ReYDeS's blog

Definición de Pretextos Aceptables para Ingeniería Social Previo al Contrato de una Prueba de Penetración

  • Posted on: 23 June 2021
  • By: ReYDeS

Muchas organizaciones requerirán se pruebe la postura de seguridad, de una manera la cual se alinee con las ataques actuales. Los ataques de Ingeniería social y Spear-Phishing son ampliamente utilizados por muchos atacantes en la actualidad. Mientras la mayoría de los ataques exitosos utilizan pretextos como sexo, drogas, etc. algunos de estos pretextos podría no ser aceptable en el entorno de la organización. Consecuentemente se debe estar seguro de cualquier pretexto elegido sea aprobado por escrito antes de iniciar las pruebas.

Relación con Terceros Previo al Contrato de una Prueba de Penetración

  • Posted on: 22 June 2021
  • By: ReYDeS

Existen una serie de situaciones donde el contrato incluirá probar un servicio o aplicación el cual se hospedada en un tercero. Esto se torna más frecuente en los recientes años, conforme los servicios en la “nube” se han convertido en algo más popular. Lo más importante es recordar, si bien el cliente ha otorgado el permiso, este no habla por sus proveedores externos. Por lo tanto se debe obtener permiso explicito de estos para probar los sistemas hospedados.

Especificar Dominios y Rangos de Direcciones IP Previo al Contrato de una Prueba de Penetración

  • Posted on: 21 June 2021
  • By: ReYDeS

Antes de iniciar la prueba de penetración, debe ser identificada toda la infraestructura a evaluar. Esta infraestructura debe ser obtenida desde el cliente durante la fase inicial de preguntas. La infraestructura puede ser proporcionada en la forma de direcciones IP, rangos de red, o nombres de dominio del cliente. En algunas instancias el único dato proporcionado por el cliente es el nombre de la organización, quien espera los profesionales en pruebas de penetración sean capaces de identificar el resto por si mismos.

Especificar las Fechas de Inicio y Final Previo al Contrato de una Prueba de Penetración

  • Posted on: 17 June 2021
  • By: ReYDeS

Otro componente clave a enfrentar para la definición del alcance, es indicar explícitamente las fechas de inicio y finalización para realizar la Prueba de penetración. Esto permite el proyecto tenga un final definido. Una de las áreas más comunes donde ocurre al desplazamiento del alcance, es durante la repetición de las pruebas o verificaciones. Esto siempre parece una buena idea cuando se busca un contrato. Demuestra la empresa es cuidadosa y diligente, intentando asegurarse el cliente esté lo más seguro posible.

Soporte Adicional Basado en la Tarifa por Hora Previo al Contrato de una Prueba de Penetración

  • Posted on: 16 June 2021
  • By: ReYDeS

Todo lo cual no esté explícitamente abarcado dentro del alcance del contrato debe manejarse muy cuidadosamente. La primera razón para esto es el desplazamiento del alcance original. Conforme el alcance se expande se consumen recursos, lo cual reduce las ganancias para el profesional en pruebas de penetración, además incluso crea confusión y enojo en el cliente. Existe otro problema el cual muchos profesionales no consideran cuando realizan trabajos adicionales de forma ad-hoc: las ramificaciones legales.

Reunión para Definir el Alcance Previo al Contrato de una Prueba de Penetración

  • Posted on: 15 June 2021
  • By: ReYDeS

En muchos casos la reunión para definir el alcance ocurrirá después del contrato haya sido firmado. También ocurren situaciones donde muchos de los temas relacionados con el alcance pueden discutirse antes de la firma del contrato, pero son pocos y distantes entre si. Para aquellas situaciones se recomienda firmar un acuerdo de no divulgación, antes de ocurra cualquier discusión a profundidad relacionado con el alcance. La meta de la reunión para definir el alcance es discutir aquello lo cual se evaluará.

Introducción al Alcance en las Interacciones Previas al Contrato de una Prueba de Penetración

  • Posted on: 28 May 2021
  • By: ReYDeS

Definir el alcance es posiblemente uno de los más importantes componentes de una prueba de penetración, pero también es uno de lo más obviados. Aunque se escribe mucho sobre las diferentes herramientas y técnicas factibles de ser utilizadas para ganar acceso hacia una red, muy poco se ha sido escrito sobre el tópico precediendo a la penetración: preparación.

¿Es Necesario Aprender Programación para entrar en Ciberseguridad?

  • Posted on: 27 May 2021
  • By: ReYDeS

No es necesario conocer como programar para entrar en el campo de la ciberseguridad, pero si al menos se debe estar familiarizado con sus conceptos. Algunas áreas de la ciberseguridad pueden necesitar más habilidades en programación y comprensión comparados con otras. Se sugieren ciertos conocimientos en lenguajes para “scripting” guiones, como Bash o Python, los cuales son útiles para revisar rápidamente algunos datos, además de automatizar pequeñas tareas, pero no es requisito para empezar.

¿Se Puede Ingresar en Ciberseguridad sin tener Experiencia?

  • Posted on: 26 May 2021
  • By: ReYDeS

Los grados académicos y las certificaciones pueden proporcionar un excelente punto base, pero la exploración individual puede ser igualmente valiosa. Los empleadores apreciarán ver los postulantes tienen contribuciones en sitios web como Github, publicaciones realizadas en blogs, o haber realizado alguna presentación tanto a nivel local como regional. Incluso se haya hablado sobre información básica ya existiendo en Internet, esto muestra un interés genuino en el área. Para aquellos quienes califiquen, el servicio militar puede ser una opción fantástica, incluso a medio tiempo.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: https://www.reydes.com/d/?q=node/1