseñados para ocultar su presencia y la de otros programas maliciosos en un sistema.
Rooting: Proceso de obtener control privilegiado (acceso "root") sobre el sistema operativo de dispositivos Android.
RSA (Rivest-Shamir-Adleman): Algoritmo asimétrico más utilizado, basado en la dificultad de factorizar números primos grandes.
SAM (Security Accounts Manager): Archivo donde los sistemas Windows almacenan las contraseñas de los usuarios locales como un hash.
Scanning (Escaneo): Fase de escaneo de la red para identificar hosts activos, puertos abiertos y servicios.
Scareware: Malware que asusta al usuario haciéndole creer que su sistema está infectado para que compre software falso.
Script Kiddies: Hackers sin habilidades avanzadas que utilizan herramientas y scripts desarrollados por otros.
SDR (Radio Definida por Software): Sistema de comunicación por radio en el que los componentes que típicamente se implementan en hardware se implementan mediante software.
Segunda Orden (Second-Order SQLi): Ataque donde la entrada maliciosa se almacena y se ejecuta en una consulta posterior.
Segmentación de la Red (DMZ): Colocar servidores web en un segmento de red aislado.
Service Hijacking (Secuestro de Servicio): Obtener acceso a credenciales para controlar un servicio en la nube.
SHA (Secure Hash Algorithm): Familia de funciones hash desarrollada por el NIST (SHA-1, SHA-2, SHA-3).
Shellcode Polimórfico: Payload de ataque que se cifra o codifica de tal manera que su firma cambia en cada envío.
Sherlock: Herramienta para buscar un gran número de sitios de redes sociales para un nombre de usuario objetivo.
Shodan: Motor de búsqueda para dispositivos conectados a Internet.
Shoulder Surfing (Mirar por encima del Hombro): Observación secreta del objetivo para obtener información (ej. contraseñas, PINs).
SIEM (Security Information and Event Management): Herramienta que recopila y analiza datos de registro de múltiples fuentes para detectar actividades sospechosas.
Simjacker: Ataque que explota una vulnerabilidad en el navegador S@T de tarjetas SIM.
SIP (Session Initiation Protocol): Protocolo para telefonía IP y videollamadas.
Script Kiddies: Hackers sin habilidades avanzadas que utilizan herramientas y scripts desarrollados por otros.
SMB (Server Message Block): Protocolo de aplicación de red utilizado para proporcionar acceso compartido a archivos, impresoras y otras comunicaciones.
SMiShing (SMS Phishing): Uso de mensajes de texto (SMS) para engañar a los usuarios.
Sniffing: Interceptación pasiva o activa de tráfico de red para capturar información sensible.
SNMP (Simple Network Management Protocol): Protocolo estándar de Internet para monitorear y gestionar dispositivos de red.
Social-Engineer Toolkit (SET): Framework de código abierto basado en Python para pruebas de penetración centradas en la ingeniería social.
Social Engineering (Ingeniería Social): El arte de manipular a las personas para que revelen información confidencial o realicen acciones que normalmente no harían.
Spear Phishing: Ataque de phishing dirigido a individuos o grupos específicos.
Spyware: Software sigiloso que monitoriza la interacción del usuario con el ordenador y con Internet sin su conocimiento.
SQLmap: Herramienta de código abierto que automatiza el proceso de detección y explotación de vulnerabilidades de inyección SQL.
SS7 (Signaling System 7): Protocolo de comunicación celular que, debido a su operación basada en la confianza mutua sin autenticación, es vulnerable a ataques.
SSH (Secure Shell): Protocolo de red criptográfico para operar servicios de red de forma segura sobre una red no segura.
SSID (Service Set Identifier): Un nombre único de hasta 32 caracteres que identifica una red de área local inalámbrica (WLAN).
SSRF (Server-Side Request Forgery): Vulnerabilidad que permite a un atacante inducir a la aplicación del lado del servidor a realizar solicitudes a un dominio elegido por el atacante.
Stateful Inspection (Inspección de Estado): Tecnología de firewall que realiza un seguimiento del estado de las conexiones activas para tomar decisiones de filtrado.
STP (Spanning Tree Protocol): Protocolo de red que evita bucles en las redes Ethernet conmutadas.
Tautología (SQLi): Inyección de condiciones que siempre son verdaderas (ej. ' or 1=1-- ) para eludir la lógica de la aplicación.
TCP Intercept: Función de los routers que protege contra inundaciones SYN, interceptando las peticiones.
Telnet: Protocolo no seguro que transmite credenciales en texto plano.
TFTP (Trivial File Transfer Protocol): Protocolo sin conexión para transferencia de archivos, menos seguro que FTP.
THC-Hydra: Herramienta muy rápida para crackear servicios de red que requieren autenticación.
Traceroute: Programa que utiliza paquetes ICMP y el campo TTL para descubrir los routers en la ruta hacia un host objetivo.
Transferencia de Zona DNS: Mecanismo que replica la información de la base de datos DNS de un servidor primario a uno secundario.
Troyano (Trojan): Programa en el que un código malicioso está contenido dentro de un programa o datos aparentemente inofensivos.
Tunneling: Encapsulación del tráfico de un protocolo dentro de otro para eludir las reglas del cortafuegos.
TTPs (Tácticas, Técnicas y Procedimientos): Concepto para describir y analizar el comportamiento de los actores de amenazas.
UDP Flood (Inundación UDP): Atacante envía gran volumen de paquetes UDP con direcciones IP de origen falsificadas a puertos aleatorios del servidor objetivo.
UPnP (Universal Plug and Play): Conjunto de protocolos de red que permite a los dispositivos en red descubrir la presencia de otros y establecer servicios de red.
Validación de Entradas: Proceso de asegurar que la entrada proporcionada por el usuario cumple con los criterios requeridos antes de ser procesada.
VeraCrypt: Software de código abierto para el cifrado de disco en tiempo real.
Virtual Hosting: Técnica que permite alojar múltiples dominios o sitios web en un único servidor.
Virus: Programa autorreplicante que produce su propia copia adjuntándose a otro programa, sector de arranque del ordenador o documento.
Vishing (Voice Phishing): Utiliza la tecnología de voz (teléfono, VoIP) para suplantar la identidad y engañar a las víctimas.
VLAN Hopping (Salto de VLAN): Técnica para obtener acceso a recursos de red que residen en una VLAN diferente.
VPC (Virtual Private Cloud): Una nube privada alojada dentro de una nube pública, que proporciona aislamiento y control de la red.
VRFY (Verify): Comando SMTP utilizado para verificar si un nombre de usuario existe en el servidor.
Vulnerabilidad: Existencia de debilidad en un activo que puede ser explotada por agentes de amenaza.
WAF (Web Application Firewall): Firewall que filtra, monitoriza y bloquea el tráfico HTTP hacia y desde una aplicación web.
WarDriving: Práctica de buscar redes Wi-Fi desde un vehículo en movimiento.
Web Cache Poisoning: Ataque que corrompe la fiabilidad de una caché web intermedia, haciendo que almacene contenido malicioso.
Web Server Misconfiguration: Errores en la configuración del servidor web que pueden ser explotados.
WEP (Wired Equivalent Privacy): Protocolo de seguridad inalámbrica temprano y muy vulnerable.
Whaling: Spear phishing enfocado en ejecutivos de alto nivel.
White Hat: Profesional de la seguridad que utiliza sus habilidades de hacking con fines defensivos, con permiso explícito.
Wireshark: Analizador de protocolos de red popular que captura y permite la exploración interactiva del tráfico en tiempo real.
Whois: Herramienta para obtener información sobre el propietario de un dominio.
WPA/WPA2/WPA3 (Wi-Fi Protected Access): Familia de protocolos de seguridad diseñados para proteger las redes inalámbricas, cada uno más seguro que el anterior.
WPS (Wi-Fi Protected Setup): Estándar de seguridad de red que permite a los usuarios domésticos asegurar fácilmente una red inalámbrica, pero con graves vulnerabilidades.
XSS (Cross-Site Scripting): Atacante inyecta scripts del lado del cliente en páginas web vistas por otros usuarios.
Zombie: Ordenador o dispositivo que ha sido comprometido por un atacante y se ha convertido en parte de una botnet.

Preguntas Frecuentes sobre Ciberseguridad

¿Qué es el hacking ético y por qué es importante para la ciberseguridad?

El hacking ético es una disciplina esencial de la ciberseguridad que implica el uso de herramientas y técnicas de atacantes para identificar y corregir vulnerabilidades de forma legal y autorizada. Su objetivo principal es fortalecer la postura de seguridad de una organización, permitiendo "vencer a un hacker pensando como uno". Los hackers éticos, también conocidos como "white hats", trabajan con el permiso explícito del propietario del sistema, a diferencia de los "black hats" que actúan con fines maliciosos. La importancia radica en su enfoque proactivo para descubrir debilidades antes de que los ciberdelincuentes puedan explotarlas, minimizando así los riesgos financieros y reputacionales.

¿Cuáles son las principales fases de un ciberataque, según las metodologías CEH y Cyber Kill Chain?

Tanto la Metodología de Hacking CEH (Certified Ethical Hacker) como la Cyber Kill Chain describen las fases de un ciberataque, aunque con un enfoque ligeramente diferente.

Metodología CEH:

Footprinting (Reconocimiento): Recopilación pasiva y activa de la mayor cantidad de información sobre el objetivo (rangos IP, dominios, empleados).
Escaneo (Scanning): Identificación de hosts activos, puertos abiertos y servicios en ejecución en la red.
Enumeración: Obtención de información detallada de los sistemas objetivo, como nombres de usuario, recursos compartidos y configuraciones.
Análisis de Vulnerabilidades: Identificación, medición y clasificación de fallos de seguridad en sistemas y aplicaciones.
Hacking del Sistema: La explotación real, que incluye la obtención de acceso, escalada de privilegios, mantenimiento de acceso y borrado de huellas.

Cyber Kill Chain (Lockheed Martin):

Reconocimiento: El atacante investiga al objetivo.
Armamento (Weaponization): Creación de un "arma" cibernética (exploit + payload).
Entrega (Delivery): Transmisión del arma al objetivo (ej. email, USB).
Explotación: Activación del código malicioso al aprovechar una vulnerabilidad.
Instalación: Establecimiento de persistencia (malware, backdoors) en el sistema.
Comando y Control (C2): Creación de un canal de comunicación para el control remoto.
Acciones sobre los Objetivos: Cumplimiento del objetivo final del atacante (robo de datos, destrucción).

Ambas metodologías ofrecen marcos estructurados para entender cómo se ejecutan las intrusiones, siendo esenciales para que los defensores puedan anticipar y mitigar los ataques en sus diversas etapas.

¿Cómo se clasifican los distintos tipos de hackers según sus motivaciones y acciones?

Los hackers se clasifican según sus intenciones y la legalidad de sus actividades:

Black Hats (Sombrero Negro): Individuos con altas habilidades informáticas que las usan para fines maliciosos, destructivos o criminales, sin autorización. También son conocidos como "crackers".
White Hats (Sombrero Blanco): Son hackers éticos o analistas de seguridad que utilizan sus habilidades para propósitos defensivos, con el permiso explícito del propietario del sistema, con el fin de mejorar la seguridad.
Gray Hats (Sombrero Gris): Operan tanto ofensiva como defensivamente, a menudo sin permiso, pero pueden revelar vulnerabilidades a los propietarios a cambio de una recompensa (bug bounty) o por otros motivos.
Script Kiddies: Hackers sin habilidades avanzadas que utilizan herramientas y scripts desarrollados por otros para comprometer sistemas, generalmente sin entender el funcionamiento subyacente.
Hacktivistas: Utilizan el hacking para promover una agenda política o social, a menudo mediante la desfiguración de sitios web ("defacement") o ataques de denegación de servicio para causar interrupción y visibilidad.
Hackers Patrocinados por el Estado (State-Sponsored): Empleados por gobiernos para infiltrarse en sistemas de otras naciones y robar información clasificada, a menudo en operaciones de ciberespionaje o ciberguerra.

¿Cuáles son las técnicas de "footprinting" y "reconocimiento" más comunes y qué información buscan los atacantes?

El "footprinting" y el "reconocimiento" constituyen la fase inicial de un ciberataque, donde los atacantes recopilan la mayor cantidad de información posible sobre el objetivo. Esto puede ser pasivo (sin interacción directa) o activo (con interacción, como escaneos de red). Las técnicas comunes y la información que buscan incluyen:

Redes Sociales: Información de contacto, ubicación, identidad de familiares, intereses (de perfiles personales) y estrategias de negocio, perfiles de productos, tecnologías usadas (de perfiles organizacionales). Herramientas como BuzzSumo, Followerwonk o Sherlock.
Sitios Web: Versión de software, sistema operativo, plataforma de scripting, tecnologías usadas, detalles de contacto, comentarios ocultos, metadatos, información de cookies, y contenido de sitios archivados (Internet Archive Wayback Machine). Herramientas como Burp Suite, Web Spiders y HTTrack.
Correo Electrónico: Servidor de correo del remitente, fecha, hora, dirección IP y geolocalización a través de los encabezados de correo. Herramientas como eMailTrackerPro o Infoga.
Whois: Detalles del nombre de dominio, contacto del propietario, servidores de nombres y fechas de registro/caducidad.
DNS: Registros de servidores de nombres, registros A, MX, NS, SOA, TXT para mapear la infraestructura de red. Herramientas como SecurityTrails, DNSrecon y nslookup.
Red (Network): Rangos de IP, topología de red, routers intermedios (con Traceroute).
Ingeniería Social: Información sensible como detalles de tarjetas de crédito, nombres de usuario, contraseñas, productos de seguridad en uso, configuraciones de red, mediante manipulación humana (eavesdropping, shoulder surfing, dumpster diving, impersonation). Herramientas como Maltego y SET.

El objetivo es construir un "mapa" detallado de la infraestructura, activos, relaciones y vulnerabilidades potenciales del objetivo antes de lanzar un ataque.

¿Qué es la "enumeración" en el hacking ético y qué tipos de información se busca a través de ella?

La "enumeración" es la fase en el hacking ético que sigue al reconocimiento y al escaneo, donde un atacante establece conexiones activas con el sistema objetivo para extraer información detallada. A diferencia del escaneo que busca puertos abiertos, la enumeración profundiza para obtener datos específicos que pueden ser utilizados para identificar vulnerabilidades y preparar un ataque de explotación.

La información típica obtenida a través de la enumeración incluye:

Nombres de usuario y máquinas: Identificación de cuentas válidas y nombres de dispositivos en la red.
Recursos de red y recursos compartidos: Descubrimiento de carpetas, archivos y servicios compartidos que podrían contener información sensible o configuraciones débiles.
Tablas de enrutamiento: Mapeo de la estructura interna de la red.
Configuración de auditoría y servicio: Detalles sobre cómo están configurados los servicios y qué tipo de registro se lleva a cabo.
Detalles de SNMP y FQDN: Información de dispositivos de red y sus nombres de dominio.
Aplicaciones y banners: Versiones y configuraciones de software en ejecución, que pueden revelar vulnerabilidades conocidas.

La enumeración se dirige a servicios específicos en puertos TCP y UDP, como DNS (53), NetBIOS (137, 139), SMB (445), SNMP (161), LDAP (389) y SMTP (25), utilizando herramientas como nslookup, dig, nbtstat, SnmpWalk, Nmap y la suite PsTools.

¿Cuáles son las causas comunes de las vulnerabilidades en los sistemas informáticos y cómo se clasifican?

Las vulnerabilidades en los sistemas informáticos son debilidades que pueden ser explotadas por agentes de amenaza. Sus causas son variadas:

Malas configuraciones de hardware o software: Ajustes inseguros o incompletos que crean puntos de entrada inesperados.
Diseño deficiente o inadecuado de la red y las aplicaciones: Falta de consideración de la seguridad desde las fases iniciales del desarrollo.
Debilidades tecnológicas inherentes: Fallos de diseño en el hardware o software, o sistemas sin las últimas actualizaciones (sin parches).
Descuido del usuario final: Comportamientos humanos que introducen riesgos (contraseñas débiles, falta de concienciación).
Actos intencionales del usuario final: Mal uso deliberado de recursos por parte de personas con acceso confiable.

Las vulnerabilidades se clasifican en varias categorías:

Vulnerabilidades Tecnológicas: Fallos en protocolos (TCP/IP), sistemas operativos (SO sin parches), o dispositivos de red (mala configuración, contraseñas débicas).
Vulnerabilidades de Configuración: Cuentas de usuario/sistema inseguras, servicios de Internet mal configurados (IIS, Apache, FTP, Telnet), contraseñas y configuraciones por defecto.
Fallos de Aplicación: Desbordamientos de búfer, fugas de memoria, agotamiento de recursos, inyección DLL, condiciones de carrera.
Manejo de Entrada/Errores Impropio: Falta de validación de entradas o exposición de información sensible en mensajes de error.
Gestión de Parches Deficiente: Servidores, firmware, SO o aplicaciones sin parches, dejando expuestas vulnerabilidades conocidas.
Defectos de Diseño: Fallos inherentes a la lógica o arquitectura de la aplicación.
Riesgos de Terceros: Vulnerabilidades introducidas por proveedores, integración de sistemas externos, desarrollo subcontratado o cadenas de suministro comprometidas.
Configuraciones/Instalaciones Predeterminadas: Uso de configuraciones de fábrica inseguras.
Vulnerabilidades de Día Cero: Debilidades desconocidas para el proveedor y, por lo tanto, sin parche.
Vulnerabilidades de Plataforma Legacy: Sistemas obsoletos sin soporte ni actualizaciones.
Falta de Documentación/Propagación de Activos: Activos no rastreados que pueden tener debilidades.
Gestión Impropia de Certificados y Claves: Implementación deficiente de la criptografía.

La comprensión de estas causas y clasificaciones es fundamental para realizar una evaluación de vulnerabilidades efectiva y priorizar la remediación.

¿Qué son los ataques de "Denegación de Servicio" (DoS) y "Denegación de Servicio Distribuido" (DDoS), y cuáles son sus objetivos principales?

Los ataques de Denegación de Servicio (DoS) y Denegación de Servicio Distribuido (DDoS) son tipos de ciberataques cuyo objetivo principal no es robar información, sino hacer que un sistema, servicio o recurso de red sea inaccesible para sus usuarios legítimos.

Ataque de Denegación de Servicio (DoS): Es una ofensiva lanzada desde un único sistema contra un objetivo específico. El atacante inunda el sistema víctima con un volumen masivo de solicitudes de servicio o tráfico ilegítimo, o explota una vulnerabilidad que agota sus recursos (ancho de banda, CPU, memoria), causando que el servicio se ralentice o se bloquee completamente.
Ataque de Denegación de Servicio Distribuido (DDoS): Es una versión a gran escala y coordinada de un ataque DoS. Se lanza desde múltiples sistemas comprometidos (conocidos como "zombies" o "bots") que forman una botnet, bajo el control de un atacante ("botmaster"). Esta distribución multiplica exponencialmente la efectividad del ataque, ya que el volumen de tráfico generado es inmenso y es mucho más difícil de mitigar y rastrear debido a la multiplicidad de orígenes.

El objetivo principal de ambos ataques es interrumpir la disponibilidad de los servicios. Esto puede resultar en pérdidas financieras, daño a la reputación y la interrupción completa de las operaciones de una organización. Las técnicas de ataque varían desde inundaciones volumétricas (UDP Flood, SYN Flood) hasta ataques de protocolo (Ping of Death) y ataques de capa de aplicación (HTTP Flood, Slowloris), que son más difíciles de detectar porque imitan el tráfico legítimo.

¿Por qué la ingeniería social se considera una de las amenazas más efectivas en ciberseguridad y cuáles son sus técnicas más comunes?

La ingeniería social es considerada una de las amenazas más efectivas en ciberseguridad porque explota las vulnerabilidades del comportamiento humano en lugar de las fallas técnicas. A diferencia de los ataques puramente tecnológicos, no existe un mecanismo de seguridad único (software o hardware) que pueda proteger completamente contra la manipulación psicológica. Los atacantes, o ingenieros sociales, se aprovechan de sesgos cognitivos como la confianza, el miedo, la urgencia, la autoridad o la curiosidad, haciendo que las personas revelen información confidencial o realicen acciones perjudiciales de forma inadvertida.

Las técnicas de ingeniería social se clasifican en tres categorías principales:

Basadas en Personas (Interacción Humana):

Impersonation (Suplantación de Identidad): Fingir ser una persona legítima (ej. técnico de soporte, ejecutivo) para engañar a la víctima.
Vishing (Voice Phishing): Utilizar llamadas telefónicas (VoIP) para suplantar la identidad y obtener información.
Eavesdropping (Escucha no autorizada): Escuchar conversaciones o leer mensajes para obtener información sensible.
Shoulder Surfing (Mirar por encima del hombro): Observar directamente a alguien mientras introduce credenciales.
Dumpster Diving (Buceo en la basura): Rebuscar en la basura física o digital para encontrar documentos valiosos.
Reverse Social Engineering (Ingeniería Social Inversa): El atacante se presenta como una autoridad en un tema, haciendo que la víctima lo contacte para pedir ayuda y revele información.
Piggybacking y Tailgating: Entrar en un área segura siguiendo de cerca a una persona autorizada.
Baiting (Cebo): Dejar un dispositivo físico (ej. USB infectado) para que una víctima curiosa lo conecte.
Quid Pro Quo: Ofrecer un supuesto servicio a cambio de información o credenciales.

Basadas en Ordenadores:

Phishing: Correos electrónicos fraudulentos que parecen legítimos para robar información personal (incluye Spear Phishing y Whaling).
Pharming: Redireccionar el tráfico de un sitio web legítimo a uno fraudulento sin el conocimiento del usuario.
Scareware: Malware que asusta al usuario haciéndole creer que su sistema está infectado para que compre software falso.
Pop-Up Windows: Ventanas emergentes engañosas que incitan a hacer clic en enlaces maliciosos.

Basadas en Móviles:

Publishing Malicious Apps / Repackaging Legitimate Apps: Publicar o modificar aplicaciones para incluir malware y robar credenciales.
SMiShing (SMS Phishing): Utilizar mensajes de texto (SMS) para engañar a los usuarios.

La educación y concienciación continua de los empleados son la contramedida más crucial, ya que les permite reconocer y resistir estos intentos de manipulación, convirtiéndose en una "barrera humana" contra los ataques.

Themes

tema-curso-ceh-completo