¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más

OSSTMM (Open Source Security Testing Methodology Manual) 3.0

Acaba de ser publicada la versión 3.0 de la famosa metodología abierta de comprobación para la seguridad (OSSTMM, Open Source Security Testing Methodology Manual), uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y con lo poco que he podido ver en esta nueva versión se le ha dado un cambio radical a algunos puntos de la metodología, que permiten aumentar la efectividad del manual, pero podría requerir un esfuerzo extra a quienes ya veníamos trabajando con las versiones anteriores del OSSTMM, algunos de los cambios que he visto en esta versión 3.0 son: La metodología fue re-escrita totalmente, revisando minuciosamente cada uno de sus puntos. Re-ordenado el Mapa de Seguridad Nuevo concepto de dashboards, que nos permite organizar mas fácilmente los datos procedentes de los RAVs y explicarlos mejor. Se explican mejor y se le da mas relevancia a los Valores de la Evaluación de Riesgo o RAVs. Seguramente hay muchos mas, pero aun no termino de leerlo. Para resumir esta es una versión de lectura obligada, para quienes manejamos OSSTMM, si aun no usas ninguna metodología al realizar test de penetración, esta es la versión que deberás empezar a leer, para que no tengas conflictos con los cambios de versiones anteriores y utilices la mejor versión del OSSTMM. Fue una larga espera desde la publicación de la versión 3.0 LITE hasta esta entrega, solo espero que la edición en español, no tarde el mismo tiempo… Descargar OSSTMM 3.0 Mas Información: Pagina Oficial del...

Leer Más

OSSTMM cerca de ser oficialmente aceptada por la ISO

OSSTMM, el manual de metodología abierta de testeo de seguridad, esta cerca de convertirse en el nuevo “ISO Hacking Standard“, después que organizaciones de todo el mundo se reunieran en malasia para hablar sobre esta metodología para realizar un completo testeo de seguridad. En estos momentos la OSSTMM (que anda por su versión 3 beta) se esta reescribiendo con las normas de la ISO para que sea finalmente aprobada, lo que ayudará a mejorar la seguridad en general, ya que se podrá exigir el cumplimiento de esta metodología en auditorias para empresas o gobiernos, garantizando de esta forma la calidad del trabajo realizado. De momento la versión 3 del OSSTMM está disponible para unos pocos afortunados, pero podemos descargar la versión 2.1 de esta estupenda metodología y ademas en español, desde el siguiente enlace. Mas Información: The New ISO Hacking...

Leer Más
OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad
Mar16

OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad

Actualmente se encuentra en desarrollo la versión número 3 de este completo manual, el equipo desarrollador del proyecto ha hecho algunas presentaciones incluyendo videos sobre la nueva versión, igualmente se había publicado en el foro la versión 2.1 en idioma español. Pero muchos de nuestros usuarios pueden desconocer cual es la finalidad o contenido de este extenso manual de metodología. Veamos: El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases: Sección A -Seguridad de la Información Revisión de la Inteligencia Competitiva Revision de Privacidad Recolección de Documentos Sección B – Seguridad de los Procesos Testeo de Solicitud Testeo de Sugerencia Dirigida Testeo de las Personas Confiables Sección C – Seguridad en las tecnologías de Internet Logística y Controles Exploración de Red Identificación de los Servicios del Sistema Búsqueda de Información Competitiva Revisión de Privacidad Obtención de Documentos Búsqueda y Verificación de Vulnerabilidades Testeo de Aplicaciones de Internet Enrutamiento Testeo de Sistemas Confiados Testeo de Control de Acceso Testeo de Sistema de Detección de Intrusos Testeo de Medidas de Contingencia Descifrado de Contraseñas Testeo de Denegación de Servicios Evaluación de Políticas de Seguridad Sección D – Seguridad en las Comunicaciones Testeo de PBX Testeo del Correo de Voz Revisión del FAX Testeo del Modem Sección E – Seguridad Inalámbrica Verificación de Radiación Electromagnética (EMR) Verificación de Redes Inalámbricas [802.11] Verificación de Redes Bluetooth Verificación de Dispositivos de Entrada Inalámbricos Verificación de Dispositivos de Mano Inalámbricos Verificación de Comunicaciones sin Cable Verificación de Dispositivos de Vigilancia Inalámbricos Verificación de Dispositivos de Transacción Inalámbricos Verficación de RFID Verificación de Sistemas Infrarrojos Revisión de Privacidad Sección F – Seguridad Física Revisión de Perímetro Revisión de monitoreo Evaluación de Controles de Acceso Revisión de Respuesta de Alarmas Revisión de Ubicación Revisión de Entorno Más información  OSSTMM Descargar OSSTMM 2.1 en español Mirror de descarga para Comunidad Otras fuentes de información recomendadas sobre OSSTMM: Ausejo Gestión de la Seguridad Isecom Seguridad de la...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"