Gracias por la consulta.

Pues sí, existen herramientas para hacer pentesting de dispositivos ioT, los frameworks como Metasploit, Core Impact, Immunity Canvas, entre otros, incluyen módulos para detectar y explotar vulnerabilidades en diversos dispositivos de este tipo.

Pero en realidad un pentesting de dispositivos ioT requiere mucho más trabajo manual que otros ambientes tradicionales, puesto que los protocolos, APIs y aplicaciones suelen ser diferentes a los que usa un servidor, un equipo de comunicaciones o un PC y es necesario efectuar esta exploración para saber a qué te enfrentas.

Hola, gracias por escribir. Respondiendo a tus preguntas:

- No, la actualización de plataformas de pentesting como Kali Linux no es automática. El sistema operativo te avisa cuando hay nuevas actualizaciones disponibles, pero es el administrador quien decide si las descarga o no y si las instala.

- Asumo que te refieres al Windows Subsystem for Linux (WSL). Esta es una característica que debes activar para luego poder instalar plataformas como Kali, Ubuntu, etc. Esta es una guía que encontré en Internet y que explica paso a paso cómo activar WSL en Windows 10: https://computerhoy.com/paso-a-paso/software/como-instalar-linux-como-aplicacion-windows-10-71367

Hola, gracias por tu consulta.

No estoy segura si te refieres a herramientas online para hacer análisis de malware, si tu consulta es sobre reversing o si te refieres a cómo probar si el "malware" que has creado para hacer pruebas de ingeniería social funciona, así que te voy a contestar las tres en orden:

1) Hay diversas herramientas para hacer sandboxing y análisis de malware online, estas son algunas:

• https://www.hybrid-analysis.com/
• https://www.virustotal.com/
• https://any.run/
• https://analyze.intezer.com/#/analyze
• https://otx.alienvault.com/

2) Para hacer reversing debes tener habilidades de programador y entender código ensamblador. Estas son algunas herramientas para hacer reversing:

• IDA Pro: https://www.hex-rays.com/products/ida/
• Explorer Suite: https://ntcore.com/?page_id=388
• Olly DBG: http://www.ollydbg.de/

3) Si se trata de una campaña de ingeniería social para un cliente que incluye la prueba de adjuntos maliciosos, hay herramientas sencillas con las que puedes empezar a crear malware y codificarlo como msfvenom, y luego para probar creas una máquina virtual con un ambiente similar a las PCs de tu cliente (mismo sistema operativo, mismo antivirus). Pero en la práctica, la mayoría de antivirus "decentes" van a detectar un payload por defecto creado con msfvenom, a no ser que desarrolles tu propio payload o uses técnicas de obfuscación, para lo cual debes tener conocimientos de programación.

Hola, gracias por tu consulta. Respondiendo a tus preguntas:

- Rapid7 es una empresa que desarrolla varias herramientas, entre ellas Metasploit Framework y Metasploit Professional. Ambos son buenos frameworks de pentesting, el primero es open-source y el segundo es comercial. Además de Metasploit Professional existen otros frameworks de pentesting profesionales como Core Impact, Immunity Canvas y Cobalt Strike que también puedes revisar.

- HackTheBox es una muy buena plataforma para practicar desafíos de hacking, totalmente recomendada.

Hola, gracias por tu pregunta. Te refieres a la Fase 4 del Círculo del Hacking? Te pego una imagen sacada de mi libro "Hacking Ético 101":

Si es ese el caso, en el círculo de la izquierda la Fase 4 es "Mantener Acceso" y se usan backdoors (puertas traseras) y rootkits. Si te refieres al círculo de la derecha, "Escribir Informe" hay varias herramientas que te pueden aliviar esa tarea como Dradis, MagicTree y Scrivener.

Hola, gracias por preguntar. Puedes ver algunos modelos y marcas de adaptadores de red para Wardriving - compatibles con Kali Linux - que recomiendo, en mi página de influencer de Amazon:

• https://www.amazon.com/shop/karinaastudillo