Por Elizabeth Morales Linkedin

  • Business Development Cybersecurity & Cloud
  • Alumno de la 11ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
Elizabeth Morales
Elizabeth Morales

Por Elizabeth Morales Linkedin

  • Business Development Cybersecurity & Cloud
  • Alumno de la 11ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.

En la actualidad, la seguridad informática ha adquirido una importancia crucial en nuestra sociedad. Con los avances tecnológicos, y la gran cantidad de dispositivos conectados, se ha producido una gran exposición de estos en el mundo digital. Por ello, con frecuencia, se producen ciberdelitos, atentando a la intimidad de las personas, amenazando la privacidad, la integridad y la disponibilidad de los datos.

En respuesta a esta creciente amenaza, se adoptan prácticas de seguridad informática, siendo pruebas de penetración o pentesting entre otras. Identificando mediante estas pruebas vulnerabilidades de los equipos, evaluando la resistencia de los sistemas ante diferentes tipos de ataques, desde inyecciones de código hasta intentos de phishing.

El presente Trabajo Fin de Máster del Máster en Ciberseguridad, está orientado a estas líneas descritas anteriormente, donde crearé una metodología de pentesting centrada en la auditoria de seguridad y análisis de vulnerabilidades, combinando dos metodologías ya existentes OSSTMM y OWASP. El enfoque se centrará en las diferentes etapas del pentesting para evaluar la seguridad y detectar posibles vulnerabilidades en sistemas y aplicaciones.

La nueva metodología de pentesting dará una visión resumida y práctica de un test de intrusión en un entorno de trabajo explotable.

Generación de Metodología de Pentesting

Objetivo Principal

Desarrollar una metodología nueva de pentesting, con su guía sobre técnicas y herramientas utilizadas por un hacker ético, a partir de dos ya existentes OSSTMM y OWASP para realizar una prueba de intrusión dentro de una auditoria de seguridad informática.

Objetivo Secundario:

  • Tener dominio de conocimiento en las metodologías OSSTMMM y OWASP.
  • Diseño, plan de trabajo y estructura de nueva metodología basada en el estudio de las metodologías OSSTMM y OWASP.
  • Selección de entorno de trabajo para aplicar la nueva metodología de forma práctica.
  • Realizar recopilación de información para identificar los equipos objetivos que se van a escanear.
  • Categorizar las vulnerabilidades encontradas.
  • Realización de pruebas de pentesting en los equipos objetivos, explotación y escalado de privilegios, a través de exploits, SQL injection, etc.
  • Dominio de herramientas más utilizadas en pentesting para análisis, explotación e intrusión como:
    • Nmap
    • Metasploitable
    • Nessus
    • Burp Suite
  • Obtención de memoria y conclusiones de la nueva metodología creada.

El Estado del arte de las Metodologías

En este apartado describiré las metodologías OSSTMMM y OWASP, explicando los aspectos y características más importantes de cada una, para a partir de ellas crear una metodología nueva.

Los puntos más importantes para realizar un test de intrusión que tendré en cuenta en estas metodologías para crear una nueva serán:

  • Ámbito y alcance: definir los límites del test de intrusión, especificando qué aspectos de la web serán evaluados.
  • Usabilidad y uso: Evaluar la facilidad de uso y accesibilidad de la aplicación web para los usuarios.
  • Meticulosidad: Realizar una revisión detallada y minuciosa de la aplicación en busca de vulnerabilidades.
  • Métricas: utilizar métricas para medir la efectividad del test de intrusión y la gravedad de las vulnerabilidades encontradas.
  • Fases de la metodología: seguir un proceso estructurado que incluya etapas como recopilación de información, análisis de vulnerabilidades, explotación y reporte de resultados.
  • Ventajas: Proporcionar una metodología bien definida y probada para realizar pruebas de intrusión.
  • Limitaciones: Visión crítica de cada metodología, orientando en la elección de la metodología en función del tipo de proyecto a realizar.

……

Si quieres ver el proyecto completo de Elizabeth, rellena el formulario y te lo mandamos a tu correo electrónico.

Comparte este post