hackeo – Instituto FOC | Informática ONLINE | FP Informática ONLINE

¿Qué es el hacking ético?

Se define hacking ético como la actividad de búsqueda de vulnerabilidades mediante la utilización de pen test (pruebas de penetración informáticas) en las redes de una  organización. Su finalidad es prevenir esas vulnerabilidades. Previenen los posibles fallos de seguridad y para mitigar los daños, priorizan los riesgos y verifican el cumplimiento de la normativa vigente.

Debido a la evolución de los ciberataques, las empresas privadas y los gobiernos han implementado el hacking ético como herramienta de prevención, control y mitigación de incidentes.

¿En qué se miden los daños causados?

  • En términos monetarios.
  • En el impacto de la imagen pública.
  • En la falta de confianza que esta situación puede generar en sus clientes.

¿Cuál es el origen de los ataques?

  • De otros países
  • Grupos de cibercriminales, ciberterroristas…
  • Desde dentro de la misma red corporativa o institucional, incluso a veces de sus propios colaboradores.

El hacking ético puede enfocarse desde dos vertientes:

  1. Prestación de servicios que permitan detectar fallos en los sistemas a través de pen test.
  2. Servicio de formación y capacitación de los empleados, a cargo de personal externo de la empresa, para que puedan detectar y prevenir estos ataques y robos de información.

Beneficios:

  • Para usuarios/particulares: favorece el uso de herramientas y sistemas digitales que las empresas ponen a su disposición.
  • Para las empresas: protección de los activos empresariales sin poner en riesgo su imagen ni la confidencialidad de datos.
  • Para la Administración Pública: herramienta clave en la seguridad de sus sistemas y lucha en contra del ciberterrorismo.

Tipos de hacking ético:

  • Externo caja blanca: se analizan todas las posibles brechas de seguridad mediante la información previamente proporcionada. Como resultado se obtiene un amplio informe en el que se incluyen recomendaciones.
  • Externo caja negra: igual que el anterior pero sin disponer de información previa.
  • Interno: analiza la red interna de la empresa para identificar la intrusión.
  • De aplicaciones web: simula ataques reales a determinadas aplicaciones.
  • De sistemas de comunicaciones: analiza la seguridad de las telecomunicaciones y la disponibilidad de los sistemas de comunicaciones.
  • VoIP: se analizan los riesgos de seguridad derivados de la conversión entre redes de voz y datos.
  • Test de denegación de servicio: se analiza el grado de solidez de un servicio ante la agresión de un atacante local o remoto.

Principales clientes:

  • Infraestructuras críticas.
  • Empresas con alta madurez tecnológica.
  • Empresas con grandes sistemas de información y de gestión de datos.
  • Gobierno y Administraciones Públicas.
  • Pymes.

Caso de éxito:

La Asociación Nacional de Profesionales del Hacking Ético, ANPHacket, reúne a hackers éticos, juristas expertos en derecho informático y fuerzas de seguridad. Su finalidad es fomentar la colaboración y el intercambio de información para luchar contra el cibercrimen y participar en actividades que promuevan la imagen del hacking ético como herramienta para garantizar la seguridad de los estados y empresas.

Foto de Ordenador creado por freepik – www.freepik.es

¿Qué es la Autenticación Multifactor (MFA)?

La MFA es un sistema de seguridad que exige varias formas de autenticación para verificar la legitimidad de una actividad. Combina varios credenciales independientes:

  • Contraseña (lo que sabe el usuario)
  • Token de seguridad (lo que tiene el usuario)
  • Verificación biométrica (lo que es el usuario)

 

¿Cuál es su objetivo?

Crear una defensa por capas para que sea más complicado que puedas sufrir un hackeo. Con este sistema, aunque uno de los factores se vea comprometido, los otros seguirán realizando su función, dificultando así el acceso a tus datos.

Anteriormente, el sistema de MFA se basaba sólo en 2 factores pero debido al incremento en el uso de dispositivos por parte de los consumidores para realizar compras o actividades bancarias, ha hecho que se genere autenticación de 3 factores para aportar una mayor seguridad a los usuarios.

 

A continuación puedes ver algunos ejemplos en los que se utiliza este sistema de seguridad:

  • Pasar una tarjeta e introducir un PIN
  • Deslizar una tarjeta, escanear tu huella digital y responder a una pregunta de seguridad
  • Iniciar sesión en una web y que te requiera introducir una contraseña que te han enviado previamente al móvil o al correo electrónico.

Ventajas del uso de las máquinas virtuales.

Antes de ver las ventajas de las máquinas virtuales, veremos que una máquina virtual es un software de virtualización que es capaz de abstraer las características físicas del ordenador donde está instalado y crear virtualizaciones que producen la ilusión de ser varias plataformas hardware independientes. Esto hace que cada máquina virtual interactúe como un ordenador independiente, sobre el cual poder instalar un sistema operativo diferente.

Nuestros alumnos que han cursado el certificado de profesionalidad IFCT0210 Operación de Sistemas Informáticos, son capaces de entender el concepto de virtualización.

Las ventajas son las siguientes:

  • Las distintas máquinas virtuales que instalemos en una misma máquina física, pueden ejecutar diferentes sistemas operativos, por lo que tendremos varios ordenadores virtuales con distintos sistemas operativos ejecutándose a la vez en una misma máquina física.
  • Disponer de un método para crear entornos de prueba que nos permitan analizar nuevas soluciones antes de que puedan afectar al resto de la infraestructura.
  • Mejor aprovechamiento de los recursos compartidos.
  • Reduce los costes de los centros de datos reduciendo su infraestructura física.
  • Fácil implantación ya que disponen de mecanismos de clonación para trasladar las máquinas virtuales a otro hardware diferente.

Estas y otras muchas ventajas hacen que cada día más usuarios y empresas usen máquinas virtuales para implementar sus sistemas informáticos.

Lo que nunca debes hacer con cualquier dispositivo electrónico.

Efectivamente lo que nunca debes hacer con un dispositivo electrónico, que tenga conexión a internet. Por que esa coletilla “a mi eso no me va a pasar” hace que tengamos conductas de riesgo que son muy fácilmente evitables siguiendo estos 5 consejos. (Según la Oficina de Seguridad del Internauta).

Robo de password

  1. No prescindas de un antivirus y actualízalo con frecuencia.
  2. Realiza actualizaciones del software que tengas instalado
  3. No abras ficheros compartidos si más.
  4. No aceptes condiciones de servicio sin leerlas
  5. No descargues software de repositorios no oficiales

 

Sigue estos sencillos consejos,de sobra conocidos por nuestros alumnos de del certificado de profesionalidad IFCT0210 Operación de Sistemas Informáticos y mejoraras la seguridad de tus dispositivos eletrónicos.

Atención!!!!!!!!! CCleaner hackeado.

La noticia del Hackeo de CCleaner, la herramienta de limpieza de ordenadores más popular del mercado, nos hace bajar a la realidad y nos hace pensar en la posibilidad de que nuestro ordenador sea hackeado.

Si eres usuario de esta herramienta, deberías ver la web del desarrollador y comprobar si la versión que tienes instalada, es la hackeada. Desde la OSI (Oficina de seguridad del Internauta) confirman que las versiones afectadas son la CCleanes 5.33.6162 y/o CCleaner Cloud 1.07.3191.

Osi-CCleaner

Según datos de la propia empresa, más de 2 millones de usuarios de esta herramienta, han instalado una versión hackeada, para incluir en ella malware. Desde la propia compañía informan que el código malicioso estaba realizando, entre otras, las siguientes acciones: nombre del equipo, listado de software instalado (incluyendo actualizaciones de Windows), listado de procesos en ejecución, direcciones MAC, etc.

Los alumnos del certificado de profesionalidad IFCT0210 Operación de Sistemas Informáticos aprenden como combatir el malware ya que formará parte de su trabajo diario en el mantenimiento de sistemas microinformáticos.