Guía de Pentesting: Information Gathering

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+4Share on Facebook0Share on LinkedIn0

CSIRT-cv e INTECO-CERT han publicado una guía denominada “Pentest: Information Gathering” (140 págs), del que son autores Borja Merino Febrero y José Miguel Holguin. Esta guía pretende ayudar a técnicos de seguridad a implementar medidas preventivas que permitan mitigar ataques cuyo origen principal es la carencia de políticas de seguridad sobre el control de la información.

El éxito de muchos de los ataques e intrusiones que sufren empresas y organizaciones se debe, en gran parte, a la cantidad de información que, directa e indirectamente, un atacante es capaz de obtener sobre sus sistemas. Durante esta fase, el atacante, haciendo uso de diversas técnicas y herramientas obtiene nombres de dominio, rangos de red, servicios de máquinas, sistemas operativos, metainformación de documentos públicos, etc. Todo ello información con la que más adelante podrá llevar a cabo un ataque más específico. Una vez más, el dicho «la Información es poder» se ratifica, y esto es algo que conocen muy bien los cibercriminales, ya que son conscientes que a mayor cantidad de información, mayor probabilidad de éxito tendrá un ataque posterior.

El objetivo principal de esta guía es informar sobre algunas de las técnicas que los ciberdelincuentes utilizan para obtener información sobre empresas y organizaciones. Uno de los aspectos más significativos y destacables de esta guía es su enfoque real a la hora de detallar muchas de estas técnicas mediante ejemplos prácticos (utilizando herramientas como Metasploit, Maltego, Nmap, la Foca, etc.).

Lejos de detallar aspectos relacionados con la gestión de la seguridad de la información, el informe ofrece una visión más práctica orientada a responsables de seguridad con un perfil más técnico que administrativo. La guía puede servir de gran apoyo técnico a la hora de implementar contramedidas contra algunos ataques que posiblemente ni siquiera se habían valorado a la hora de crear políticas de seguridad. El enfoque utilizado para explicar muchos de estos ataques (utilizando ejemplos explícitos) puede ayudar a concienciar de manera más eficaz a responsables de seguridad que mediante recomendaciones puramente conceptuales, que en la práctica son difíciles de implementar.

El informe se encuentra disponible en la siguiente dirección web: Pentest: Recolección de información (Information Gathering)

Fuentes: INTECO-CERT | Guía de Pentesting: Information Gathering

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 18 + 14 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos