SlideShare a Scribd company logo

Herramientas de análisis de vulnerabilidades

A
Alejandro Otegui

Presentación Herramientas de análisis de vulnerabilidades

Software
1 of 20
Download to read offline
Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
¿Qué es una VULNERABILIDAD?
Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
Análisis de VULNERABILIDAD
El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
Herramientas de análisis de VULNERABILIDAD
Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES

Recommended

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticosLorena Molina
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-11401201014052012
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesMICProductivity
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadDana Geraldine
 
Patrones de creación
Patrones de creaciónPatrones de creación
Patrones de creaciónAutentia
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 

Recommended

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticosLorena Molina
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-11401201014052012
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesMICProductivity
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadDana Geraldine
 
Patrones de creación
Patrones de creaciónPatrones de creación
Patrones de creaciónAutentia
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialManuel Fdz
 
Pentesting
PentestingPentesting
PentestingEventos Creativos
 
Malware Classification and Analysis
Malware Classification and AnalysisMalware Classification and Analysis
Malware Classification and AnalysisPrashant Chopra
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesdpovedaups123
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareReynaldo Mayz
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 
Bootstrap
Bootstrap Bootstrap
Bootstrap lizethmunoz
 
Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques Akash Karwande
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Softwarearacelij
 
Factores de calidad de software grupo#4
Factores de calidad de software grupo#4Factores de calidad de software grupo#4
Factores de calidad de software grupo#4GiampaoloDelgado
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareJosé Antonio Sandoval Acosta
 
Mapa mental de un sistema distribuido
Mapa mental de un sistema distribuidoMapa mental de un sistema distribuido
Mapa mental de un sistema distribuidoTensor
 
Tipos de riesgos informáticos
Tipos de riesgos informáticosTipos de riesgos informáticos
Tipos de riesgos informáticosPedro Cobarrubias
 
Malware forensic
Malware forensicMalware forensic
Malware forensicSumeraHangi
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentMarcelo Silva
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticadanipadi
 
VAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptxVAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptxDARSHANBHAVSAR14
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 

More Related Content

What's hot

Ingeniería social
Ingeniería socialIngeniería social
Ingeniería socialManuel Fdz
 
Malware Classification and Analysis
Malware Classification and AnalysisMalware Classification and Analysis
Malware Classification and AnalysisPrashant Chopra
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareReynaldo Mayz
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 
Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques Akash Karwande
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Softwarearacelij
 
Factores de calidad de software grupo#4
Factores de calidad de software grupo#4Factores de calidad de software grupo#4
Factores de calidad de software grupo#4GiampaoloDelgado
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareJosé Antonio Sandoval Acosta
 
Mapa mental de un sistema distribuido
Mapa mental de un sistema distribuidoMapa mental de un sistema distribuido
Mapa mental de un sistema distribuidoTensor
 
Tipos de riesgos informáticos
Tipos de riesgos informáticosTipos de riesgos informáticos
Tipos de riesgos informáticosPedro Cobarrubias
 
Malware forensic
Malware forensicMalware forensic
Malware forensicSumeraHangi
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainSuvrat Jain
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentMarcelo Silva
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticadanipadi
 
VAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptxVAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptxDARSHANBHAVSAR14
 

What's hot (20)

Ingeniería social
Ingeniería socialIngeniería social
Ingeniería social
 
Pentesting
PentestingPentesting
Pentesting
 
Malware Classification and Analysis
Malware Classification and AnalysisMalware Classification and Analysis
Malware Classification and Analysis
 
OWASP
OWASPOWASP
OWASP
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de software
 
Proceso del software
Proceso del softwareProceso del software
Proceso del software
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresa
 
Bootstrap
Bootstrap Bootstrap
Bootstrap
 
Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques Malware Detection Using Data Mining Techniques
Malware Detection Using Data Mining Techniques
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
 
Factores de calidad de software grupo#4
Factores de calidad de software grupo#4Factores de calidad de software grupo#4
Factores de calidad de software grupo#4
 
Ingenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de softwareIngenieria de software - Unidad 3 arquitecturas de software
Ingenieria de software - Unidad 3 arquitecturas de software
 
Mapa mental de un sistema distribuido
Mapa mental de un sistema distribuidoMapa mental de un sistema distribuido
Mapa mental de un sistema distribuido
 
Tipos de riesgos informáticos
Tipos de riesgos informáticosTipos de riesgos informáticos
Tipos de riesgos informáticos
 
Malware forensic
Malware forensicMalware forensic
Malware forensic
 
Ethical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jainEthical Hacking n VAPT presentation by Suvrat jain
Ethical Hacking n VAPT presentation by Suvrat jain
 
Info Security - Vulnerability Assessment
Info Security - Vulnerability AssessmentInfo Security - Vulnerability Assessment
Info Security - Vulnerability Assessment
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
VAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptxVAPT PRESENTATION full.pptx
VAPT PRESENTATION full.pptx
 

Similar to Herramientas de análisis de vulnerabilidades

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesDaniel Fernandez Droniak
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxjosephvasquezuns
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyehmonaclaro
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infivannesberto
 

Similar to Herramientas de análisis de vulnerabilidades (20)

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Antivirus
AntivirusAntivirus
Antivirus
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyeh
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Antivirus
AntivirusAntivirus
Antivirus
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informatica
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero inf
 

Herramientas de análisis de vulnerabilidades

  • 1. Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
  • 2. ¿Qué es una VULNERABILIDAD?
  • 3. Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
  • 4. Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
  • 5. TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
  • 6. Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
  • 8. El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
  • 9. Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
  • 10. ¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
  • 11. Herramientas de análisis de VULNERABILIDAD
  • 12. Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
  • 13. Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
  • 14. Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
  • 15. OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
  • 16. John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
  • 17. THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
  • 18. Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
  • 19. Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
  • 20. GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES