Seguridad informátic, pentest.

-


¿Que es pentesting?


Pentesting es una palabra que está ahora muy de moda en lo referente a la seguridad informática. Es una abreviatura en ingles de “penetration” y “testing”. Es la práctica de poner a prueba diversos entornos con la intención de descubrir fallos y vulnerabilidades de seguridad, para así poder prevenir ataques externos hacia nuestros equipos o sistemas.

El pentesting debe realizarse sobre nuestros propios sistemas o equipos, de no ser así, estariamos hablando de “hackear”, cosa que en la mayoría de países es un acto penado con prisión. La diferencia entre pentesting y hacking es que en el primero contamos con el permiso y aprobación del propietario del sistema a atacar, mientras que durante un ataque no consentido por el propietario incurriremos en un delito de hacking.


Terminos que debes conocer si hablamos de seguridad informática.

Vulnerabilidad: Es un fallo de seguridad en una aplicación, sistema o hardware. Las vulnerabilidades pueden ser desde fallos en la programación de una aplicación (una contraseña muy débil u obvia del tipo “1234”, “password” o “contraseña”) hasta algo mas complejo como es un desbordamiento de un buffer de información del sistema.

Exploit: son pequeñas aplicaciones programadas con el único fin de acceder al sistema que contiene la vulnerabilidad, para hacernos con su control o para provocar un funcionamiento distinto al que fue en principio disenado. Metasploit es un proyecto Open Source que recopila vulnerabilidades e informa de éstas, colaborando posteriormente con grandes compañías para desarrollar o mejorar sistemas de detección de intrusos y malware.

Podemos diferenciar diferentes tipos de exploits:

Exploit Local: para ejecutar este tipo de exploit, deberemos haber tenido acceso previo al sistema vulnerable. También puede ejecutarse tras acceder a la máquina con un exploit remoto.

Exploit Remoto: actúa sin estar instalado en el ordenador y puede estar en la red local o en Internet, atacando remotamente. El ataque termina cuando el ordenador se desconecta de la red.

Exploit del lado del cliente: es el tipo de exploit más usado, puesto que aprovecha vulnerabilidades existentes en aplicaciones que se encuentran instaladas en la mayoría de equipos de usuarios finales. Suelen llegar al equipo mediante correos electrónicos, pendrives o mediante una “navegación insegura”.

Payload: un payload es una pequeña aplicación que aprovecha una vulnerabilidad afectada por un exploit para obtener el control del sistema víctima. Lo más común en un ataque es aprovechar una vulnerabilidad con un exploit básico para inyectar un payload con el que obtener el control del equipo al que atacamos.

Para concluir y si me preguntais mi opinión el pentesting es totalmente necesario como usuarios y mas aun si hablamos de una empresa. El llevar a cabo un test pentesting es un inversion que se vera recompensada a largo-medio plazo. La inversion en sistemas de seguridad y en la prevencion de ataques, perdidas de informacion o activos es algo que las empresas deben plantearse seriamente.
Si hablamos de empresa preguntate: ¿Que perdidas me ocasionaria una caida de mis servicios o una perdida de informacion?¿Cuanto perderia si mi web estuviera caida o si mi sistema se infectara por un ransomware?

Si eres un usuario y te interesa probar te dejo esta herramienta de pentest pentest-tools.com.


Comentarios

Publicar un comentario

Entradas populares de este blog

Obtener un dominio GRATIS!

-
Imagen
Un dominio es el nombre que tiene tu sitio web en Internet (el dominio sustituye a la IP del proyecto web). En esta guia voy a explicar como conseguir un dominio gratis para que comiences desde cero. Existen muchas maneras de conseguir un dominio gratis, la diferencia está en la extensión del dominio. Freenom es una plataforma (actualmente asociados con Dot TK), que ofrece el registro de dominios gratis de las extensiones .tk, .ml, .ga, .cf y .gq. En este caso voy a usar www.dot.tk para conseguir dominios de forma totalmente gratuita. Una vez te hayas decidido por cuál extensión registrar, has clic en el botón “Consígalo ahora!” y luego en “Finalizar compra”. Si deseas, puedes registrar el dominio con las 5 extensiones en una misma cuenta. Esto dependerá de si los quieres utilizar más adelante para otro tipo de proyectos o no te hace falta tenerlos todos. En mi caso he optado por todas las extensiones. 1. Redirigir este dominio. Esta opción la puedes utilizar si ya tienes ...
Leer más

Certificado digital. HTTPS

-
Imagen
El espionaje y el fraude electrónico son problemas a los que se enfrentan tanto las autoridades internacionales como los consumidores privados. Por ello el tema de la seguridad en Internet se está convirtiendo en una prioridad para la mayoría de las empresas. Los estándares de seguridad actuales recomiendan la implementación de un certificado SSL o certificado HTTPS para transmitir y gestionar, de forma segura, datos de clientes o información sensible de una empresa. Todos los sitios web de internet para poder habilitar la navegación segura mediante HTTPS, necesitan obtener un Certificado SSL. ¿Qué es SSL? Un Certificado SSL/TLS es un archivo que contiene una clave pública asignada a su propietario y está asociado a otro archivo almacenado en otro lugar que contiene una clave privada. También es firmado digitalmente por una Autoridad de certificación. Estos certificados usando TLS permiten asegurar la identidad y autenticidad del sitio web al que nos conectamos mediante el nave...
Leer más

Configuración VPS

-
Imagen
En primer lugar contarte que soy bastante nuevo en este tema, en esta ocasión voy a hablar de la configuración VPS . Para ser honesto mi primera toma de contacto con “vps” ha sido buena, como comentario, tuve algún inconveniente a la hora de subir archivos, ya que como se puede ver en el PDF he cambiado los password tanto de root como de usuario normal, pero por algún motivo (que aún no me explíco) no me permitía entrar con las nuevas contraseñas, así que tuve que restablecer todo y arrancar desde cero. Una vez superado esto, todo ha fluido en lo que a su manejo se refiere, el mejor consejo que podría dar en su uso es utilizar FileZilla (o algún software parecido) a la hora de pasar documentos o proyectos de local al VPS , ya que esto nos facilitará y ahorrará tanto nuestro trabajo como nuestro tiempo.
Leer más