En septiembre se llevará a cabo la VIII edición del Congreso de Seguridad Informática "DragonJAR Security Conference", conocido también como DragonJARCON, a continuación, te damos todos los detalles sobre este Congreso de hacking y seguridad Informática.

 Prevenir el robo de cuentas bancarias, tarjetas de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. es algo esencial y que debemos cuidar muy bien en la actualidad. En este evento podrás conocer algunos de estos temas y otros más de gran interés.

En qué consiste el Congreso de hacking y seguridad Informática "DragonJAR Security Conference"

El Congreso de Seguridad Informática "DragonJAR Security Conference" es un evento en el que se muestran las últimas técnicas más modernas, que emplean los hackers para acceder a los sistemas de información, además de las posibles contra-medidas de las que pueden hacerse uso y la responsabilidad que se tiene sobre la seguridad que debe tener la información.

En el evento puedes encontrar. Por un lado, un taller y por otro, lo relativo a las diferentes conferencias que ofrecen expertos en Seguridad Informática provenientes de diferentes países del mundo.

Se trata de una serie de conferencias magistrales todas relacionadas con temas de la Seguridad y que los expertos realizan basados en pruebas y sucesos reales conocidos, en las conferencias que se incluyen retos en directo que realizan los ponentes y que ponen a prueba las destrezas de los asistentes.

También te puede interesar - https://www.dragonjar.org/curso-de-metasploit.xhtml

Temas que se tratan en el Congreso de hacking y seguridad Informática "DragonJAR Security Conference

Del 1 al 3 de septiembre se llevarán a cabo las conferencias del evento, este año de manera virtual ya que los problemas de salud pública que en la actualidad enfrentamos hacen que se desarrolle de manera online y no presencial como se quisiera presentar.

Los temas que se trataran en esta versión online del Congreso de Seguridad Informática son los siguientes:

Automatizando la respuesta a incidentes SIEM +FORTIGATE +ANSIBLE

Simplificar las tareas repetitivas de los equipos de IT y ciberseguridad. Automatizar y dotar de inteligencia al sistema para mitigar un ataque. Desplegar configuraciones en equipos de forma rápida y eficiente gracias a la automatización. Centralizar los datos técnicos de los equipos.

¿Necesitamos construir un SOC, para que horas me lo puedes tener listo?

Esta charla es algo que me pasó, mi jefe me llamó un día y me hizo esa pregunta. Fueron poco más de 2 años desde la planificación, el diseño, la implementación, la puesta en producción, la operación toda desde cero.

Lo divertido es que uno piensa que todo en SoC se trata de procesos, gente y tecnología, hoy puedo decirles que esa es sólo la punta del iceberg, ¿quieres saber que hay bajo del agua?

Estrategias para ports de firmwares Linux. ¡Arma tu propio Frankenstein!

La idea es entender cómo se compone el firmware de un router y a partir de ahí ir escalando hasta entender cómo podes montarte con él, por ejemplo, una pineapple tetra o cualquier otro dispositivo siempre y cuando el hardware anfitrión cumpla con los requerimientos mínimos.

¡Automatizando el proceso de recon... ftw!

El reconocimiento a la hora de realizar un test de intrusión externo, un bug bounty o una auditoría web es muy importante, ya que nos permitirá ampliar la superficie de ataque al máximo, ampliando con ello las posibilidades de encontrar vulnerabilidades.

Bug Bounty con Google Dorks presente en el  congreso de hacking y seguridad Informática

Las filtraciones de información y las vulnerabilidades XSS son dos de los tipos más comunes de reportes que reciben las plataformas de Bug Bounty

Aventuras en las Entrañas del Gusano

Independiente de tu nivel de experiencia en el área de la ciber inteligencia (ya sean años o tan solo algunas horas) uno de los primeros pasos que es necesario realizar en este campo, es la adquisición de información de nuestro enemigo desde varias fuentes (públicas o de pago).

Active Directory: Post Exploitation Attacks

En esta charla se dará a conocer a los asistentes el funcionamiento de Active Directory, y se explicará como con solamente un usuario de dominio podremos llegar a elevar privilegios y comprometer todo un ambiente corporativo, utilizando ataques como: Password Spraying, Pass The Hash, Kerberoasting, entre otros.

Fake You 2! The Sequel Análisis de Fake News Multimedias

Secuela de una charla brindada en el Congreso Tapas&Hacks de Valladolid 2021. En esta oportunidad se procederá a realizar el análisis forense por distintos medios (online y offline) de imágenes, audios y videos que acompañan o son las fake news que tanto preocupan hoy en día a muchos.

7 hábitos de los operadores de ciberseguridad altamente efectivos en el Congreso de hacking y seguridad Informática

En esta sesión, Lumu presenta un enfoque holístico e integrado para resolver los problemas urgentes, adaptarnos a una superficie de ataque creciente y aprovechar las oportunidades creadas por el cambio.

Synapsint: the unified OSINT research tool

Synapsint es una herramienta OSINT que presenta datos en base a diferentes servicios de inteligencia, buscadores, conjuntos de datos, etc. Muestra información relacionada a dominios, direcciones IP, correos electrónicos, números de teléfono, cuentas de Twitter y direcciones de Bitcoin.

Métodos de optimización extrema para la explotación de inyecciones SQL a ciegas

Se presentarán nuevos métodos de optimización para explotar inyecciones SQL a velocidades extremas. Mientras que sqlmap tarda 8 segundos en extraer un hash, uno de los métodos aquí presentados tarda menos de 1 segundo. Se liberarán herramientas altamente optimizadas que hacen uso de estas técnicas.

Inteligencia de Amenazas en tiempos de DevSecOps. ¡Cacería al vuelo! en el Congreso de hacking y seguridad Informática

La Inteligencia de Amenazas requiere de muchas herramientas que no siempre son fáciles de implementar y configurar, demandando más tiempo del necesario.

Con prácticas modernas de contenerización y despliegue es posible tener laboratorios de análisis y cacería al vuelo, en cuestión de pocos minutos.

Let´s get social! Historias de un ingeniero social en campo

La ingeniería social sigue siendo considerado hoy en día la principal amenaza a la seguridad digital con afectaciones catastróficas y vulnerando el componente más importante de las organizaciones: el humano.

Venator: Rastreando y cazando trolls en twitter dentro del congreso de hacking y seguridad Informática

¿Cómo se ve un aparato de propaganda desde adentro?¿Cómo actúan los grupos dedicados a instalar tendencias y censurar a la oposición en redes sociales?

¿Que pasaría si infiltramos una cuenta falsa en dicho aparato propagandístico para entender mejor todo esto?

¿Que pasaría si además creáramos un framework que analice a los usuarios detrás de estas intervenciones?

Bug Bounty con Google Dorks

Las filtraciones de información y las vulnerabilidades XSS son dos de los tipos más comunes de reportes que reciben las plataformas de Bug Bounty

ICS Intrusion KillChain explained with real simulation

Para entender, identificar y abordar los puntos específicos que pueden prevenir o detener un ataque, explicaremos el modelo sistemático conocido como "Cyber Kill Chain“ mediante una simulación real que permitirá conocer como se produce un ataque en infraestructuras críticas y sus vectores más comunes

Burp Bounty free 4.0

En esta charla se presentará la nueva versión 4.0 de la extensión Burp Bounty Free. Se detallarán las nuevas mejoras, así como las diferencias con la versión de Burp Bounty Pro 2. Una vez finalizada la charla se publicará la extensión en el repositorio oficial de github para que se pueda descargar.

Hacking Kubernetes 101

Kubernetes es el orquestador de contenedores más popular actualmente, con un enorme incremento de su uso en empresas en el 2020. Sin embargo, hay un gran desconocimiento sobre cómo atacar y cómo securizar un entorno de Kubernetes.

Red Team in real world

El mundo del Red Teaming involucra varias actividades que no se contemplan en un pentest tradicional. Estas actividades se enfocan en diseñar y llevar a cabo ataques que suponen una amenaza real, persistente y sofisticada. En esta charla se verán cómo se lleva a cabo una campaña de Red Team real.

Hacking de Biotecnología

El ponente estará mostrando el resultado de una investigación realizada para auditar implantes y tecnologías utilizadas en biohacking y biotecnología, comprometiendo dispositivos RFID con herramientas que pueda adquirir cualquier mortal.

Social engineering TV - (SETV)

Técnica de ingeniería social que inserta un dispositivo en el medio para desplegar contenido y gráficas en televisión en vivo, es transparente para el usuario sin afectar el cambio de canales ni interacción con la televisión.

 Epic Bounties, la plataforma hispana de bug bounty

Epic Bounties es la primera plataforma de habla hispana del mercado español dedicada al ofrecimiento de programas de bug bounty. Mostraremos cómo funciona la plataforma internamente y daremos consejos a los hunters para los diferentes aspectos, desde el registro hasta el cobro.

Bring a CatSniffer to your IoT home

CatSniffer es una placa iopensource multiprotocolo y multibanda diseñada para sniffing y comunicación con protocolos IoT.

La placa está diseñada como un dispositivo USB y soporta Thread, Zigbee, Bluetooth 5 Low Energy (BLE), IEEE 802.15.4g, 6LoWPAN (IPv6 over Low power Wireless Personal Area Networks), Sub 1GHz and patented systems y LoRa/LoRaWAN.

Esta charla hablará de sus características técnicas, capacidades, aplicaciones y planes a futuro.

La temática anterior será expuesta como se dijo anteriormente por los mejores especialistas en Seguridad Informática tanto a nivel nacional como internacional, veamos de quienes se trata:

Ponentes del Congreso de hacking y seguridad Informática

• Jesús Amorós – México
• Juan Pablo Quiñe – Perú
• Ana Isabel Corral García – España
• DSR – Argentina
• Alexis Fernandes – España
• Pablo García – España
• Felipe Duarte – Colombia
• Francisco Canteli – Argentina
• Roberto Gonzalez – Argentina
• Diego Pérez – Colombia
• Moisés Garciaguirre – Salvador
• Rubén Ventura – México
• Andrés Pulido – Colombia
• Tony Aceves – México
• Mauro Eldritch – Uruguay
• Juan P. (Dero) – Colombia
• Luis Madero – México
• Juan Escobar – Chile
• Eduardo García – España
• Daniel Monzón – España
• Daniel Echeverri (Adastra) – España
• Marcelo Vázquez (s4vitar) – España
• Alexis Reyes – EE-UU
• Christian Juárez – Guatemala
• José Palanco -España
• Paulino Calderon - México

¿A quién se dirige este Congreso de hacking y seguridad Informática?

Este evento va dirigido a empresarios, academias, entidades del estado, especialistas, estudiantes, profesionales y en definitiva, a todos aquellos que tengan interés en el mundo de la ciberseguridad y también aprender cada día más en temas relacionados con la Seguridad de la información y sus vulnerabilidades.

Dado el éxito obtenido en el evento virtual del año anterior, se espera que se conecten todas las  personas de diferentes lugares de Colombia y otros países, puesto que este Congreso de Hackers y Ciberseguridad es completamente online y gratuito.

Taller - BLE Hacking 101 dentro del Congreso de hacking y seguridad Informática 

 Un interesante taller denominado BLE Hacking 101 coordinado por el experto en Seguridad Informática Paulino Calderón de México también hace parte de este evento online de este año de DragonJARCON.

Finalmente, una breve descripción del taller hecha por el experto para el Congreso de hacking y seguridad Informática

La tecnología Bluetooth Low Energy (BLE) es comúnmente encontrada desde en dispositivos IoT caseros hasta en dispositivos profesionales con uso industrial o médico.

Este taller práctico introducirá a los asistentes a la tecnología Bluetooth Low Energy (BLE), su seguridad, y a diferentes herramientas que pueden ser utilizadas durante auditorías de seguridad.

También puede ser de tu Interes - https://www.dragonjar.education

La entrada Congreso de hacking y seguridad Informática se publicó primero en DragonJAR - Servicios de Seguridad Informática.

Cada año, en los primeros dias del més de septiembre , se realiza sin falta el Congreso de Seguridad Informática "DragonJAR Security Conference" (DragonJARCON), un evento que muestra las técnicas modernas utilizadas por los hackers para violar sistemas de información, así como sus contra-medidas y la responsabilidad de la seguridad de la información.

El evento se divide en dos partes: la primera son una serie de talleres prácticos que suelen ser unicos de cada edición y los  Diplomados de Seguridad Informática Ofensiva y Defensiva de DragonJAR, un completo proceso de formación de 5 días, donde aprenderas a atacar o defender una organización, según el enfoque elegido. La segunda parte, comprende una serie de conferencias demostrativas -workshops- con ejercicios en vivo, realizadas por expertos de talla mundial.

Algunas de las temáticas que se tocaran en el Congreso de Seguridad Informática son:

• Vulnerabilidades 0-Day
• Pentesting
• Seguridad en Redes
• Ingeniería Social
• Criptografía
• Seguridad Física
• Sistemas de gestión de seguridad de información (ISO 27000)
• Seguridad Móviles
• Computación Forense
• Seguridad en Entornos Industriales
• Seguridad en La Nube
• Seguridad en Tecnologías Emergentes
• Desarrollo Seguro

La Universidad de Manizales sirve de anfitriona a este Congreso de Seguridad Informática que reúne en un solo lugar a Especialistas en Seguridad Informática multiples paises, con el fin de potenciar el desarrollo en investigación y los lineamientos necesarios a tener en cuenta, para salvaguardar la integridad de la información y sus actividades derivadas en términos de aseguramiento.

NO IMPORTA EN QUE AÑO ESTÉS VIENDO ESTE POST, VISITA DRAGONJARCON.ORG PARA INFORMÁRTE DE LA EDICIÓN DE ESTE AÑO

Durante los días del Congreso de Seguridad Informática, asistentes y participantes, podrán disfrutar de los últimos temas en cuanto a seguridad informática. El evento se encuentra dirigido a empresarios, academia, entidades del estado, especialistas, estudiantes, profesionales y comunidad en general. Se esperan cerca de 600 personas que representarán las diferentes regiones del país y de Hispano América.

Pagina del Congreso de Seguridad Informática

La entrada Congreso de Seguridad Informática se publicó primero en DragonJAR - Servicios de Seguridad Informática.

La plataforma de Bug Bounty en español, es un servicio que se encarga de hacer la mediación entre los investigadores de seguridad y las empresas que deciden sacar su programa de recompensas.

La finalidad es encontrar problemas de seguridad en sus activos digitales.

Estas plataformas ofrecen comodidad tanto al auditor, que tiene en un solo lugar varios programas donde puede reportar problemas y ser remunerado por ello

También se benefician  las empresas que cuentan con una plataforma tecnológica, donde recibir, gestionar y filtrar los reportes que reciben.

Si te estas preguntando ¿que es Bug Bounty?, básicamente es un acuerdo entre una organización, que pone a disposición su infraestructura y activos digitales a los auditores de seguridad en todo el mundo para que encuentren bugs en ellos.

Si los hackers identifican un problema de seguridad, lo reportan en su programa o a través de una plataforma y normalmente es recompensado por ello.

Por lo general se recibe una remuneración económica, aunque también se suelen dar, regalos, créditos en algún salón de la fama o cualquier otra cosa que estipule la organización.

¿Mi empresa debería tener un programa de bugbounty?

Normalmente las empresas que deciden lanzar un programa de bug bounty son organizaciones que tienen un nivel de madurez alto, que realizan constantemente auditorias de seguridad a sus infraestructuras y quieren garantizar que sus sistemas de información, aplicaciones o infraestructura están seguras, si ese es tu caso, te recomendaría crear un programa de bugbounty, ya que le permitirá tener revisiones constantes de seguridad, a un precio justo, porque solo pagarías por los fallos de seguridad que encuentren los investigadores.

Jaime Andrés Restrepo invierte en una Plataforma de Bug Bounty en español

En DragonJAR siempre estamos buscando como aportar a la comunidad de seguridad informática y a las empresas que confían en nosotros, buscando mantenernos vigentes en este rubro tan vertiginoso como es la seguridad informática, es por eso que hemos invertido en Epic Bounties una de las primeras plataformas de Bug Bugbounty en español, con esta colaboración en la startup malagueña buscamos 2 cosas:

• Ayudar a la comunidad: Permitir que nuestra comunidad llena de personas con habilidades en seguridad informática pueda tener acceso a empresas que quieran ser auditadas y reciban una remuneración por ello, ayudando de esta forma a mejorar su economía y sus conocimientos, ya que estarían auditando infraestructuras reales y no entornos de laboratorio.
• Ayudar a nuestros clientes: Acompañándolos en el proceso para sacar sus programas de bug bounty para que puedan conectar con una mayor cantidad de investigadores, dispuestos a poner a prueba la seguridad de sus servicios y tener la certeza que sus activos digitales estan seguros.

¿Qué es Epic Bounties?

Epic Bounties es una de las primeras plataformas de habla hispana del mercado dedicada al ofrecimiento de programas de Bug Bounty. Fundada en 2020 cuenta con sede en Málaga (España). Jaime Restrepo fundador de DragonJAR y ahora socio de Epic Bounties se une al equipo para ayudar a las empresas a detectar y eliminar vulnerabilidades de ciberseguridad en sus activos cómo aplicaciones web, móviles, API y otros activos que requieren un nivel de seguridad antes de que otros puedan aprovecharlas.

Esta plataforma de bugbounty en español, cuenta con un enfoque innovador que complementa las habituales auditorías de ciberseguridad, con un modelo enfocado al éxito.

Permite la detección y guía de resolución de posibles fallos o vulnerabilidades.

Epic Bounties cuenta con los mejores profesionales muchos de ellos dentro del TOP 100 mundial en plataformas de bug bounty.

Son expertos en hacking ético, listos para afrontar cualquier reto y poner a prueba sus activos informáticos.

Para más información:

• epicbounties.com

La entrada Plataforma de Bug Bounty en español se publicó primero en DragonJAR - Servicios de Seguridad Informática.

En el momento en que se lleva a cabo una prueba pentesting existen distintas fases. Hoy queremos hablarte de la enumeración, la tercera fase en el curso de hacking ético que tenemos para ti con nuestro diplomado en seguridad informática.

INICIA YA LA AVENTURA DE SER UN ESPECIALISTA EN SEGURIDAD INFORMÁTICA OFENSIVA AQUÍ

En el módulo de enumeración vas aprender sobre modelación e infraestructura de objetivos, identificación de fallas conocidas y sobre todo, cómo detectar vulnerabilidades de los sistemas de seguridad utilizando dominios y subdominios.

Una recomendación que no debes olvidar ¡Siempre existe la posibilidad de encontrarnos un subdominio olvidado o no tan protegido en el que podemos encontrar activos olvidados, dominios take over o aplicaciones vulnerables!

Al momento de iniciar pruebas de pentesting con el curso de hacking, lo fundamental es lograr encontrar la mayor cantidad de información disponible de tu objetivo para armar vectores de ataque.

¿Quieres conocer las principales herramientas para hacer enumeración en pentesting? ¡Llegaste al lugar indicado!

Curso hacking ético: Herramientas para hacer enumeración.

Nmap: Es uno de los escáneres de red más usados actualmente, tanto por su eficacia y facilidad a la hora de usarlo, así como los escasos recursos que necesita para realizar su función. Principalmente realiza escaneos de puertos abiertos en un sistema, pero no es su única función como veremos a continuación.

Masscan: Esta se encarga de escanear internet en muy poco tiempo. Utiliza escaneo asíncrono similar a nmap. Esta herramienta utiliza puertos personalizados o IP para escanear el objetivo. Masscan es la herramienta más rápida para buscar puertos abiertos disponible actualmente.

Sublist3r: Es una herramienta diseñada para enumerar subdominios de sitios web utilizando OSINT. Sublist3r enumera subdominios usando muchos motores de búsqueda como Google, Yahoo, Bing, Baidu y Ask. Sublist3r también enumera subdominios usando Netcraft, Virustotal, ThreatCrowd, DNSdumpster y ReverseDNS.

Fierce: Es un escáner ligero que ayuda a localizar las IP y los nombres de host de dominios, esta herramienta sirve además para poder enumerar los subdominios de un objetivo. Está destinado específicamente a localizar objetivos y utiliza principalmente DNS.

Utiliza Google, Bing, Baidu, Yahoo, Netcraft y fuerza bruta para encontrar subdominios a la vez que resuelve las IPs.

¿Quieres conocer más sobre herramientas para hacer enumeración en el curso de hacking?  ¿Realizar pruebas de pentesting a grandes e importantes empresas? ¿Convertirte en el especialista en seguridad informática que sueñas?

Déjanos tus datos y nos pondremos en contacto contigo para que inicies en el menor tiempo el diplomado en seguridad informática DragonJAR. Haz clic aquí.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada Curso de hacking ético. Módulo 3 enumeración ¡Detecta vulnerabilidades en sistemas como todo un Hacker! se publicó primero en DragonJAR - Servicios de Seguridad Informática.

¡Descubre nombres de usuarios, servicios y recursos compartidos!

El pentesting es en esencia un ciberataque simulado contra su sistema informático para verificar y analizar vulnerabilidades explotables.

En el contexto de la seguridad de las aplicaciones, las pruebas de penetración se usan para detectar de manera temprana los posibles problemas de seguridad que puedan llegar a ser explotados por atacantes. 

¿Te interesa conocer más acerca del pentesting y la enumeración? Llegaste al lugar ideal, hoy  vamos a ver enumeración: nombre de usuarios por servicios y recursos compartidos

En nuestro diplomado en seguridad informática ofensiva, nos encargamos de capacitarte en como realizar pruebas de penetración y auditorías con las mejores y más seguras técnicas disponibles.

En el módulo de enumeración vas aprender sobre modelación e infraestructura de objetivos, identificación de fallas conocidas y sobre todo, cómo detectar vulnerabilidades de los sistemas de seguridad utilizando dominios y subdominios.

Pentesting: Modulo enumeración:

El objetivo principal de la enumeración es encontrar e identificar los nombres de los equipos, de los usuarios, los recursos compartidos y del sistema al que se le va a realizar la prueba de penetración.

Los principales datos que podemos obtener con la técnica de enumeración son:

• Dirección IP
• Sistema operativo.
• Servicios disponibles
• Aplicaciones instaladas
• Dominios y Subdominios

Los anteriores son de gran ayuda en el momento de decidir qué tipo de exploit o técnica  se debe usar para comprometer al objetivo.

¿Qué información se puede enumerar?

• Recursos compartidos de red
• usuarios y grupos
• versiones de aplicaciones/servicios
• Configuraciones

Técnicas disponibles para hacer enumeración:

• Extraer nombres de usuarios en windows
• Conseguir nombres de usuarios utilizando SNMP
• Encontrar información mediante fuerza bruta

Null Sessions:

Esta herramienta se da cuando está permitido loguearse a un usuario o password. Una vez que el atacante hace una conexión NetBIOS usando una Null session, fácilmente puede obtener una lista de todos los usuarios, grupos, recursos compartidos, permisos, políticas, servicios, solo con la cuenta de usuario Null.

Transferencia de zona:

La técnica de transferencia de zona consiste en el proceso por el cual se copia el contenido de un archivo de zona DNS de un servidor DNS principal a uno secundario.

Las transferencias de zona siempre son iniciadas por el servidor DNS secundario y el servidor DNS principal simplemente responde a la solicitud.

El servidor primario debe filtrar por dirección IP que servidores secundarios pueden realizar estas transferencias. En los casos en los que estos no se encuentran correctamente configurados es posible obtener todas las zonas de los dominios que administra el DNS (dando como resultado todos los de equipos de la organización o los subdominios).

¿Quieres conocer más sobre herramientas para hacer enumeración en el curso de hacking?  ¿Realizar pruebas de pentesting a grandes e importantes empresas? ¿Convertirte en el especialista en seguridad informática que sueñas?

Déjanos tus datos y nos pondremos en contacto contigo para que inicies en el menor tiempo el diplomado en seguridad informática DragonJAR. Haz clic aquí.

Conoce más acerca de nosotros en Facebook, Twitter & YouTube.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada Pentesting y la técnica enumeración se publicó primero en DragonJAR - Servicios de Seguridad Informática.

Uno de los términos más populares en la actualidad de la seguridad informática es OSINT (Inteligencia de fuentes abiertas). Este término se refiere específicamente a la recolección de información de una persona o empresa utilizando fuentes de acceso públicos, como lo son las redes sociales, los buscadores, periódicos, noticias, boletines informativos, conferencias, entre muchos otros.

DIPLOMADO EN SEGURIDAD INFORMÁTICA OFENSIVA

El OSINT es una excelente técnica para la recopilación y posterior análisis de información. Los datos encontrados pueden ser utilizados para miles de tareas, tales como creación de perfiles (perfilamiento), auditorías en seguridad, identificación de la reputación, entre muchas otras, todo depende del objetivo principal de la búsqueda. 

Entre más información podamos encontrar sobre una persona o empresa en específico, más tareas podemos realizar.

Y la pregunta del millón, ¿Cómo podemos hacer OSINT?

Llegados a este punto, debemos explicar que existen cientos de herramientas disponibles para hacer OSINT, pero estas dependen específicamente de las necesidades puntuales que se tengan al momento de iniciar la recolección de datos. Una de las metodologías más usadas para este proceso es el Hacking con buscadores. 

Hacking con buscadores con el objetivo OSINT:

• Google Hacking, esta es una técnica o lista de parámetros con comandos de Google para conseguir búsquedas avanzadas o extensas investigaciones por medio de operadores avanzados como related, cache, info, filetype, in text, link.
• SHODAN: Este es uno de los buscadores hacking más conocidos y completos, este localiza computadores, webcams, impresoras y distintos dispositivos electrónicos con servicios expuestos a internet
• NAMECHK: Este buscador se enfoca principalmente en comprobar si un nombre de usuario está disponible en más de 150 servicios online.
• TINEYE: Por su parte, este buscador opera a través de una fotografía, nos muestra en qué sitios web la podemos ubicar.
• PIPL: Este es un buscador de personas y se encarga de relacionarlas con distintas redes sociales y vínculos en internet.
• DOMAINTOOLS: Es un servicio que permite identificar, monitorear, buscar y analizar un nombre de dominio en la web.
• FOCA: Es un software el cual permite extraer y analizar los metadatos a distintos tipos de documentos. Al conocer los metadatos podemos conocer quién creó, modificó la información de un archivo.

Y la pregunta que muchos se deben estar haciendo, ¿Es OSINT la mejor técnica de recolección de datos?

Desde nuestra perspectiva, sí, OSINT en la actualidad es la mejor técnica en recopilación de información por medio de fuentes públicas. 

Para realizar OSINT debes saber bien como buscar la información, cómo adentrarse en los datos, como analizarlos y qué acciones tomar de acuerdo a estos datos. 

¿Quieres aprender OSINT? ¿Conocer qué herramientas están disponibles para recolección de información? ¿Cómo ofertar este servicio a empresas? Debes hacer parte de nuestro Diplomado en seguridad informática ofensiva, aquí no solo aprenderás OSINT y hacking con buscadores, conocerás a fondo todo el proceso de pentesting y auditorías  de seguridad de tipo Black, White o Grey Box en aplicativos o infraestructura de cualquier tipo.

Déjanos tus datos y nos pondremos en contacto contigo para acceder a nuestro diplomado. Haz clic aquí.

Conoce más acerca de nosotros en Facebook, Twitter & YouTube.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada OSINT y hacking con buscadores se publicó primero en DragonJAR - Servicios de Seguridad Informática.

La recolección, extracción y análisis de los metadatos es uno de los pasos extras a realizar un proceso de auditoria de seguridad o pentest, puesto que nos permite tener información precisa y a la mano sobre nuestro objetivo.

INICIA YA LA AVENTURA DE SER UN ESPECIALISTA EN SEGURIDAD INFORMÁTICA OFENSIVA AQUÍ. 

Ahora, sin irnos más lejos, es necesario empezar a aclarar varias dudas que pueden estar experimentando los lectores, iniciamos con las más importantes.

¿Qué son los metadatos?

Los metadatos en resumidas cuentas es información relacionada a un recurso (documento, imagen, video, etc), esta información puede contener datos como la procedencia del archivo, fecha de creación, fecha de modificación, autor, dimensiones, modelo de cámara (en el caso de imágenes o vídeo), coordenadas GPS entre otros.

¿Qué uso le puedo dar a los metadatos?

Los metadatos bien analizados pueden brindar información valiosa sobre un objetivo ya que nos permiten identificar patrones de comportamiento, hábitos, software o tecnología que usan para la generación de documentos o archivos hasta detalles personales, es por eso que se recomienda que archivos subidos a Internet sean «limpiados» o reducidos al mínimo de metadatos.

¿Cuál es el objetivo de la recolección, extracción y análisis de los metadatos?

La recolección y extracción de metadatos es uno de los procesos adicionales en la planificación y ataques de hacking ético (Pentest), en muchas ocasiones se subestima su potencial. Entre más información obtengamos de nuestro objetivo, mejor lo vamos a conocer y más fácil podemos atacar. 

Para llevar a cabo el proceso de recolección de información, actualmente se utilizan varias técnicas y herramientas. Algunas van desde la ingeniería social, investigación en redes sociales, hacking con buscadores o google hacking.

Este proceso para muchos puede resultar largo y tedioso, pasa sobre todo cuando no tenemos claridad sobre lo que estamos buscando. ¿Te ha sucedido?

Empieza a automatizar tus tareas y planifica tus objetivos.

Una de las herramientas que te recomendamos para iniciar la automatización de este proceso de manera exitosa es FOCA, esta es una aplicación la cual encuentra metadatos e información oculta en los documentos que tiene para examinar. 

Entre los principales documentos que FOCA es capaz de analizar se encuentran:

 

• Microsoft Office.
• Open Office o ficheros.
• PDFs.

Entre las características de FOCA tenemos:

• Extracción de metadatos.
• Análisis de red.
• DNS Snooping.
• Búsqueda de ficheros comunes.
• Juicy files.
• Búsqueda de proxys.
• Reconocimiento de tecnologías.
• Fingerprinting.
• Leaks.
• Búsqueda de backups.
• Forzado de errores.
• Búsqueda de directorios abiertos.

¿Quieres conocer más sobre herramientas para la recolección, extracción y análisis de metadatos?  ¿Realizar pruebas de pentesting a grandes e importantes empresas? ¿Convertirse en el especialista en seguridad informática que el mundo necesita? 

Déjanos tus datos y nos pondremos en contacto contigo para acceder a nuestro diplomado. Haz clic aquí.

Conoce más acerca de nosotros en Facebook, Twitter & YouTube.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada Recolección, extracción y análisis de metadatos. se publicó primero en DragonJAR - Servicios de Seguridad Informática.

Si eres un apasionado por la tecnología y buscas nuevos métodos para identificar vulnerabilidades esta información te va a interesar. Ya está disponible el  diplomado en seguridad informática ofensiva de DragonJAR, con este diplomado buscamos identificar las falencias en la integridad, disponibilidad y confidencialidad de los datos de las empresas.

Este es el momento para formarte en Hacking ético haciendo el diplomado en seguridad informática ofensiva. Al finalizar tendrás más habilidad para auditar y detectar vulnerabilidades en tu empresa o en las empresas de tus clientes, incluso iniciar el camino en el mundo del Bug Bounty .

¿Quieres conocer los beneficios que te ofrece el diplomado en seguridad informática ofensiva?

• Acceso a todo el contenido online necesario para realizar un Pentest profesional actualizable por un año.
• Membresía VIP vitalicia a los Foros de La Comunidad DragonJAR.  
• Un mes de acceso VPN a laboratorios de prácticas simulando entorno real. 
• Libro guía en formato digital con todo el contenido de la certificación y los ejercicios propuestos

¡Conviértete en un pro de la seguridad informática!

En nuestro diplomado en seguridad informática ofensiva, vas aprender sobre:

• Introducción al Ethical Hacking.
• Recolección de información y reconocimiento.
• Enumeración.
• Explotación y Post-explotación.
• Documentación.

En la seguridad  informática existen diversas variables a la hora de hablar de seguridad:

1. Seguridad del Hardware, es el sistema de seguridad o protección física, como el control del tráfico de una red y el escáner constante de un sistema.
2. Seguridad del Software, es la seguridad y protección propiedad intelectual del programa en sí.
3. Seguridad de Red, protege la facilidad de uso, la fiabilidad, la integridad, y la seguridad de la red y de los datos.

¿Qué tiene este diplomado que lo hace único?

• El diplomado en seguridad informática ofensiva tiene una modalidad 90% práctica, 10% teórica. En todo el proceso, los estudiantes van a contar con el acompañamiento de profesionales expertos en casos reales.  
• Cada uno de los módulos de contenidos que se van a ver a lo largo de las 100 horas de entrenamiento, los estudiantes van a recibir una formación rigurosa que se adapta a las necesidades reales del mercado.
• Durante el proceso práctico se va trabajar en un sistema de simulación de entornos reales para aplicación de Ciberseguridad con herramientas facilitadas integradas a la operación.
• Al finalizar el diplomado vas a tener la certificación con el aval de DragonJAR. Somos una de las Comunidades de seguridad informática más reconocidas en Iberoamérica.

¿Quieres conocer más acerca del diplomado en seguridad informática ofensiva?  Déjanos tus datos y nos pondremos en contacto contigo para acceder a nuestro diplomado. Haz clic aquí.

Conoce más acerca de nosotros en Facebook, Twitter & YouTube.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada ¡Llegó el diplomado en seguridad informática ofensiva DragonJAR! se publicó primero en DragonJAR - Servicios de Seguridad Informática.

Seguridad Informática ofensiva ¡Sé un profesional en pentesting!

Seguridad Informática ofensiva ¡Sé un profesional en pentesting!

Actualmente el mundo está evolucionando cada vez más rápido, la información llega en segundos a cualquier parte del planeta. Por eso es importante auditar la información, tanto empresarial como corporativa y analizar posibles ataques a tus equipos y robos de información.

¡Hoy te invitamos a ser parte de la solución con nuestro diplomado en seguridad informática ofensiva!

¿Sabes qué es pentesting?

Pentesting o penetration testing es como tal un ciberataque simulado en contra de un sistema informático para así verificar, validar y analizar las posibles vulnerabilidades explotables de este.

En el mundo, las pruebas de penetración se usan para detectar puntos débiles, siguiendo metodologías internacionalmente avaladas para que las organizaciones puedan tomar acciones antes de que un ciberdelincuente las use a su favor poniendo en riesgo la organización.

Entre las empresas que más ataques reciben y por lo cual deben tener un nivel seguridad alto, se encuentran:

Empresas u organizaciones gubernamentales.
Bancos.
Universidades, tanto públicas como privadas.
Empresas especializadas en tecnologías de la información.
Clínicas y hospitales.
Empresas de índole industrial.
Entre muchas otras.

El pentesting realmente es una forma de hacking, solo que esta práctica es totalmente legal, ya que cuenta con el permiso de los propietarios de los equipos que se van a testear, además de no tener la intención de causar un daño real.

Tipos de Pentesting:

Dependiendo del tipo de sistema de información que se tenga hay diferentes formas de realizar estas pruebas:

Pentesting de caja blanca (White Box): En este tipo de test sabemos todo acerca del sistema, la aplicación o la arquitectura. Es el Pentesting más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.

Pentesting de caja negra (Black Box): En este, sin embargo, no disponemos de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.

Pentesting de caja gris (Gray box): Éste sería una mezcla entre los dos anteriores, es decir, se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado.

Se deben tener en cuenta estos tipos de pentesting ya que, muchas veces, las condiciones del test irán determinadas en base a lo que establece el cliente.

En nuestras pruebas de penetración utilizamos una combinación de pruebas manuales con hackers éticos expertos y uso de herramientas tecnológicas.

¿Quieres aprender a realizar un pentesting de manera profesional? ¿Ser un experto en seguridad informática? ¿Aprender los mejores en este campo?

¡Hoy es el día para entrenar y combatir a los cibercriminales con DragonJAR!

Diplomado de Seguridad Informática Ofensiva:

En DragonJAR somos conscientes de la gran necesidad por profesionales capacitados en seguridad informática y es por esto que decidimos lanzar el diplomado de seguridad informática ofensiva, para todos aquellos apasionados por la tecnología que estén en búsqueda de aumentar o mejorar sus conocimientos en Pentester, y así ejecutar de forma profesional una auditoría de seguridad de tipo Black, White o Grey Box en aplicativos o infraestructura de cualquier tipo.

¡Fórmate en seguridad informática! y empecemos a detectar amenazas  a la seguridad, vas a conocer más del hacking ético, extracción y análisis de metadatos. ¡Conoce todos los contenidos aquí!

Si quieres ser un profesional y potenciar tus conocimientos en seguridad informática e iniciar tu formación con un curso GRATUITO haz clic en este enlace. 

Nos pondremos en contacto contigo y te capacitamos en brindar la seguridad que tanto necesitas tú o tu empresa. 

Conoce más acerca de nosotros en nuestro Facebook & YouTube.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada Seguridad Informática ofensiva ¡Sé un profesional en pentesting! se publicó primero en DragonJAR - Servicios de Seguridad Informática.

Con esta formación profesional, acortaremos la curva de aprendizaje para que a través de nuestras experiencias, anécdotas trucos y tropiezos, puedas realizar auditorias de seguridad informática en cualquier empresa.

Aumenta tus ingresos certificándote en Seguridad Informática Ofensiva por solo $1.000 USD

Entra en la lista

Loading...

¡Gracias!

Recibirás en tu correo toda la información.

La entrada Diplomado de Seguridad Informática Ofensiva se publicó primero en DragonJAR - Servicios de Seguridad Informática.

En DragonJAR somos conscientes de la necesidad de profesionales capacitados en seguridad informática que existe actualmente, es por esto que, decidimos crear el Curso gratuito introducción al pentesting para todos aquellos apasionados por la tecnología y que quieran empezar su formación profesional en seguridad informática.

Toda empresa que se considere bien organizada maneja información la cual debe ser bien manejada y almacenada por un empleado de confianza. Por lo general se utilizan herramientas para su tratamiento en ordenadores, teléfonos móviles, tabletas, líneas de comunicaciones, etc.

Trabajar con información que es muchos casos es de gran reserva conlleva a una serie de riesgos, ya que en muchos casos si no está bien almacenada y protegida puede ser vulnerable a diferentes ataques por personas malintencionados a través de diferentes medios.

Curso gratuito introducción al pentesting y de que se trata

Si quieres conocer más acerca de nuestro curso gratuito de introducción al pentesting, deja tus datos:

También puedes encontrar más del contenido DragonJAR en nuestras redes sociales.

Facebook, Instagram, Twitter & Youtube.

El riesgo que enfrentan las empresas

En los últimos años los ciberataques han aumentado cada día mucho más, debido a la gran cantidad de virus, malwares y a la creación de nuevas técnicas de ataque por los ciberdelincuentes. No es desconocido que la mayor parte de las empresas se enfrentan a riesgos que ponen en peligro sus sistemas de información confidencial.

De acuerdo a estudios recientes, no todas las empresas son conscientes de los riesgos a los que se enfrentan y por eso las posibilidades de que se vulnere su información es mucho más frecuente y sigue en crecimiento.

Por lo anterior realizar un buen pentesting a las empresas les permite estar seguros protegiendo la información con expertos como los que te ofrecen este Curso de DragonJAR online.

Video ilustrativo sobre el curso de Pentesting

La entrada Curso gratuito introducción al pentesting se publicó primero en DragonJAR - Servicios de Seguridad Informática.

¡Estamos viviendo en la era digital! 

El 2020 ha sido uno de los años más desafiantes para todas las empresas a nivel mundial. Con la crisis provocada por el covid-19 casi todas las empresas tuvieron  que emigrar a las plataformas digitales para poder seguir operando con cierta normalidad.  Para muchos este  ha sido un proceso más que desafiante, casi imposible. 

¡Es aquí donde los profesionales en ciberseguridad tienen un papel indispensable!

En DragonJAR somos conscientes de la necesidad de profesionales capacitados en seguridad informática que existe actualmente. Es por esto que, decidimos crear el curso gratuito de introducción al pentesting para todos aquellos apasionados por la tecnología y que quieran empezar su formación profesional en seguridad informática.

En este curso vas a aprender:

• La metodología de 5 pasos para analizar en profundidad y sin dejar cabos sueltos.
•  El proceso para realizar y presentar un Pentesting de forma gráfica y fácil de entender.
•  Qué es y cómo hacer hacking ético de la mano del Pentesting. 

Plan de estudios - Curso gratuito de introducción al pentesting:

1. Introducción al Ethical Hacking:

• El auge de la seguridad informática.
• Cómo hacer pentesting paso a paso.

2. Recolección de información y reconocimiento:

• Cómo identificar los puntos más vulnerables del sistema de acuerdo al negocio del cliente.
• La importancia de documentar el proceso de recolección de información.
• Qué herramientas puedes usar para recolectar información.
• Qué es la búsqueda inversa, cómo hacerla y para qué sirve.
• Cómo ver versiones anteriores de un sitio web.

3. Enumeración:

• Cuál es la herramienta más completa para hacer la enumeración de manera efectiva.
• Qué hemos hecho desde DragonJAR para mejorar el proceso de enumeración.
• Cómo identificar servicios y puertos abiertos en un sistema.

4. Explotación:

• Cómo puedes aprovechar todos los datos que recolectamos anteriormente.
• Consejos prácticos a la hora de realizar ataques controlados.
• Buscador de exploits con tecnología de Google.

5. Documentación:

• Cuáles son los 2 tipos de informes y a quièn se le presenta cada uno.
• Descubrir cómo estructurar un informe de Pentesting.
• Consejos prácticos a la hora de presentar resultados del proceso de Pentesting.
• Cuál es la herramienta que recomendamos para hacer informes.

Duración y modalidad del curso gratuito introducción al pentesting:

Nuestro curso de Introducción al Pentesting es completamente gratis y lo puede hacer cualquier persona, las tres únicas cosas que necesitarás serán: Una conexión a internet, un computador y muchas ganas de aprender.

La modalidad del curso es 100% virtual. Este cuenta con 6 lecciones en video; Te llegarán las instrucciones diariamente, vía correo electrónico, en las que vas a poder practicar ejercicios para dominar el pentesting, así mismo, vas a tener ejemplos reales para reforzar tu conocimiento. 

¡No lo pienses más, decídete hoy, inicia tu formación 100% gratuita con DragonJAR!

Si quieres conocer más acerca de nuestro curso gratuito de introducción al pentesting, deja tus datos:

Empieza hoy el curso de Pentesting online

Regístrate ya

¡Gracias!

Recibirás en tu correo toda la información y tu acceso al curso.

También puedes encontrar más del contenido DragonJAR en nuestras redes sociales.

Facebook, Instagram, Twitter & Youtube.

La entrada ¡Inicia tu formación laboral de la mano de los expertos en ciberseguridad! se publicó primero en DragonJAR - Servicios de Seguridad Informática.