Revista
CISO D Honeypots o S A t t Destrucción de Datos a c k
Consultores en Ciberseguridad: Fredy Peralta Cristhian Bogarín Marketing y Publicidad: Julia Perez Administración y Finanzas: Anai Olivera Martínez Director Editor: Héctor Aguirre LNXnetwork S.R.L. CONTACTENOS: Si tiene alguna CONSULTA envianos un correo a: revistaciso@lnxnetwork.com Nro 4 | Marzo 2022 Asunción, Paraguay Revista CISO ®
S T A F F
04 Editorial
13
Crucigrama Desafíate con este crucigrama.
Evaluar el perfil cambiante de riesgo de la ciberseguridad
18 Servicios
Conozca los servicios de ciberseguridad de LNXnetwork S.R.L.
10
Tutorial DoS Attack
Su historia y evolución
16
Crucigrama Encuentre los resultados del reto.
07
Destrucción de Datos
¿Qué rol juega la destrucción de datos en la ciberseguridad?
14 Conoce Honeypots Tipos y características
04
Editorial Evaluar el perfil cambiante de riesgo de la ciberseguridad Por Lic. Héctor Aguirre A medida que las organizaciones y empresas realizan su transformación incorporando nuevas tecnologías, se produce un efecto inmediato que cambia de forma dinámica el perfiles de riesgo de ciberseguridad de la empresa. Estos cambios deben evaluarse y monitorearse repetidamente para detectar brechas de seguridad como resultado de la adopción de nuevas tecnologías, que nos permitan administrar, priorizary mitigar activamente los riesgos. La lista de posibles puntos de entrada para ciberataques como resultado del trabajo remoto sigue creciendo: • Los procesos existentes en las organizaciones donde no se contemplan controles de seguridad de la información, dejan abiertamente la información confidencial expuesta que es compartida con los empleados o muchos casos con la propia competencia. • La información almacenada en dispositivos móviles (tablet’s, smartphones, notebooks, etc.) que salen de las oficinas con información corporativa, se alejan del ambiente seguro y monitoreado quedando con la barreras de seguridad reducidas al nivel de seguridad de las redes donde se conecten. • Las nuevas tecnologías implementadas de manera inadecuada sin tener en cuenta o cumplir los requerimientos de seguridad pueden convertise en nuevas amenazas sin darse cuenta. • Las operaciones de trabajo remoto de los proveedores y/o clientes interconectados vía VPNs (nativas o a través de Internet) como servicios Cloud, pueden ampliar aún más el riesgo organizacional. Por todos estos motivos expuestos los equipos de ciberseguridad corporativa se ven obligados a establecer controles concretos, para mitigar ataques potencialmente complejos, además de poner a prueba la efectividad de dichos controles.
Revisión de la estrategia cibernética corporativa El personal de ciberseguridad, junto con los equipos de administración de riesgos corporativos y la Alta Gerencia, deben trabajar en la evaluación de riesgos, para analizar los proyectos y presupuestos de seguridad cibernética a modo de priorizar las inversiones buscando mejorar la resiliencia cibernética de una empresa de acuerdo a su tolerancia al riesgo. Por ejemplo: • Fijar medidas provisionales que se puedan implementar de inmediato para mitigar riesgos. • Revisar los controles de riesgo tecnológicos existentes y buscar mejorarlos. • Analizar nuevas herramientas o sistemas y sus requisitos de seguridad necesarios para y el almacenamiento de la información. • Desplegar controles adecuados para evitar la pérdida de datos o fuga de información. • Si cuenta con proveedores tercerizados conectados a su empresa u organización, asegúrese de que están preparados para mitigar ataques cibernéticos que puedan comprometer su infraestructura o su red corporativa. Cambiando dinámico de la superficie de ataque. El cambio que realizan las organizaciones hacia el uso de nuevas infraestructuras, la incorporación de procesos de teletrabajo y la adopción de nuevas herramientas pueden conducir a la explotación no detectada de vulnerabilidades en las tecnologías de trabajo remoto existentes. Las agencias de seguridad tanto en los Estados Unidos como en el Reino Unido han advertido de un número creciente de ciberdelincuentes que dirigen sus ataques a individuos y organizaciones con malware que incluyen ransomware. Estas alertas tempranas nos deben poner en acción, para realizar una análisis minucioso de las fortalezas y debilidades
que tiene nuestro sistema de escudos ante ataques cibernéticos, como también nuestros procesos de Respuesta a Incidentes. No nos olvidemos que además, los riesgos cibernéticos a través de socios comerciales y/o terceros también están aumentando y están relacionados al eslabón más débil de la cadena de seguridad. Estos puntos mencionados, nos deja con claridad que debemos analizar con profundidad el perfil de riesgo cibernético en cada organización y debemos renovar en forma constante las estrategias, capacitación y ejercicios, para abordar las amenazas y minimizar los riesgos. Para abordar las amenazas y minimizar los riesgos en primer lugar es necesario entender que la ciberseguridad y la protección deben ser una estrategia continua y permanente. Las organizaciones deben tener mínimamente una persona encargada de la ciberseguridad o trabajar con consultores externos que apoyen a las empresas a garantizar la seguridad de la información y de los procesos de negocios. Existen diversos marcos de buenas prácticas que podemos utilizar, como por ejemplo: • CIS Controls (Controles Críticos de Ciberseguridad): Son pautas de mejores prácticas para la seguridad informática. • NIST 800-53 Rev.5: Proporciona un catálogo de controles de seguridad y privacidad. • Norma ISO 27001:2013: Busca proteger todos los activos de información de la organización de acuerdo a los niveles que la misma organización defina. • Norma ISO 27002:2022: Introduce cambios estructurales en lo relativo a controles de seguridad de la información. • SOC 2 (Controles de Servicio y Organización): Se trata de un estándar internacional de informes sobre los sistemas de gestión de los riesgos de ciberseguridad. • COBIT (Control Objectives for Information and related Technology) es un marco de trabajo para el buen gobierno y la gestión de las tecnologías de la información (TI). • ITIL es una guía de buenas prácticas para la gestión de servicios de tecnologías de la información (TI). Concluyendo es importante desarrollar los mecanismos necesarios en su programa de seguridad que ayuden a reducir los riesgos de ciberseguridad. También tenga en cuenta que éste no es un ejercicio de una sola vez, sinó que debe ser practicado en forma permanente la prevención, detección y respuesta a incidentes, para garantizar una recuperación efectiva ante las nuevas ciberamenazas o ataques cibernéticos.
Certificate como
Programa Certified Chief Information Security Officer (CCISO) Los candidatos para la certificación CCISO deben tomar el entrenamiento oficial en LNXnetwork para CCISO. Una vez que se haya completado la capacitación, los solicitantes que deseen presentarse al examen CCISO deberán completar la Solicitud de elegibilidad para el examen que demuestre que, además de la capacitación, también tienen 5 años de experiencia en administración de SI en 3 de los 5 dominios CCISO. Los solicitantes que no cumplan con estos requisitos tienen la opción de presentarse al examen EC-Council Information Security Manager (E|ISM) como parte del Programa Asociado CCISO.
Programa EC-Council Information Security Manager (EISM) Esta opción está disponible para los candidatos que aún no poseen los años de experiencia requeridos para la certificación CCISO. Los EISM pueden realizar la capacitación oficial de CCISO y luego tomar y aprobar el examen de Gerente de Seguridad de la Información (EISM) de EC-Council para ingresar al programa CCISO una vez que cumplan con los requisitos en cada dominio. Dominios que abordan los programas CCISO | EISM Dominio 1: Gobernanza, riesgo, cumplimiento. Dominio 2: Controles de seguridad de la información y gestión de auditorías. Dominio 3: Gestión y operaciones del programa de seguridad. Dominio 4: Competencias básicas de seguridad de la información. Dominio 5: Planificación estratégica, finanzas, adquisiciones y gestión de terceros.
Sobre el examen • Número de preguntas: 150 • Duración: 2,5 horas • Formato : opción múltiple • Puntaje de aprobación 70% A quien va dirigido este curso? • Administradores de Seguridad • Gerentes de Seguridad • Jefes en Ciberseguridad • Pentesters • Analista de Seguridad
LNXnetwork S.R.L. : Padre Buenaventura Suárez 1600 entre India Juliana y Alfredo Seiferheld (Paseo Andemsan, Oficina 2) | Asunción, Paraguay | Teléfono:+595 21 327 4568 capacitacion@lnxnetwork.com| https://www.lnxnetwork.com
07
Destrucciónde Datos
¿Qué rol juega la destrucción de datos en la ciberseguridad?
E
n los últimos años, ha habido muchas preocupaciones asociadas con la comunidad moderna de ciberseguridad. El rol de la ciberseguridad
Davide Maddalozzo Business Development Manager tecnología.
dentro de las organizaciones, se ha vuelto crucial para la postura financiera y la reputación de cada empresa e institución. Cuando los líderes de las organizaciones
fríen en hornos de microondas, o se rompen con un
piensan en la ciberseguridad, la atención se
martillo en la creencia de que esto es suficiente.
centra principalmente en las herramientas y prácticas que se implementarán para mejorar
Estos datos aún se pueden recuperar y utilizar con éxito.
la protección de la estructura cibernética
Y esto es exactamente lo que conduce a fugas masivas
actual.
de datos, violaciones del RGPD, robos, chantajes, ventas de datos confidenciales, desastres de relaciones públicas,
Todos se defienden contra los robos y el robo de datos mediante el uso de varios firewall
escándalos.
robustos, antivirus, soluciones de
Tal y como explica el Instituto Nacional de
almacenamiento en la nube, seguridad de redes y endpoints, capacitación de
Ciberseguridad del Gobierno de España: “Las empresas,
concientización para los empleados, hasta las
independientemente de su tamaño o de su sector, basan su actividad en la información. El ciclo de vida de la
tecnologías de aprendizaje automático e inteligencia artificial más recientes.
información, de forma simplificada, consta de tres fases: generación, transformación y destrucción.
Lo que generalmente no se considera, o se subestima, es qué hacer cuando es necesario
Toda información tiene una vida útil, ya sea en formato digital o en formatos tradicionales. Cuando la vida de
retirar o desechar los portadores de medios y
los documentos llega a su fin, se deben utilizar
los endpoints.
mecanismos de destrucción y borrado para evitar que queden al alcance de terceros."
Para la postura de seguridad de una organización, es fundamental proteger los datos durante toda su vida útil, lo que incluye qué hacer con los datos cuando ya no son necesarios.
Por lo tanto, las organizaciones deben implementar un paso adicional para garantizar que nadie pueda leer ni acceder a los datos antes de su eliminación. El primer paso a considerar es un nuevo enfoque de la
Millones de smartphones, discos y varios soportes electrónicos obsoletos, no utilizados,
política de retención de datos, creando auditorías y procesos internos para determinar los tipos de hardware
rotos o defectuosos se tiran diariamente a la
que se utilizan para almacenar datos y cuándo se debe
basura, después de un simple formateo, o se
destruir un soporte de datos específico.
08
Destrucción de Datos
Todo este nuevo enfoque se introducirá teniendo en cuenta el tiempo, asegurándose de que estos nuevos procesos no afecten al personal actual ni a
asociaciones de ciberseguridad y protección de datos, como la tecnología más segura, fácil de usar, que ahorra tiempo y es más efectiva.
las operaciones en curso. Alternativamente, o en combinación con la Para realizar esto de manera profesional, con los
desmagnetización, es posible destruir físicamente
más altos estándares de seguridad, las empresas
los diferentes soportes, perforando con destructores manuales profesionales y certificados
tienen algunas soluciones principales al momento de decidir cómo destruir los datos. Estas soluciones
o triturando con trituradores de medios
se pueden resumir en las 2 formas profesionales
automáticos.
más habituales de deshacerse de la información digital:
La destrucción de los soportes, así como la norma
1. Desmagnetización 2. Destrucción física La desmagnetización es un proceso físico, basado en la ley física por la cual si un campo magnético
de seguridad, está regulada y categorizada por la norma internacional DIN66399, que divide el proceso en 7 niveles de seguridad diferentes, 3 categorías de protección y 6 clasificaciones de materiales.
que es el doble de la coercitividad del portador de datos magnético pasa sobre el dispositivo de almacenamiento, toda la información presente será
El uso de estas tecnologías profesionales y su implementación dentro de la política de
revuelta, haciéndola completamente ilegible.
ciberseguridad de la organización beneficiará a la Los portadores magnéticos con mayor coercitividad empresa en muchos niveles. son los discos duros (HDD). Los discos duros estándar tienen 5.000 Oersted de coercitividad, pero como los HDD más nuevos
En primer lugar la responsabilidad, ya que los clientes, socios y empleados tendrán la seguridad
pueden tener incluso 5.300 Oersted, la
de que la información confidencial no caerá en manos no autorizadas o criminales después de la
recomendación es utilizar desmagnetizadores con un campo magnético mínimo de hasta 11.000
disposición de los portadores.
Gauss. Además, es importante tener en cuenta que el Para la comodidad y seguridad del proceso, vale la
RGPD europeo, así como la mayoría de los
pena elegir un dispositivo que genere un informe,
Reglamentos locales de protección de datos más recientes y las guías y estándares internacionales
con el apoyo de una aplicación móvil.
(como CCPA, HIPPAA, NIST, ISO27001) se refieren A nivel internacional, la desmagnetización es la forma más común de destruir datos de soportes de datos magnéticos, recomendada por varias
claramente a la destrucción de datos y cómo, cuándo y por qué se deben destruir los datos confidenciales y desechar los soportes de datos.
Las mismas guías requieren mantener un registro de sus actividades de eliminación de datos,
la importancia de la protección de datos y de
especialmente datos confidenciales y de alto riesgo.
todos los riesgos relacionados con una ciberseguridad insuficiente.
Si haces el proceso internamente o si decides hacerlo a través de una empresa que ofrece servicios de
Una violación de datos o una pérdida de datos no
destrucción de datos onsite y offsite, será importante generar el informe y certificado de destrucción de datos al finalizar el servicio.
es solo un gran problema económico y financiero, sino también un daño a la reputación que puede dirigir a los clientes potenciales a empresas competidoras, que pueden ofrecer soluciones más
La selección del dispositivo o marca adecuada
modernas y efectivas.
deberá incluir las especificaciones técnicas adecuadas y la capacidad de ese producto para generar un informe profesional y confirmar la eficiencia del proceso.
Recuerde que puede ser más seguro y económico a largo plazo invertir en la eliminación segura que arriesgarse a perder datos confidenciales sobre tu empresa, lo que
Teniendo en cuenta las obligaciones de la mayoría de las empresas de adherirse a las normas y reglamentos anteriores, puede ser necesario adoptar
podría costarte mucho más, sin incluir demandas judiciales y multas si se han perdido datos personales del consumidor.
métodos y tecnologías efectivos para mantener el Recuerda, los discos duros se pueden
pleno cumplimiento.
reemplazar, pero ¿tu reputación? Difícilmente. Una consideración sobre los beneficios debe incluir la
DESMAGNETIZADORES
ASM240
ASM120 DESTRUCTOR DE MEDIOS
MMD360+
--------------------------------
conciencia de que la mayoría de los clientes y socios se están volviendo extremadamente conscientes de
La destrucción de datos es protección de datos. Be aware, choose wisely.
Los desmagnetizadores ProDevice son dispositivos de alta calidad para la eliminación segura e irreversible de datos de soportes magnéticos funcionales o dañados. Representa y distribuye en Paraguay
Teléfono: +595 21 327 4568 | www.lnxnetwork.com | comercial@lnxnetwork.com
10
Tutorial DoS Attack su historia y evolución
E
Por Fredy Peralta Consultor en Ciberseguridad
n Ciberseguridad, el tipo de ataque mas conocido y Se hizo como un experimento, por lo que no hubo mala voluntad involucrada. Sin embargo, el principio escuchado es el ataque de denegación de pronto se aplicaría por razones más nefastas. servicio. En informática, un ataque de denegación
de servicio (ataque DoS) es un ataque cibernético en el que el perpetrador busca hacer que una máquina o recurso de red no esté disponible para sus usuarios
Con el surgimiento de IRC (Internet Relay Chat) en los años 90, los ataques DDoS simples basados en el ancho de banda se convirtieron en una herramienta
previstos interrumpiendo de forma temporal o indefinida los servicios de un host conectado a una red. para obtener el control administrativo de una sala de chat. Con IRC, si cierra la sesión, perderá sus La denegación de servicio generalmente se logra inundando la máquina o recurso de destino con solicitudes superfluas en un intento de sobrecargar los sistemas y evitar que se cumplan algunas o todas las solicitudes legítimas.
derechos de administrador. Una vez más, tales ataques DDoS no se acercaron a la amenaza que enfrentan las empresas hoy en día; sin embargo, son esencialmente el punto de origen del problema actual.
Muchos ataques DoS de alto perfil son en realidad ataques distribuidos, donde el tráfico de ataque proviene de múltiples sistemas de ataque. En un ataque de denegación de servicio distribuido (ataque DDoS), el tráfico entrante que inunda a la víctima se origina en muchas fuentes diferentes. Esto
En 1996 Panix, ahora uno de los proveedores de servicios de Internet más antiguos, quedó desconectado durante varios días por una inundación SYN, una técnica que se ha convertido en un ataque DDoS clásico.
efectivamente hace que sea imposible detener el ataque simplemente bloqueando una sola fuente. Un
Varios años más tarde, en 1999, un pirata informático ataque DoS o DDoS es similar a un grupo de personas logró inhabilitar por completo la red interna de la que abarrotan la puerta de entrada de una tienda, lo Universidad de Minnesota durante más de 48 horas con una inundación masiva de UDP. Fue el primer que dificulta la entrada de clientes legítimos y, por lo tanto, interrumpe el comercio. Los perpetradores criminales de ataques DoS a menudo se dirigen a sitios o servicios alojados en servidores web de alto
ataque a gran escala a través de una herramienta especializada llamada Trinoo. Además de eso, logró
atraer una gran atención pública y solidificar los perfil, como bancos o pasarelas de pago con tarjeta de ataques DDoS como algo a lo que se debe estar atento y asustado. crédito. La venganza, el chantaje y el hacktivismo pueden motivar estos ataques. Quizás el primer ataque DDoS fue ejecutado por David Dennis, un estudiante de 13 años de la escuela secundaria de la Universidad de Illinois. En 1974, logró apagar con éxito 31 terminales PLATO escribiendo un programa que enviaba un comando problemático.
Quizás el hacker DDoS más infame es Michael "Mafiaboy" Calce. En febrero de 2000, lanzó un ataque DDoS masivo dirigido a grandes corporaciones como CNN, Yahoo, Amazon, Dell, eBay y FIFA. El entonces adolescente usó una herramienta llamada TFN2 que hace uso de computadoras previamente infectadas para generar una gran cantidad de tráfico falso a un servidor.
Para pasar desapercibida, la herramienta también modificó el cifrado utilizado por los protocolos de
Como es posible los ataques DDOS?
comunicación de red estándar.
Hoy en día existen redes botnets más grandes y un
La gran escala y el éxito del ataque DDoS de Mafiaboy inspiraron a otros piratas informáticos y hacktivistas. También mejoró enormemente la eficiencia de las tácticas y los procedimientos
acceso a ellas más fácil para realizar DDoS. El último aumento de los ataques DDoS se correlaciona con el aumento de dispositivos IoT no seguros y la disponibilidad de DDoS-as-a-Service, herramientas Stresser o Botnet-for-hire.
utilizados para los ataques DDoS. En los años siguientes, se produjeron numerosos ataques DDoS masivos. Los piratas informáticos apuntaban a corporaciones, hacían declaraciones políticas o simplemente extorsionaban a los dueños de negocios bajo la amenaza de una inundación DDoS. Desafortunadamente, esto fue solo el comienzo de lo que se convertiría en un problema mucho más complicado. Los ataques DDoS se están convirtiendo rápidamente en el tipo de amenaza cibernética más prevalentes y con crecimiento acelerado en el último año tanto en número como en volumen según una investigación de mercado reciente. La tendencia es hacia una duración de ataque más corta, pero un mayor volumen de ataque de paquetes por segundo. Los atacantes están motivados principalmente por: • Ideología: los llamados "hacktivistas" usan ataques DDoS como un medio para atacar sitios web con los que no están de acuerdo ideológicamente. • Disputas comerciales: las empresas pueden usar los ataques DDoS para eliminar estratégicamente los sitios web de la competencia, por ejemplo, para evitar que participen en un evento importante, como el lunes cibernético. • Aburrimiento: los vándalos cibernéticos, también conocidos como "script-kiddies", usan scripts preescritos para lanzar ataques DDoS. Los perpetradores de estos ataques suelen estar aburridos, buscan una subida de adrenalina. • Extorsión: los perpetradores usan ataques DDoS o la amenaza de ataques DDoS como un medio para extorsionar a sus objetivos. • Guerra cibernética: los ataques DDoS autorizados por el gobierno se pueden usar para paralizar los sitios web de la oposición y la infraestructura de un país enemigo.
Gráfico de un ataque botnet
Uno de los mejores ejemplos es Mirai Botnet. Dispositivos IoT vulnerables, como impresoras, cámaras IP y enrutadores domésticos, transformados en bots listos para ser controlados. Según una revista publicada en Hindawi, Mirai Botnet se puede utilizar para realizar una amplia gama de ataques, desde TCP SYN Floods básico hasta DNS Water Torture sofisticado. Sin embargo, reclutar bots para una Botnet no siempre requiere malware. Simplemente explotando las vulnerabilidades encontradas en ciertos protocolos, los DdoSers (nombre genérico dado a los atacantes aficionados de la DDoS) pueden derribar servicios. Un claro ejemplo son los populares ataques de reflexión y amplificación. Las vulnerabilidades encontradas en UDP Portmap, DCCP, DNS, SNMP, NTP y otras pueden usarse para amplificar las solicitudes a 10X o incluso 100X y realizar un DDoS potente. Muchos informáticos piensan que una vulnerabilidad de slowloris en impresoras y cámaras ip no son una gran amenaza. Pero cuando se ejecuta el exploit en todos estos equipos para atacar a un servidor critico, se vuelve una amenaza critica que se pudo prevenir aplicando las mitigaciones básicas ante la vulnerabilidad. Que tu empresa no la próxima víctima de un ataque DOS/DDOS. Es un desafío detener un ataque DDoS en curso con protección. Imagínese lo prácticamente imposible que es poner fin sin ningún tipo de seguridad en su lugar.
Certified Ethical Hacker CEH v11 le enseñará las últimas herramientas, técnicas ymetodologías de hacking utilizadas por ciberdelincuentes. Un hacker ético certificadoes un profesional calificado que entiende y sabe cómo buscar debilidades yvulnerabilidades en los sistemas de destino.
Certificate como
El objetivo de este curso es ayudarlo a dominar una metodología de hacking ético quese pueda utilizar en una prueba de penetración o hacking ético. ¡Usted sale por lapuerta con habilidades de hacking ético, así como la certificación Certified EthicalHacker internacionalmente reconocida! Este curso te prepara para el examen 312-50del Ethical Hacker certificado por el Consejo Europeo. Temas que aborda el Curso de Certificación CEHv11 Módulo 01: Introducción al Ethical Hacking Módulo 17: Hackeo de plataformas móviles Módulo 02: Huella y reconocimiento Módulo 18: Hackeo de IoT Módulo 03: Escaneo de redes Módulo 19: Computación en la nube Módulo 04: Enumeración Módulo 20: Criptografía Módulo 05: Análisis de vulnerabilidad Sobre el examen Módulo 06: Hackeo de sistemas • Número de preguntas: 125 Módulo 07: Amenazas de malware • Duración: 4 horas Módulo 08: Sniffing • Formato : opción múltiple Módulo 09: Ingeniería social • Puntaje de aprobación 70% Módulo 10: Denegación de servicio Módulo 11: Secuestro de sesión A quien va dirigido este curso? Módulo 12: Evasión de IDS, firewalls y Honeypots • Administradores de Seguridad Módulo 13: Hackeo de servidores web • Gerentes de Seguridad Módulo 14: Hackeo de aplicaciones web • Jefes en Ciberseguridad Módulo 15: Inyección SQL • Pentesters Módulo 16: Hackeo de redes inalámbricas • Analista de Seguridad LNXnetwork S.R.L. : Padre Buenaventura Suárez 1600 entre India Juliana y Alfredo Seiferheld (Paseo Andemsan, Oficina 2) | Asunción, Paraguay | Teléfono:+595 21 327 4568 capacitacion@lnxnetwork.com| https://www.lnxnetwork.com
Crucigrama del CISO
14 E
Conoce Honeypots
Por Cristhian Bogarín Consultor en Ciberseguridad
l Honeypot puede ser definido como una trampa o
Tipos de Honeypots
un cebo virtual el cual es utilizado para detectar amenazas, vulnerabilidades o problemas
No todos los honeypots son iguales. Algunos pueden ser tan sencillos que tienen como único objetivo
relacionados con la seguridad web. Son sistemas intencionalmente vulnerables capaces de
analizar el tráfico de tu web, en cambio existen otros mucho más complejos y que involucran redes
permitir a los ciberdelincuentes explotar vulnerabilidades. De esta manera el honeypot se nutre
enteras, como es el caso de los honeynets. En función del objetivo de la implementación o
de información acerca de nuevas modalidades de ataques para ir un paso delante de los mismos.
puesta en funcionamiento de los honeypots, podemos diferenciar entre:
Un honeypot tiene la capacidad de engañar a los ciberdelincuentes y hacerles creer que han accedido al
Honeypot de Producción:
sistema real. Dado que el honeypot conforma un entorno controlado, los atacantes dentro de estos
Es un sistema muy simple y el más utilizado por empresas para asegurarse de proteger su sistema,
sistemas no provocan daños reales. Si somos capaces de conocer por dónde atacan o la forma de trabajar
desviando y mitigando la acción de los ciberdelincuentes.
de estos ciberdelincuentes podemos tomar las medidas necesarias para evitar que lo hagan en un
Honeypot Puros:
entorno real. Esto también nos permite conocer mucho mejor las vulnerabilidades de nuestro sistema, los
Es un sistema de producción completo que actúa como cebo y también monitorizan en el enlace de la
puntos débiles y cómo debemos protegerlo.
red.
Honeypots: ¿tiene sus desventajas?
Honeypot de Investigación: Son sistemas mucho más complejos y el principal
Sí, un honeypot también implica riesgos, si no son configurados correctamente, pueden servir como
objetivo es investigar y documentar la actividad de los ciberdelincuentes y entender sus motivaciones.
puerta de entrada a nuestro sistema real. Y con eso, ya se pueden imaginar las consecuencias de lo que
Aquí los honeynets juegan un papel muy importante, a continuación, te explico qué son.
puede llegar a ocurrir. Honeynets Además de suponer un riesgo para la seguridad de tu web, también puede suponer un riesgo económico si
Los honeynets son un tipo especial de honeypots de alta interacción que tratan de simular un entorno
no se dispone del personal capacitado para implementarlo. Se debe tener en cuenta que se
totalmente real para los ciberdelincuentes. Esto engloba la red entera y para ello se utilizan equipos
necesitan equipos de software y hardware reales y todo esto representa un costo elevado si se desea
de hardware reales, programas reales, sistemas operativos reales. Todo con el objetivo de recabar la
llegar al rendimiento esperado.
mayor información posible.
15 OWASP Honeypot El objetivo del OWASP Honeypot es identificar ataques emergentes contra aplicaciones web e informarlos a la comunidad, con el fin de facilitar la protección contra tales ataques dirigidos. Es un software de código abierto en lenguaje Python diseñado para crear honeypots y honeynets de una manera fácil y segura. Este proyecto es compatible con Python 2.xy 3.xy probado en Windows, Mac OS X y Linux . Se debe tener en cuenta que cada vez que
capaces de identificarlos, así que, si los
se ejecute el honeypot, eliminará y actualizará la máquina virtual, por lo que se requiere acceso a
ciberdelincuentes lo detectan, toda tu inversión y esfuerzo no habrán servido de nada.
Internet para el host.
• Debemos intentar que sea lo más atractivo posible para los ciberdelincuentes. Es decir, hacer
Caracteristicas: - Emulador (DOCKER/LXC).
que el honeypot haga honor a su nombre y que sea un tarro de miel para los atacantes, tenemos que
- Multi OS Support. - Multi Python Version Support.
conseguir que caigan en la trampa. Muchas veces puedes pecar por crear un sistema tan simple que
- Máquina virtual segura. - Proceso de configuración automatizado.
lo detecten al instante.
- CLI/WebUI/API disponible + Informes en vivo. - Apoyar ataques basados en web/red.
En cambio, un sistema demasiado complejo podría hacer que los delincuentes pierdan todo su interés,
- Analizador de paquetes de red. Ref: https://owasp.org/www-project-honeypot/
así que el resultado acaba siendo el mismo.
¿Qué hay que tener en cuenta a la hora de
Concluyendo: Los honeypots son una herramienta muy poderosa para conocer cómo
implementar un honeypot?
de seguro es un sistema, detectar vulnerabilidades y aprender de los errores para
La tecnología ha avanzado tanto que en ocasiones ya no hablamos solo de honeypots, sino de redes enteras
poder hacerlo más robusto.
como los honeynets. Los ciberdelincuentes también han aprendido mucho, por lo que es necesario tener
Este cebo o trampa para los ciberdelincuentes supone un gran aprendizaje para empresas u
en cuenta algunas consideraciones a la hora de implementar un honeypot:
organizaciones, pero una mala configuración o cualquier pequeño error puede poner en riesgo
• Los honeypots o honeynets tienen que simular un entorno totalmente real. Existen herramientas
la seguridad del entorno real, así como poner en riesgo la inversión económica realizada.
Resultado del crucigrama
Tiene Problemas Contáctenos... podemos ayudarlo +595 21 327 4568
Certificate
CHFI - Certified Hacking Forensic Investigator El Certified Hacking Forensic Investigator (CHFI) de EC-Council es un programa integral acreditado por ANSI y centrado en la capacitación neutral en cuanto a proveedores en ciencia forense digital. El programa CHFI ofrece a los participantes una sólida comprensión de la ciencia forense digital, presentando un enfoque detallado y metodológico de la ciencia forense digital y el análisis de evidencia que también gira en torno a la Dark Web, IoT Sobre el examen y Cloud Forensics. Las herramientas y técnicas • Número de preguntas: 150 cubiertas en este programa • Duración: 4 horas prepararán al alumno para realizar investigaciones • Formato : opción múltiple digitales utilizando tecnologías • Puntaje de aprobación 70% forenses digitales innovadoras. Ventajas del Programa El programa equipa a los candidatos con las habilidades necesarias para investigar de manera proactiva amenazas de seguridad complejas, lo que les permite investigar, registrar y reportar delitos cibernéticos para prevenir futuros ataques.
A quien va dirigido este curso? • Administradores de Seguridad • Gerentes de Seguridad • Jefes en Ciberseguridad • Pentesters • Analista de Seguridad
LNXnetwork S.R.L. : Padre Buenaventura Suárez 1600 entre India Juliana y Alfredo Seiferheld (Paseo Andemsan, Oficina 2) | Asunción, Paraguay | Teléfono:+595 21 327 4568 capacitacion@lnxnetwork.com| https://www.lnxnetwork.com
En LNXnetwork tenemos una gama de soluciones y servicios en Ciberseguridad para apoyarlo a establecer niveles de seguridad escalables y proteger los recursos críticos de su organización. Contamos con más de 20 áreas de práctica de Ciberseguridad y Ciberdefensa atendidas por profesionales de seguridad. Contáctenos y le asignaremos un consultor que le ayudará a encontrar un plan que se ajuste a sus necesidades. Oficina Padre Buenaventura Suárez 1600 (Paseo Andemsan, Oficina 2) entre India Juliana y Alfredo Seiferheld - Asunción, Paraguay Llamadas Telefónicas +595 21 327 4568 +595 961 614927 Email csirt@lnxnetwork.com https://www.lnxnetwork.com