3. ADVERTENCIA
LOS ATAQUES AQUÍ MOSTRADOS
SON REALES Y SON MOSTRADOS
ÚNICAMENTE CON FINES
EDUCATIVOS, EL AUTOR NO SE
HACE RESPONSIBLE DEL MAL USO
QUE SE LE PUEDA DAR.
HAPPY HACKING! :)
5. ¿Quién Soy?
• Ingeniero en Tecnologías de
la Información y
Comunicaciones
• Co-founder de Winero
• Co-founder de Apprendiz
• Freelancer
• Investigador independiente
10. Cookie
• Viene de “Magic Cookie”
• Guardan información de manera local para el usuario, como: una sesión, un carrito de
compra o el tamaño de la pantalla
• Se compone de:
• Nombre
• Contenido
• Dominio
• Ruta
• Tipo de Conexión
• Fecha de Creación
• Fecha de Caducidad
12. Session Hijacking
• Consiste en apoderarse de la sesión de un usuario a través
de los cookies de sesión
• Su objetivo es robar la identidad del usuario y/o obtener
información de su cuenta
• Métodos:
• Session Fixation
• Session Sidejacking
• XSS
13. • DEMO 1. Ataque físico
• DEMO 2. Ataque en la red (Firesheep)
• DEMO 3. Ataque por XSS (BEEF)
15. Phishing
• Viene de Phreaking (que a su vez viene de phone y freak) que se
refiere a la actividad de investigar sistemas de telecomunicación,
también relacionado con el engaño
• Y Fishing que hace relación a la actividad de pescar
• Involucra Ingeniería Social
• Suele involucrar un tipo de correo conocido como SPAM
• Consiste en adquirir nombres de usuario y contraseñas, mediante
sitios que parezcan legítimos
19. Contraseñas
• Deben ser como la ropa interior:
• No dejarlas a la vista
• Cambiarlas frecuentemente
• No prestarlas a extraños
• No usar la misma siempre para todo
23. Encriptación
Ejemplo 3. OTP
HE
X
BIN
DE
C
Contraseña: a 60 01100000
Llave: k
96
107 6B 01101011
00001011
XO
R
24. Hashing
• Es una función que consiste en
tomar una cantidad de datos y
convertirlos en una un valor de
longitud fija e irreversible
• MD5(“password”) =
“5f4dcc3b5aa765d61d8327deb8
82cf99”
• MD5(x) =
“e10adc3949ba59abbe56e057f2
0f883e”
26. Caso de estudio: The
Fappenning/Celebgate
• El 31 de Agosto, Más de 100
Fotografias de desnudos
fueron posteadas en el foro
4chan /b/ (random) board,
incluyendo imágenes de:
Jennifer Lawrence, Mary
Elizabeth Winstead, Kate
Upton, etc…
• Se rumora que fue por mal
uso de contraseñas en iCloud
33. FSS (False sense of
Security)
• Se puede describir como un caso no intencional de
Ingeniería Social
• Te hace creer que estas seguro porque cierta
autoridad lo dice, o porque usas cierto producto, etc.
• Al creer que te encuentras seguro, realizas menos
actividades para protegerte
• Apple es experto en esto
42. RouterPWN
• Desarrollada por WebSec
• Incluye una amplia variedad de vulnerabilidades para
routers domésticos como 2Wire, Huawei, Thomson, etc.
• Incluye algoritmos de generación de claves por defecto
de routers Huawei y Thomson
• Presentada por primera vez en BlackHat Arsenal 2010
• http://routerpwn.com/
43. ANEXO: Claves por default para
routers domésticos
• Cablecom
• http://192.168.0.1/
• User: user
• Pass: user
• Infinitum
• http://192.168.0.1/
• User: TELMEX
• Pass: (WEP o WPA por def.)
• MAXCOM
• (Se tiene que cambiar manualmente
la IP)
• http://192.168.0.1/
• User: MAXCOM
• Pass: 123456
• AXTEL
• http://192.168.15.1/
• User: admin
• Pass: zhone