Captura de Inteligencia para una Prueba de Penetración

  • Posted on: 4 August 2021
  • By: ReYDeS

¿Qué es?

La Captura de Inteligencia implica realizar un reconocimiento contra aquello en evaluación, con el propósito de obtener tanta información como sea posible, la cual será luego utilizada cuando se penetre durante las fases correspondientes a la evaluación de vulnerabilidades y explotación. Cuanta más información se capture durante esta etapa, más vectores de ataque factibles de ser utilizados en el futuro.

La Inteligencia de Fuente Abierta (OSINT), es una forma de gestión para la recolección de inteligencia, la cual involucra encontrar, seleccionar, y adquirir información desde fuentes públicamente disponibles, para luego analizarlas y producir inteligencia accionable.

¿Porqué hacerlo?

Se realiza captura de Inteligencia de Fuente Abierta para determinar varios puntos de entrada hacia una organización. Estos puntos de entrada pueden ser físicos, electrónicos, y/o humanos. Muchas compañías fallan al tomar en consideración cual información sobre si mismos está publicado, y como esta información puede ser utilizada por un determinado atacante.

Muchos empleados fallan también al considerar cual información sobre si mismos es pública, y como esta información puede ser utilizado para atacarlos, o a su empleador.

¿Que no es?

OSINT podría no ser tan preciso u oportuno. Las fuentes de información pueden manipularse deliberadamente o accidentalmente para reflejar datos erróneos, la información puede estar obsoleta con el tiempo, o simplemente está incompleta.

No incluye el bucear en la basura, o cualquier método para obtener información de la compañía, a partir de artículos físicos encontrados en sus instalaciones.

Fuentes:

http://www.pentest-standard.org/index.php/Intelligence_Gathering#Intelli...
https://en.wikipedia.org/wiki/Open-source_intelligence

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024