Modelo de Texto Expositivo TEOE

EL HACKING OFENSIVO: INTRUSOS AL ACECHO EN LÍNEA
Introducción
Cada vez se hace más presente los ataques cibernéticos a empresas. En un mundo cada
vez más interconectado, las organizaciones buscan proteger sus sistemas y datos frente a
posibles amenazas en la web. Estos ataques son perpetrados mediante técnicas avanzadas para
identificar y explotar vulnerabilidades en sistemas informáticos. Estos delitos generan pérdidas
millonarias a las empresas y atenta contra la privacidad de las personas. El hacking ofensivo es
el uso de software malicioso u otros métodos para obtener acceso no autorizado a un sistema
informático o red. Su objetivo es sustraer datos, interrumpir operaciones o causar daños. A
continuación, se explicará las herramientas y técnicas de phishing, las herramientas y etapas
del Pentesting, métodos de propagación de los gusanos informáticos y técnicas utilizadas en
ataques DDos.
Desarrollo
Uno de los métodos más usados por los ciberdelincuentes para apoderarse de las
credenciales de un usuario es el Phishing. En primer lugar, este método tiene tres técnicas
sofisticadas. Una de ellas es una estafa por correo electrónico dirigida en su mayoría hacia las
organizaciones y empresas para robar información o dinero. También, existe el Whaling, que
trata de engañar a sus víctimas haciéndose pasar por otros que tienen un cargo mayor o superior,
tratando de apoderarse de información confidencial y fuertes sumas de dinero. Por último,
según Microsoft (2021), el Pharming se encarga de redirigir al usuario a un sitio web falso,
con el fin de robar información personal o financiera. En segundo lugar, algunas de las
herramientas más usadas por los hackers para llevar a cabo esta acción son los Kits de phishing
y la Ingeniería Social. Este conjunto de herramientas se ofrece a la venta para poder realizar
estos ataques de phishing con más facilidad. Normalmente estos kits incluyen plantillas de
sitios web falsos con el objetivo de que los usuarios ingresen datos confidenciales o ingresen
dinero (Keepcoding, 2023). Por otro lado, la Ingeniería Social consta de un conjunto de técnicas
usadas por los ciberdelincuentes para engañar a los usuarios y que abran enlaces infectados con
el fin de robarles información o infectar sus computadoras con malwares (Kaspersky Lab,
2023).
El Pentesting es una de las técnicas más novedosas, que ha generado muchos fraudes y
robos de información a diversas empresas. Por un lado, existen diversas herramientas y técnicas
necesarias para su uso. Uno de los softwares más conocidos para encontrar las vulnerabilidades
en un sistema es Nmap, que es una herramienta gratuita de código abierto para la exploración
de vulnerabilidades y la detección de redes, se utilizará para identificar qué dispositivos se
están ejecutando en un sistema, descubrir los hosts disponibles, encontrar puertos abiertos y
detectar riesgos de seguridad, así como numerosas aspectos más. Para realizar pruebas de
penetración, el software Nmap utiliza técnicas especiales para enviar mensajes a las
aplicaciones y analizar cómo responden. Este proceso tiene el objetivo de encontrar
vulnerabilidades para que un ciberdelincuente pueda explotarlas. Por otro lado, el pentesting
consta de varias fases bien definidas que si se siguen correctamente, se podrá llevar a cabo
nuestro objetivo. En la primera, se recopila información como escaneos IP, obtención de
metadatos y herramientas de scrapeo. A partir de la información obtenida, se define qué
métodos se utilizarán. La segunda etapa se basa en realizar todas las acciones posibles para
buscar los puntos más débiles y acceder al objetivo. Una vez se identifican las vulnerabilidades,
sigue la tercera etapa, que es la explotación de las vulnerabilidades. Acá se aprovechará los
errores en el código para tener un acceso no autorizado al sistema objetivo. De acuerdo con
Hernández (2022), una vez hecho todo lo anterior se llegará a lo interesante, la fase de post-
explotación, en donde se evalúa nuestro alcance de intrusión, se recopilan credenciales, datos
sensibles e información adicional.
Los gusanos informáticos son aplicaciones maliciosas diseñadas para esparcirse de

forma autónoma a través de redes informáticas. Emplean diferentes métodos de propagación
para infiltrarse en sistemas vulnerables con el objetivo de replicarse y distribuirse a otros
dispositivos. Uno de estos métodos es la propagación por infección de un dispositivo, que
contiene varias subcategorías. Siendo en este caso la primera de ellas la infección a través de
dispositivos USB. Los gusanos informáticos aprovechan las debilidades en estos dispositivos
para propagarse de un dispositivo a otro. infectando cualquier dispositivo conectado a través
de un puerto USB. Otro método de propagación utilizado por los malwares está relacionado
con la explotación de vulnerabilidades en dispositivos conectados a internet (IoT), tales como
electrodomésticos o termostatos inteligentes, cámaras de seguridad, ya que estos a menudo
carecen de las medidas de seguridad adecuadas, lo que los convierte en objetivos. Además, las
redes WI-FI públicas no son completamente seguras llegando a poder ser utilizados como un
método de propagación. Estas redes son conocidas por su carencia en medidas de seguridad, lo
que facilita interceptar, modificar o manipular el tráfico de la red (Easydmarc, 2022.). Por otro
lado, existen métodos de propagación indirecta utilizados por los gusanos malware. Estos
métodos se basan en el aprovechamiento de las vulnerabilidades en el software y sistemas
operativos. Los malwares se pueden aprovechar de las debilidades de los sistemas y programas.
Estas vulnerabilidades pueden ser explotadas mediante técnicas como la ejecución remota de
código o la escala de privilegios, los cual permitiría a los rootkit expandirse de manera más
efectiva. Además de las vulnerabilidades en el software y los sistemas operativos, los malware
también pueden usar técnicas de Ingeniería social y Phishing para su propagación. La
Ingeniería social implica engañar a los usuarios a realizar acciones que beneficien a los
atacantes, como entrar en enlaces infectados o abrir archivos malignos (Symantec, 2013). Por
último, los gusanos informáticos tienen la capacidad de emplear métodos de propagación
directos. como los correos electrónicos y mensajes que contienen archivos adjuntos maliciosos
perjudiciales, ya que estos pueden contener el propio gusano informático. Y por otro lado, la
descarga de software infectados, desde sitios webs no seguros, también es un método muy
frecuente. Estos casos ocurren, porque los usuarios se ven tentados a instalar el software
supuestamente auténtico. Sin embargo, en realidad el software contiene un malware oculto.
Una vez que se ejecuta el software malicioso, el malware puede infectar el sistema y buscar
oportunidades para difundirse a otros dispositivos conectados a la red..
El ataque DDos es un ataque cibernético, que tiene como finalidad saturar o sobrecargar
los recursos de un sistema, como servidores, redes o aplicaciones. Tiene muchas técnicas, por
eso se ha convertido en uno de los más usados por los ciberdelincuentes. Por un lado, tenemos
el ataque de inundación de tráfico, que tiene dos efectos principales. La interrupción de
servicio, se encarga de que un sistema informático no esté disponible o no pueda funcionar. La
pérdida de datos ocasiona errores y fallas en los sistemas, lo cual lleva a la corrupción de datos
almacenados. Por otro lado, un ataque de ampliación de DNS es una forma de ataque
cibernético que puede tener consecuencias perjudiciales para una organización. Este tipo de
daño implica enviar solicitudes falsificadas a un servidor DNS con el objetivo de obtener
respuestas mucho más grandes de lo esperado. Como resultado, se produce una sobrecarga del
ancho de banda, lo que puede afectar el rendimiento de la red y causar interrupciones en los
servicios. Además, existe un riesgo de fuga de información confidencial durante este tipo de
ataques, ya que los atacantes pueden utilizar la sobrecarga para infiltrarse en los sistemas y
acceder a datos sensibles. Es importante establecer medidas de seguridad adecuadas, como la
implementación de firewalls y la actualización regular del software para prevenir y mitigar los
riesgos asociados con los ataques de ampliación de DNS.
Conclusión
En suma, debido al avance tecnológico, aparecieron diversos métodos para explotar las
vulnerabilidades de seguridad en los sistemas de las empresas como el phishing, ataques Ddos,
Pentesting y Gusanos informáticos. Sin embargo, existen medidas que pueden tomarse para
evitar y mitigar estos ataques. Una de las acciones clave es invertir en la educación y
concienciación de los empleados, para brindarles capacitación regular sobre las últimas
técnicas de hacking, y cómo identificar y responder a posibles ataques. Se debe implementar
un robusto sistema de seguridad de red, incluyendo firewalls, sistemas de detección de
intrusiones y actualizaciones regulares de software para prevenir el acceso no autorizado. Al
fortalecer tanto la capacitación de los empleados como las defensas tecnológicas, las empresas
pueden aumentar significativamente su resistencia ante los ataques de hacking ofensivo y
proteger sus valiosos activos digitales.
REFERENCIAS
Hernandez, M. (28 de noviembre de 2022).¿Qué es el

aa.alaPentesting?.https://nuclio.school/que-es-el-pentesting/
Keepcoding (2023).¿Qué son los phishing kits?

https://keepcoding.io/blog/que-son-los-phishing-kits/
Kaspersky (2023). Ingeniería social: definición.

https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering
Leguizamón, M. (2021). El Phishing.(Tesis de postgrado).Universitat Jaume I, España.
https://repositori.uji.es/xmlui/bitstream/handle/10234/127507/TFG_Leguizam%c3%b3
n_Mayra.pdf?sequence=1&isAllowed=y
Symantec (2013). Últimas tácticas de phishing y sus posibles consecuencias para las
empresas. Norton secured.
http://docs.media.bitpipe.com/io_11x/io_117740/item_972566/phishing-tactics-
es_W_newseal.pdf

Modelo de Texto Expositivo TEOE

Cargado por

Copyright:

Formatos disponibles

Modelo de Texto Expositivo TEOE

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modelo de Texto Expositivo TEOE

Cargado por

Copyright:

Formatos disponibles

EL HACKING OFENSIVO: INTRUSOS AL ACECHO EN LÍNEA

Los gusanos informáticos son aplicaciones maliciosas diseñadas para esparcirse de

Hernandez, M. (28 de noviembre de 2022).¿Qué es el

Keepcoding (2023).¿Qué son los phishing kits?

Kaspersky (2023). Ingeniería social: definición.

Leguizamón, M. (2021). El Phishing.(Tesis de postgrado).Universitat Jaume I, España.

También podría gustarte