el - fecha de última edición por
Hilda Arteaga
- Introducción
- Preguntas de la sesión
- P: ¿Puede llegar un ransonware a secuestrar material cifrado?
- P: ¿Qué software se puede utilizar para el cifrado?
- P: ¿Hay alguna forma de identificar el correo además de revisar el dominio después del @ o lo que va después del .org o .com por ejemplo?
- P: ¿Existe alguna forma de identificar virus tipo malware en Windows?
- P: ¿Además de verificar los link de correos, de que otra manera podemos descartar que no sea correo malicioso?
- P: ¿Qué SIEM recomiendas?
- P: ¿Cuáles serían los requisitos minimos de Hardware para tener una máquina competente para pentesting?
- P: ¿Gophish puede ser usado para actividades ilícitas o tiene limitaciones para un correcto uso?
- P: En la prueba que realizo Karina, ella hizo un puente en una página de Facebook falsa y una vez que los datos fueron ingresados, el usuario fue dirigido a la página de Facebook original?
- P: ¿Qué sugerencia dan para sortear los filtros tipo SPF DKI, etc, para hacer EH sobre los sitios tÍpicos que los usuarios usan como Face, Google, Microsoft?
- P: ¿La información que se sube Gophish, puede ser utilizada por tercero? ¿Quisiera saber si subir todas las cuentas de coreo de mis usuraios es seguro?
- P: Una vez que se tiene acceso a los cursos de la academia de hacking ¿cuánto tiempo se tiene para ver los videos del mismo o se tiene un acceso ilimitado?
- P: ¿Cuantas horas de duracion tiene el curso de Social Engineering Warrior?
- P: ¿El precio del curso de la Academia Hacking es en dólares?
- P: ¿Cuánto va a durar el descuento para el curso de Karina?
- P: ¿Qué recomiendan para comenzar en el ambito del hacking (libros cursos, etc)?
- P: ¿Qué recomiendas para escanear las vulnerabilidades de sitios web?
- P: ¿Los software para cifrado que nos da Karina son de licencia gratuita o de paga?
- P: Estuve realizando probando gophish pero a la hora de mandar la campaña llegaba a la bandeja de correos no deseados pero los test no ¿alguna sugerencia?
- P: ¿Qué literatura se recomienda para una empresa que no se ha hecho ningún programa de capacitación a usuarios?
- P: ¿En qué consiste esas vulnerabilidad de sudo en Linux?
- P:¿Qué opina sobre la última vulnerabilidad que se revelo en la herramienta sudo de Linux?
- P: ¿bitlocker tiene alguna desventaja?
- P: ¿Cómo se verifican realmente las credenciales o certificados digitales de una web? Es decir, saber que es realmente segura, y que los certificados también se pueden falsificar?
- P: ¿Mención de algún material relacionado a la demo?
- P: En caso de un ataque ransomware, si se cifran archivos que se sincronizan con onedrive, googledrive, dropbox, etc. ¿estos podrían recuperarse del historial de versiones?
- P: Habalndo de Endpoint AMP de Cisco y Kaspersky security ¿cuál es más recomendable?
- P: ¿Las aplicaciones que menciona Karina son seguras?
- P: ¿Qué opinas de la pseudoanonimizacion de datos sensibles en documentos para mitigar que si son secuestrados no tengan valor para el atacante?
- P: ¿Cuál es la certificación que recomienda para avanzar en hacking ético?
- P: Si estoy interesada en tomar curso de certificación de Cisco CCNA nueva curricula v7, no lo pude concretar el año pasado, y se venció mi certificacion CCNA v6 ¿qué recomiendan?
- P: ¿En una Institucion educativa, cómo podemos implementar una unidad de Ciberseguridad para fines educativos?
- P: Yo tengo Kali linux y a la hora de instalar lo hice con cifrado ¿me recomiendas algo más para seguridad?
- P: ¿Tienen información del ataque a SolarWinds y qué metodología usaron?
- P: ¿Karina ofrece certificaciones de Hacking Ético?
- P: ¿Además de verificar los link de correos , de que otra manera podemos descartar que no sea correo malicioso?
- P: ¿En cuánto se estima la ganancia mensual de un pentester?
- P: He tenido problemas debido a que algunas herramientas de hack han sido abandonadas por sus programadores ¿qué alternativas existen y recomiendas?
- P: ¿Que tanto se diferencia Gophish a Cisco Security Awareness?
- P:¿Cómo abordar a una empresa cuyos encargados creen que la ciberseguridad es cosa de películas y que a ellos nunca les ha pasado nada?
- Información Relacionada
Este evento tuvo lugar el 28 de Enero a las 10:00hrs CDT (utc -6)
Introducción
En este evento la experta en seguridad Karina Astudillo explica cómo se pueden prevenir los ataques cibernéticos comunes como phishing, malware y rasomware entre otros, abordará desde las mejores estrategias y herramientas hasta las mejores prácticas para lograrlo. La sesión se enfoca en explicar y demostrar por qué es beneficioso para las organizaciones efectuar campañas de ingeniería social como parte de un pentetsing. También se habla del framework para crear campañas de phishing, su planificación y ejecución.
El evento incluye una demostración de cómo prevenir ciberataques y cómo configurar Gophish, herramienta que permite comprobar la exposición de phishing de una red.
- Datos estadísticos
- Tipos de ataques comunes
- Beneficios de realizar campañas de ingeniera social
- Planificando una campaña
- Demo
- Recomendaciones finales
Karina Astudillo es Consultora de Seguridad IT y CEO de Consulting Systems. También se desenvuelve como docente a nivel postgrado en programas de maestría y de la Academia Cisco en la Escuela Superior Politécnica del Litoral (ESPOL) en Ecuador. Karina cuenta con más de 20 años de experiencia en Tecnologías de Información. Es Ingeniera en Computación y posee una Maestría en Administración de Empresas y cuenta con diversas certificaciones internacionales como: Certified Ethical Hacker (CEH), Computer Forensics, CCNA, Security Specialist, Cisco Wireless Specialist, Sun Certified Solaris System Administrator (SCSA), Hillstone Certified Security Associate (HCSA) y Hillstone Certified Security Professional (HCSP) y Palo Alto ASE, entre otras. Karina tiene diversos libros y publicaciones en el área de seguridad.Puede descargar los slides en formato PFD aquí y el video de la sesión aquí.
Preguntas de la sesión
P: ¿Puede llegar un ransonware a secuestrar material cifrado?
R: Sí, ya que se puede hacer cifrado sobre cifrado.
P: ¿Qué software se puede utilizar para el cifrado?
R: Depende del sistema operativo, Linux tiene su propio cifrado así como Windows. En la parte de Windows recomiendo Veracrypt. Y para archivos individuales recomiendo AxCrypt.
P: ¿Hay alguna forma de identificar el correo además de revisar el dominio después del @ o lo que va después del .org o .com por ejemplo?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Existe alguna forma de identificar virus tipo malware en Windows?
R: Si utilizas una herramienta empoint protection sí, pero si estás hablando de malware de día 0 ahí lo único que te va a servir en primer lugar sería tu sentido común y segundo que tengas un empoint protección, que utilices algún tipo de machine learning o artificial inteligencia para poder detectar comportamiento y que no solamente esté basado en firmas, porque si es un malware nuevo de día 0 entonces no existe la firma para ese malware y un antivirus que este solamente basado en firmas no lo va a poder detectar
La única forma sería detectar un comportamiento malicioso y sería analizar los comportamientos, para esto necesitarías un software de protección de punto final que tenga machine learning que analice el comportamiento del software del programa que se va a ejecutar.
P: ¿Además de verificar los link de correos, de que otra manera podemos descartar que no sea correo malicioso?
R: Existen diversas consideraciones, también el caso y contexto también determinan. Pueden encontrar más considercaiones en el siguiente blog de Karina: https://karinaastudillo.com/evite-ser-victima-de-estafas-electronicas-reconozca-un-ataque-de-ingenieria-social/
P: ¿Qué SIEM recomiendas?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Cuáles serían los requisitos minimos de Hardware para tener una máquina competente para pentesting?
R: Puedes considerar lo siguiente:
1 laptop con un buen procesador (CPU Core i7 o equivalente como mínimo), al menos 8GB de RAM (16GB recomendado), tarjeta aceleradora de gráficos (para los laboratorios de cracking de claves), tarjeta WiFi. Si me preguntan, mi laptop favorita es la ACER Predator, seguida muy de cerca por la Alienware 15 R4.
1 router WiFi que soporte los protocolos: WEP, WPA/WPA2/WPA3.
P: ¿Gophish puede ser usado para actividades ilícitas o tiene limitaciones para un correcto uso?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: En la prueba que realizo Karina, ella hizo un puente en una página de Facebook falsa y una vez que los datos fueron ingresados, el usuario fue dirigido a la página de Facebook original?
R: Es correcto, la plataforma de gophish redirigió al usuario a la página original para que no levantará sospechas.
P: ¿Qué sugerencia dan para sortear los filtros tipo SPF DKI, etc, para hacer EH sobre los sitios tÍpicos que los usuarios usan como Face, Google, Microsoft?
R: En estos sitios de redes sociales se necesita contar con la autorización de la red social para hacer ese tipo de hacking, es decir que estas empresas te contratan para hacer ese tipo de pentest de lo contrario sería meterte con una red social que no te ha contratado y eso ya sería hacking malicioso porque estas tratando de hacer ingeniería social en una plataforma sobre la cual no tienes autorización .Cuando tú haces campañas de ingeniería social lo que se hace es suplantar estas redes sociales pero no te metes a auditar este sitio web a nos ser que seas Dayton hunters o que estás en un plataforma como bad craft cobalao o hacker one para estas empresas El hacking de ingeniería social no se mete con las redes sociales.
P: ¿La información que se sube Gophish, puede ser utilizada por tercero? ¿Quisiera saber si subir todas las cuentas de coreo de mis usuraios es seguro?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: Una vez que se tiene acceso a los cursos de la academia de hacking ¿cuánto tiempo se tiene para ver los videos del mismo o se tiene un acceso ilimitado?
R: El acceso es ilimitado.
P: ¿Cuantas horas de duracion tiene el curso de Social Engineering Warrior?
R: 20hrs incluyendo el trbajo autónomo del estudiante en laboratorios. Recomendamos enviar un email directamente a la academia: info@academia-hacker.com
P: ¿El precio del curso de la Academia Hacking es en dólares?
R: Los costos son en dolares américanos.
P: ¿Cuánto va a durar el descuento para el curso de Karina?
R: El código de descuento tiene váliez hasta el 7 de febrero.
P: ¿Qué recomiendan para comenzar en el ambito del hacking (libros cursos, etc)?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Qué recomiendas para escanear las vulnerabilidades de sitios web?
R: Puedes darle un vistazo al video de técnicas de escaneo de Karina: https://www.youtube.com/watch?v=JhnDzYUti8M
P: ¿Los software para cifrado que nos da Karina son de licencia gratuita o de paga?
R: Gophish es Opensource, así que es gratuito https://getgophish.com/. Y los de cifrado como Veracrypt y AxCrypt tam bién lo son.
P: Estuve realizando probando gophish pero a la hora de mandar la campaña llegaba a la bandeja de correos no deseados pero los test no ¿alguna sugerencia?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Qué literatura se recomienda para una empresa que no se ha hecho ningún programa de capacitación a usuarios?
R: Temas de security awareness para poder concientizar a los usuarios acerca de los riesgos de la seguridad de la información a los que se ven expuestos y cómo estos pueden impactar en el negocio para hacerles comprender la importancia de la implementación de los mecanismos de ciberdefensa y mejorar la infraestructura de la seguridad de la información y que capaciten a su personal.
P: ¿En qué consiste esas vulnerabilidad de sudo en Linux?
R: Una vulnerabilidad crítica en Sudo permite ganar acceso root en casi cualquier distro Linux, más detalles en: https://www.genbeta.com/linux/vulnerabilidad-sudo-permite-ganar-acceso-root-casi-cualquier-distro-linux
P: ¿Qué opina sobre la última vulnerabilidad que se revelo en la herramienta sudo de Linux?
R: Lamentablemente somos humanos y tenemos errores, mientras un humano siga programando esto podrá seguir ocurriendo.
P: ¿bitlocker tiene alguna desventaja?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Cómo se verifican realmente las credenciales o certificados digitales de una web? Es decir, saber que es realmente segura, y que los certificados también se pueden falsificar?
R: Los certificados digitales para que tengan sentido deben estar avalados por un tercero confiable, entonces falsificar un certificado digital es un poco difícil porque quien te da la certificación es la CA y el CA tiene su combinación de claves públicas y privadas justamente para avalar el certificado
P: ¿Mención de algún material relacionado a la demo?
R: Pueden encontrar más detalles y demos en el canal de Karina: https://www.youtube.com/c/KAstudilloB
También un asistente de la sesión recomienda el siguiente kit que incluye go-phishing, además de manual y otras herramientas para campaña https://www.incibe.es/protege-tu-empresa/kit-concienciacion
P: En caso de un ataque ransomware, si se cifran archivos que se sincronizan con onedrive, googledrive, dropbox, etc. ¿estos podrían recuperarse del historial de versiones?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: Habalndo de Endpoint AMP de Cisco y Kaspersky security ¿cuál es más recomendable?
R: AMP como EPP/EDR y parte de una oferta de XDR, proporciona funcionalizadas más avanzadas como Device Trajectory, Orbital, Forensic snaphots, isolation, Threat hunting, API, etc. Además, esta integrado con todo el portafolio de seguridad de Cisco proporcionando capacidades de Respuestas a Incidentes y Threat Hunting más rápido.
P: ¿Las aplicaciones que menciona Karina son seguras?
R: Gophish es segura en el sentido de que no incluye Malware, es una herramienta OpenSource que no incluye nada malicioso. Pero es importante configurarla de forma segura y revisar que sea todo seguro en el servidor y el equipo. En resumen, será tan segura como el servidor en donde ha sido instalada y cómo ha sido configurada.
P: ¿Qué opinas de la pseudoanonimizacion de datos sensibles en documentos para mitigar que si son secuestrados no tengan valor para el atacante?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Cuál es la certificación que recomienda para avanzar en hacking ético?
R: A nivel Cisco, se recomiendo tomar un CCNA y luego CyberOps, también hay una serie de especializaciones. Sobre Hacking Ético también hay muchas certificaciones excelentes. El CEH del EC-Council es una de las más populares para hacking étio, pero existen otras muy cotizadas como el OSCP, OSCE, GPEN, OPST, etc.
P: Si estoy interesada en tomar curso de certificación de Cisco CCNA nueva curricula v7, no lo pude concretar el año pasado, y se venció mi certificacion CCNA v6 ¿qué recomiendan?
R: En este caso te recomendamos contactar con la Academia de Cisco con la que te has estado capacitando. Una ventaja es que obtendrías el nuevo CCNA
También si te interesa el área de seguridad puedes hacer un examen para una especialización en área https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/next-level-specialist.html?flt0_general-table0=Security#security
P: ¿En una Institucion educativa, cómo podemos implementar una unidad de Ciberseguridad para fines educativos?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: Yo tengo Kali linux y a la hora de instalar lo hice con cifrado ¿me recomiendas algo más para seguridad?
R: Adicional a eso, cifrar la carpeta a home.
P: ¿Tienen información del ataque a SolarWinds y qué metodología usaron?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿Karina ofrece certificaciones de Hacking Ético?
R: Certificaciones internacionales no, lo que si se hace es dar un certificado de aprobación del curso en el momento en el que lo completas y cumples con lo que te pide cada curso.
P: ¿Además de verificar los link de correos , de que otra manera podemos descartar que no sea correo malicioso?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
P: ¿En cuánto se estima la ganancia mensual de un pentester?
R: Depende del país, en Estados Unidos el sueldo promedio de un pentester que trabaje en relación de dependencia está por los $120,000 USD anuales; pero ese valor puede elevarse si se trata de un profesional independiente o si además de hacer pentesting, se hace bug bounty hunting.
P: He tenido problemas debido a que algunas herramientas de hack han sido abandonadas por sus programadores ¿qué alternativas existen y recomiendas?
R: Puedes verificar más alternativas recomendadas por Kaina en el siguiente blog: https://karinaastudillo.com/plataformas-de-explotacion-hacking-frameworks-cuales-son-las-mejores/
P: ¿Que tanto se diferencia Gophish a Cisco Security Awareness?
R: Gophish es una herramienta opensource, que sirve para enviar campañas de phishing básicas y sencillas de forma rápida. pero el cliente tiene que hospedar, configurar y mantener. Y no se integra con el correo por ejemplo, tampoco proporciona entrenamiento a los usuarios.
A diferencia de Cisco Security Awareness, que además de que te brinda las capacidades de generar campañas de phishing, spear phishing se puede integrar a CES. Está disponible en varios lenguajes y entrega un curso a los usuarios cuando estos caen en el phishing y proporciona estadísticas a nivel ejecutivo (para el CISCO principalmente). Además, tiene soporte por Cisco y es totalmente cloud, entonces el cliente no se preocupa por la infraestructura o tener que hacer adecuaciones al código
Más detalles en: https://www.cisco.com/c/en/us/products/collateral/security/email-security/at-a-glance-c45-744492.html
P: ¿Cómo abordar a una empresa cuyos encargados creen que la ciberseguridad es cosa de películas y que a ellos nunca les ha pasado nada?
R: Encuentre la respuesta en el foro Ask Me Anything del evento aquí.
Información Relacionada
