Miguel Ángel Arroyo Moreno

@Miguel_Arroyo76

www.proxyconsulting.es @PxyConsultingwww.aconsaseguridad.com @AconsaSeguridad

Índice

Tu antivirus; ponlo a prueba.

Comprueba tus contraseñas.

Seguridad en redes sociales: Facebook.

Demostración de privacidad Web.

Comprueba la seguridad de tu Wi-Fi.

Wi-Fi abierta, ¿suerte ó trampa?

www.hacking-etico.com @Miguel_Arroyo76

Introducción

La importancia de los antivirus Necesidad de un buen antivirus.

No necesariamente de pago.

Algunos ejemplos de antivirus gratuitos:

Avira

Avast

AVG

Mantener el antivirus actualizado.

Diferenciar entre Agente y Escáner

Introducción

Ordenadores zombis y botnets ¿Cómo se puede convertir mi ordenador en

un ordenador zombi?

¿Para qué quiere un atacante un ordenador zombi?

¿Qué es una botnet?

¿Para qué sirven?

Algunos ejemplos: Anonymous VS Policía

Poner a prueba nuestro antivirus Importante: NO USAR NUNCA ANTIVIRUS

CRACKEADOS. Pueden estar TROYANIZADOS.

No recurrir a repositorios de amenazas reales.

Usar herramientas y repositorios legales ycontrolados para realizar test a nuestro softwareantivirus.

EICAR: European Institute for Computer AntivirusResearch (Instituto Europeo para la Investigaciónde los Antivirus Informáticos).

www.hacking-etico.com @Miguel_Arroyo76

Diccionarios de contraseñas

¿Sabías que existen diccionarios de lascontraseñas más usadas?

Desde nombres propios, nombres de países,fechas importantes, nombres de personajesfamosos….

Preparados para ser usados conherramientas que automatizan los intentosde autentificación.

Fuerza bruta

Si la contraseña no se encuentra en losdiccionarios, el atacante optará por la opciónde fuerza bruta. La fuerza bruta consiste en probar todas las

combinaciones posibles dadas en un conjuntode caracteres.De ahí que se aconseja que la contraseña tenga

al menos 8 caracteres y se usenminúsculas, mayúsculas, dígitos, caracteresespeciales…

Fortaleza de una contraseña Al crear una contraseña tenemos que tener en

cuenta las dos técnicas de ataque a contraseñasque existen; fuerza bruta y diccionario.

Evita nombres, fechas, personajes, cantantes,mascotas, países… ya que pueden ser susceptiblesde aparecer en algún diccionario.

Mezcla minúsculas, mayúsculas, dígitos, caracteresespeciales… hará que la duración de la fuerza brutasea de años o incluso décadas…

www.hacking-etico.com @Miguel_Arroyo76

Seguridad en FacebookNumerosas opciones de seguridad.

Facebook con navegación segura.

Notificaciones de inicio de sesión desdedispositivos desconocidos.

Aprobaciones de inicio de sesión desdedispositivos desconocidos.

Contraseñas de aplicaciones.

Activa la navegación segura para que tu comunicación sea cifrada, mediante conexión SSL.

El protocolo de navegación que se usa es HTTPS en lugar del HTTP habitual.

En caso de captura de tráfico o intercepción de tráfico por terceros, éste irá cifrado.

¿Quieres que te avisen cuando haya unintento de conexión desde un dispositivodesconocido?

Avisos vía e-mail.

Avisos vía SMS.

¿Qué hacer en caso de que un dispositivodesconocido intente iniciar sesión connuestra cuenta?

Si soy el propietario de la cuenta, introducircódigo.

Si no lo soy, no podré acceder sin código.

¿Y qué ocurre con mis aplicaciones Facebook siactivo la introducción de código?

Puedo crear una contraseña para aplicaciones.

Así no tengo que usar la misma que uso paraentrar en Facebook.

Interesante, ¿verdad?

www.hacking-etico.com @Miguel_Arroyo76

A tener en cuenta:

Existen varios tipos de cifrados (WEP,WPA, WPA2…).

WEP es vulnerable. Obtenercontraseña es cuestión de minutos.

WPA y WPA2 son cifrados seguros,aunque hay fabricantes cuyos routerstienen contraseñas predecibles.

Ejemplo de crack de clave WEP…

Consejos para la red Wi-Fi:

No usar bajo ningún concepto eltipo de cifrado WEP.

Usar cifrado WPA ó WPA2.

Cambiar la contraseña (fuerte) queviene por defecto.

Opcional: aplicar filtrado MAC.

www.hacking-etico.com @Miguel_Arroyo76

No confíes en redes ajenas

En una red pública, no estás solo. Haymás usuarios, y quizás no todos conbuenas intenciones.Mediante técnicas de captura de tráfico,

nos pueden capturar credenciales deredes sociales, correo electrónico…Aprende a identificar la puerta de enlace.Aprende a descubrir si alguien ha

envenenado la red.

Man in the middle (mitm)

Este ataque consiste en “engañar” a losequipos de la red.El atacante se hace pasar por la puerta de

enlace (router).Todo el tráfico pasa por la máquina del

atacante antes de entrar/salir a Internet.Nombre de usuario, contraseñas y otros

datos pasan por el PC del atacante.

www.hacking-etico.com @Miguel_Arroyo76