Abstract:
El presente proyecto plantea una guía con la que se pudiera desarrollar Hacking Ético a la red de pequeñas y medianas empresas. Tomando como caso de estudio una empresa dedicada a la fabricación de muebles, la cual presenta como problemática el robo de sus diseños los cuales han sido fabricados y puesto en venta por la competencia.
Para ello se toma como referencia las etapas del Hacking Ético, las cuales son: Reconocimiento, Escaneo, Enumeración y Explotación. En cada una de estas etapas se utilizan herramientas de software con el fin de obtener información de vulnerabilidades de red que pudieran ser explotadas por alguna persona o entidad mal intencionada.
En la etapa de reconocimiento se emplea la herramienta web WhoIs y el software Maltego, con la finalidad de recaudar información sensible de la empresa de forma externa a la organización, como: correos electrónicos, números de teléfono, ubicación de la empresa e información de registro del domino.
En las etapas de escaneo y enumeración se enlista los puertos de red, usuarios, grupos y recursos compartidos inseguros a través de las herramientas OpenVas y Hyena.
En la explotación, se efectúa una intrusión a estaciones de trabajo y servidores mediante el programa Armitage, que en conjunto con Metasploit Framework generan payloads para el control remoto equipos, en esta etapa se demuestra que tan expuesta puede llegar a estar la red. Con los resultados obtenidos se procede a realizar un plan de mitigación usando los servicios tecnológicos ya existentes en la red empresarial para evitar el hurto de datos y fallos de seguridad.
Para el plan de mitigación se implementa con reglas de correo en el servidor Exchange, políticas de firewall en el Enrutador, políticas de grupos y usuarios, políticas de actualización en un servidor WSUS y bloqueo de puertos USB.
