Una intrusión física en ciberseguridad es una de las últimas opciones que se plantea en muchas situaciones, debido al riesgo que conlleva la detección. En caso de lograrse, aporta ciertos beneficios, como el acceso directo a la red interna mediante un implante hardware. A continuación, veremos cuáles on algunos de los aspectos generales de una … Leer más
Cuando se realizan pruebas de enumeración activa, hay que tener en cuenta diferentes aspectos para evitar la identificación en un ejercicio Red Team. Entre ellos están: Veamos cada una de estas medidas para evitar la identificación en un ejercicio Red Team. ¿Cómo evitar la identificación en un ejercicio Red Team? Mantener un bajo perfil y … Leer más
¿Sabías que existe una metodología de la seguridad wifi bastante específica? Para el desarrollo de una correcta enumeración en el ámbito wifi, se plantean diferentes acciones. Normalmente, se aprovecha este reconocimiento para revisar las medidas de seguridad físicas también, pues el equipo ya se está desplazando a las localizaciones para el ejercicio Red Team. Es … Leer más
Dentro de un ciberataque, una vez están seleccionados los usuarios en ejercicio Red Team e identificados dentro de LinkedIn, es común intentar identificar cuáles son cuentas reales y cuáles no, de cara a posteriores ataques, como el desarrollo de fuerza bruta. En este post, te enseñaremos cómo hacer una enumeración de usuarios en ejercicio de … Leer más
CrossLinked es una herramienta gratuita y de código abierto de enumeración de LinkedIn que utiliza el scraping del motor de búsqueda para recopilar nombres válidos de usuarios de LinkedIn de una organización objetivo. En este post te enseñamos a usar esta herramienta, que puede resultar de mucha utilidad en LinkedIn y otros contextos. ¿Cómo funciona CrossLinked? CrossLinked utiliza el … Leer más
En este artículo hablamos sobre las dos primeras acciones a realizar en el paso a paso de un ejercicio Red Team. Para hacer un ejercicio de Red Team, se deben tener en cuenta varias cosas; entre ellas está mapear todos los activos e información posible de la organización objetivo, siempre teniendo en cuenta los escenarios … Leer más
Los dominios en ciberseguridad pueden utilizarse tanto para la recepción de persistencia o exfiltración como para desarrollar ataques de ingeniería social, como phishing. Depende del objetivo que se busque con unos u otros dominios en ciberseguridad, aunque siempre es bueno que cumplan las siguientes características: Veamos un poco más a fondo cómo funcionan los dominios … Leer más
Existen muchísimos ejemplos de vectores de acceso que podemos tomar en cuenta para realizar nuestros ejercicios Red Team. En este artículo, veremos algunos de esos ejemplos, como pueden ser la identificación file upload, la subida webshell, el análisis del equipo, la inyección SQL, el acceso a un servidor web, la creación de diccionario… ¡Sigue leyendo … Leer más
En este artículo vamos a ver un ejemplo de vector de ataque, es decir, una situación real con todas las partes que se desarrollan en un proceso así. El contexto en el que se desarrolla este ejemplo de vector de ataque es un entorno bancario. ¿Qué es un vector de ataque? Un vector de ataque … Leer más
¿Sabías que existen múltiples beneficios del hacking en las organizaciones? El hacking en las organizaciones es un problema cada vez más común en la era digital. El hacking se refiere a la práctica de buscar y explotar vulnerabilidades en los sistemas informáticos con el fin de obtener acceso no autorizado a la información o recursos … Leer más
