¿Quieres que adivine la contraseña de tu correo electrónico?

Hace aproximadamente un mes en el evento “Innovación, si pero con seguridad” tuve la oportunidad de dar una charla en el Centro Universitario de Mérida, la que fue mi casa y donde comencé en este mundillo de la Informática. La idea de la charla era transmitir y hacer ver mediante la técnica de phishing con qué facilidad nos pueden robar credenciales si no ponemos las medidas de seguridad adecuadas y la atención suficiente para que esto no suceda.

La mayoría de la audiencia eran alumnos y profesores, todos ellos relacionados con las TIC, por lo que rápidamente entendieron los conceptos de Man In The Middle, arpspoof o dnsspoof que utilicé en el caso práctico, que consistía en suplantar la web de Gmail mediante Social Engineering Toolkit, para posteriormente mediante un MITM capturar las peticiones DNS de la víctima y redirigir las consultas de Gmail a la web suplantada para robarle las contraseñas. Posteriormente se redirigía a la víctima a la web original de Gmail sin que se percatase que previamente había introducido las credenciales en una web suplantada por el atacante.

Debido a la sencillez y a la rapidez con la que se puede hacer el caso práctico anterior tuve tiempo de realizar otro caso práctico. Este nuevo caso práctico consistía en aprovechar el MITM que había hecho previamente para infectar la máquina de la víctima cuando visitase la web de elpais.com. En este nuevo escenario se aprovechaba una vulnerabilidad Java que abría una consola shell inversa contra el servidor de control C&C, permitiendo al atacante acceder al equipo de la víctima, no solo al sistema de ficheros sino también para realizar capturas de pantallas, webcams, etc.

A continuación podéis ver el vídeo de la charla. No olvidéis valorar la charla.

Ya que no se ve del todo bien los casos prácticos, también he subido un vídeo del caso práctico que hice antes de la charla.

Además de los casos prácticos destaqué varias tecnologías que utilizan actualmente las grandes compañías concienciadas con la seguridad para detectar y mitigar intrusos (IDS/IPS), gestionar eventos de seguridad (SIEM) y controlar los accesos a la red (NAC), sin olvidar nunca la importancia de la concienciación a los usuarios en materia de seguridad y la necesidad de contar con profesionales en seguridad de la información.

Por último, aquí tenéis también las transparencias.

Innovacion, si pero con seguridad from dromerotrejo

Un saludo amigos y recuerda, si bajas la guardia, te podrán adivinar las contraseñas!!