hacking-etico

Vista previa del material en texto

1.- DATOS DE LA ASIGNATURA 
 
 
Nombre de la asignatura : 
 
 
Carrera : 
Clave de la asignatura : 
 
SATCA: 
Hacking Ético. 
Ingeniería en Tecnologías de la 
Información y Comunicaciones. 
 
DGF1904 
 
3-2-5 
 
2.- PRESENTACIÓN 
 
Caracterización de la asignatura. 
 
Esta asignatura aporta al perfil del Ingeniero en Tecnologías de la Información y 
comunicaciones, las capacidades de aplicar conocimientos para Vulnerar y Auditar la 
implementación de seguridad en los distintos sistemas informáticos, además de las 
telecomunicaciones. 
Esta asignatura permite al estudiante de adquirir los conocimientos y habilidades 
para diseñar e implementar normas de seguridad y estándares para el 
aseguramiento de los activos informáticos de las organizaciones. 
Ante la apertura de los sistemas y negocios a la globalización con el uso del Internet, 
la asignatura de Hacking Ético permite que el estudiante conozca los distintos 
medios de ataques a los que estamos expuestos para minimizarlos y las directrices 
actuales que le ayudarán a proteger sus recursos permitiendo la implementación de 
Normas y Estándares internacionales para la continuidad del negocio. 
Esta asignatura se ha incluido en el IX semestre, debido a que requiere, para su 
completa comprensión, dominio de las siguientes asignaturas: 
Redes de computadoras, 
Sistemas Operativos, 
Tecnologías inalámbricas, 
Bases de datos. 
 Intención didáctica. 
 
El temario está dividido en seis unidades, de las cuales la unidad uno y dos 
abordan los temas teóricos de esta materia, y las unidades restantes, aplican los 
conocimientos de las unidades anteriores. 
 
 
 
 
La unidad uno contempla los conceptos básicos de seguridad informática a ser 
vulnerada, además el cómo los datos son interpretados por las pcs, es decir como 
la información es procesada, almacenada, y transmitida, se aborda el tema de la 
seguridad en el ámbito general de la vida cotidiana revelando los errores comunes 
que la gente comente al tratar la información. 
 
La unidad dos aborda los temas de la seguridad de los dispositivos móviles así 
como los archivos en la pc. 
 
La unidad tres aborda los temas de la vulnerabilidad mediante contraseñas no 
seguras así como el resguardo de las mismas. 
 
La unidad cuatro nos sumerge en el mundo del cifrado tipos de algoritmos de 
cifrado existentes así como que tan fuertes son cada uno de ellos. 
 
La unidad cinco habla del hacking ético como principio de obtención de datos con 
consentimiento del usuario. 
 
La unidad seis aborda las herramientas y protocolos de seguridad, ya que es 
importante conocer las distintas herramientas que sirven para mostrar las 
vulnerabilidades de los sistemas de información de este modo se puede hacer un 
hacking ético. 
 
En general la asignatura aporta los conocimientos necesarios para que el ingeniero 
en tecnológicas de la información y comunicaciones pueda hacer uso de los 
distintos medios de testeo de passwords, además de encontrar huecos en la 
seguridad de los sistemas informáticos. 
 
3.- COMPETENCIAS A DESARROLLAR 
Competencias específicas: Competencias genéricas: 
Competencias 
instrumentales 
 Conocimientos básicos de la 
carrera. 
 Capacidad de análisis y síntesis. 
 Capacidad de organizar y 
planificar. 
 Comunicación oral y escrita. 
 Habilidades de manejo de 
la computadora. 
 Habilidad para buscar y analizar 
información proveniente de 
fuentes diversas. 
 Solución de problemas. 
 Toma de decisiones. 
Competencias interpersonales 
 Capacidad crítica y autocrítica. 
 Trabajo en equipo. 
 Habilidades interpersonales. 
Competencias sistémicas 
 Capacidad de aplicar los 
conocimientos en la práctica. 
 Habilidades de investigación. 
 Capacidad de aprender. 
 Capacidad de generar nuevas 
ideas (creatividad). 
 Habilidad para trabajar en 
equipo 
 
4.- HISTORIA DEL PROGRAMA 
 
 
 
Lugar y fecha de 
elaboración o revisión 
Participantes Evento 
 
 
 
Instituto tecnológico 
De 
Iztapalapa I I 
19/ marzo/ 2018 
 
Academia en tecnologías de la 
información y comunicaciones 
 
Integrantes: 
 
Quim. Enrique Cañeda Guzmán, 
Lic. María vaca parra, 
Ing. Michel López Celaya, 
Ing. Rafael Ruiz castillo, 
Ing. David ronquillo Arvizu, 
Ing. William Jiménez López, 
Matl. Armando montes rivera, 
Ing. Salvador Cuevas Bustos. 
Ing. Iván Alejandro Gómez 
Ayala. 
 
 
 
 
 
 
Taller institucional de creación 
de especialidades. 
 
5.- OBJETIVO GENERAL DEL CURSO 
 
Conocer que es la seguridad informática y campos de aplicación, Identificar y 
explicar los riesgos a los que está expuesta la información, así como las normas 
que rigen la seguridad de la misma, Implementar algoritmos de criptografía clásica 
con el fin de proteger la información que se transmite a través de una aplicación. 
Vulnerar redes inalámbricas con wpa y wpa2, hacer uso de sql inyection, entrar a 
Windows son el password de usuario. 
 
 
 
 
 
 
 
6.- COMPETENCIAS PREVIAS 
 
 
Manejar Sistemas de información, lenguajes orientados a objetos, bases de 
datos y redes alámbricas e inalámbricas 
7. TEMARIO 
 
 
 
 
 
Unidad Temas Subtemas 
 
 
1 
 
Introducción a la 
seguridad y 
Vulnerabilidad 
informática 
 
 1.1. El valor de la información. 
 1.2. Definición y tipos de seguridad informática. 
 1.3. Objetivos de la seguridad informática. 
 1.4. Que es Vulnerable y por que 
 1.4. Posibles riesgos. 
 1.5. Técnicas de aseguramiento del sistema. 
 
 
 
 
2 
 
 
Ataque vs 
Aseguramiento de la 
información en los 
dispositivos de 
almacenamiento y 
móviles. 
 
2.1. Cifrado de carpetas y archivos 
2.2. Certificados y Firmas Digitales. 
2.3. Uso de rohos, truecrip y mas 
2.4. Recuperación de archivos, uso de 
Easyrecovery y getmydataback. 
2.5. Vulnerabilidad en celulares (APK) 
2.6. Como se guardan los datos seguros en un 
móvil. 
2.7 Seguridad en redes sociales. 
 
3 
 
 
Conflictos de Seguridad 
3.1 Causa Raíz de un incidente de seguridad. 
3.2. Amenazas y Vulnerabilidades. 
3.2.1 Passwords vulnerables. 
3.2.2 Políticas de seguridad. 
3.3 Prevención de incidentes de seguridad. 
 
 
 
 
 
 
4 
 
 
 
 
 
Criptosistemas, 
Autenticación e 
Integridad 
 
 4.1 Definición de Criptosistemas, Autenticación 
e Integridad. 
 4.2 Algoritmo DES, Data Encryption Standard. 
 4.3 Algoritmo IDEA, International Data 
Encryption Algorithm. 
 4.4 Algoritmo AES, Advanced Encryption 
Standard. 
 4.5 El problema de la integridad y la 
autenticación 
 4.6 Autenticación de mensajes con sistemas 
simétricos y asimétricos 
 4.7 Funciones hash para firma digital: MD5, 
SHA- 1, SHA-2 
5 Ethical hacking 5.1Definicón 
 5.2 Hacker vs Cracker. 
 5.3 Delitos Informáticos 
 5.4 Amenazas comunes 
 5.4.1 Virus 
 5.4.2 Malware 
 5.4.3 Troyanos,Worms,etc (bugtraq) 
 5.4.4 Tipos de antivirus 
 5.5 Solución a Amenazas comunes 
 5.6 Auditoria de Redes Wireless 
(kalilinux,WifiSlax,parrot, ,anonymous) 
 5.7 Acceso a equipos con contraseña (uso de 
Hirents boot cd y similares) 
 5.8 Sql inyection. 
 5.9 Keyloggers 
 5.10 Ingeniería Social 
 6.1 Tipos de Herramientas de Seguridad. 
6.2 Programas para quebrantar contraseñas 
(Password Crackers). 
6.2.1 Esquema de Autenticación de Sistemas 
Actuales. 
6.3. John The Ripper. 
6.4 Sniffers. 
6.4.1 Demostración práctica de SpyNet/PepeNet, 
NetXray, tcpdump, Ethereal o Wireshark. 6.5. 
nmap. 
 
 
Herramientas 
Protocolos 
Seguridad 
y 
de 
 
6 
 
 
 
 
8.- SUGERENCIAS DIDÁCTICAS 
El docente debe: 
 
 
Ser conocedor de la disciplina que está bajo su responsabilidad, Desarrollar la 
capacidad para coordinar y trabajar en equipo; orientar el trabajo del 
estudiante y potenciar en él la autonomía, el trabajo cooperativo y la toma de 
decisiones. Mostrar flexibilidad en el seguimiento del proceso formativo y 
propiciar la interacción entre los estudiantes. Tomar en cuenta el conocimiento 
de los estudiantescomo punto de partida y como obstáculo para la 
construcción de nuevos conocimientos. 
 Propiciar actividades de meta cognición. Ante la ejecución de una actividad, 
señalar o identificar el tipo de proceso intelectual que se realizó.
 
 
 
 
 Propiciar actividades de búsqueda, selección y análisis de información en 
distintas fuentes. Ejemplo: buscar y contrastar definiciones de seguridad en 
internet y redes, en general, identificando puntos de coincidencia entre 
unas y otras definiciones e identificar sus características y aplicaciones 
en situaciones concretas.
 
 Fomentar actividades grupales que propicien la comunicación, el 
intercambio argumentado de ideas, la reflexión, la integración y la 
colaboración de y entre los estudiantes. Ejemplo: al socializar los 
resultados de las investigaciones y las experiencias prácticas 
solicitadas como trabajo extra clase.
 
 Relacionar los contenidos de esta asignatura con las demás del plan de 
estudios a las que ésta da soporte para desarrollar una visión 
interdisciplinaria en el estudiante. Ejemplos: identificar las tipologías de 
ataques a las redes y la manera de protegerlos a través de los elementos 
de red, las capas del modelo OSI a la que está dirigido, etc.
 
 Propiciar el desarrollo de capacidades intelectuales relacionadas con la 
lectura, la escritura y la expresión oral. Ejemplos: trabajar las actividades 
prácticas a través de guías escritas, redactar reportes e informes de las 
actividades de experimentación, exponer al grupo las conclusiones 
obtenidas durante las observaciones.
 
 Facilitar el contacto directo con materiales e instrumentos, al llevar al cabo 
actividades prácticas, para contribuir a la formación de las 
competencias para el trabajo experimental como: identificación, manejo 
y control de equipos y datos relevantes, planteamiento de hipótesis, 
trabajo en equipo.
 
9.- SUGERENCIAS DE EVALUACIÓN 
 
 
La evaluación debe ser continua y formativa por lo que se debe considerar el 
desempeño en cada una de las actividades de aprendizaje, haciendo especial 
énfasis en: 
 Presentación de reportes de búsqueda de información en fuentes 
bibliográficas o digitales de reconocido valor, las cuales deben ir 
indicadas por el instructor.
 Participación en actividades para demostrar el entendimiento y 
comprensión de los conocimientos adquiridos a través de las 
investigaciones anteriores, tales como la elaboración de mesas panel, etc.
 Elaboración de proyectos de aplicación y sustentar su aplicación.
 Practicas del uso del software de auditoría de seguridad.
 
 
 
10.- UNIDADES DE APRENDIZAJE 
Unidad 1: Introducción a la seguridad y Vulnerabilidad informática 
 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
 
Conocer que es la seguridad y 
vulnerabilidad informática y campos de 
aplicación 
 
 
 
Identificar y explicar los riesgos a los 
que está expuesta la información, así 
como las normas que rigen la 
seguridad de la misma. 
 
Investigar la definición de seguridad 
informática en fuentes no confiables y 
fuentes bien respaldadas. Comparar 
ambos resultados e identificar 
diferencias y similitudes. 
 
Investigar y discutir en equipos, como la 
información es representada, así como 
la transmisión de la misma. 
 
Investigar los posibles riesgos a los que 
se enfrentan las empresas al no tomar 
en cuenta aspectos de seguridad 
informática. 
 
Investigar y formular un resumen de los 
puntos más importantes de las normas 
ISO encontradas. 
 
Unidad 2: Ataque vs Aseguramiento de la información en los dispositivos de 
almacenamiento y móviles. 
 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
Identificar y explicar los posibles 
problemas a los que la información se 
expone, así como los descuidos 
cometidos al “asegurar” la información. 
Crear un foro de discusión de las 
posibles causas de los incidentes 
informáticos, el docente deberá 
mencionar las principales causas al 
finalizar la discusión. 
 
Hacer cuadro comparativo de 
recuperadores. 
 
Hacer un diario de campo de las 
prácticas realizadas en la vulneración 
 de celulares. 
Unidad 3: Conflictos de Seguridad. 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
 
 
Identificar y explicar los posibles 
problemas a los que la información se 
expone, así como los descuidos 
cometidos al “asegurar” la 
información. 
 
Investigar y discutir sobre las políticas de 
seguridad existentes, así como los 
descuidos que se comenten en la 
asignación de un password. 
 
Implementar un manual de las posibles 
acciones para prevenir incidentes de 
seguridad. 
 
 
Unidad 4: Criptosistemas, Autenticación e Integridad. 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
 
 
Implementar algoritmos de criptografía 
clásica con el fin de proteger la 
información que se transmite a través 
de una aplicación. 
 Investigar los conceptos de la 
unidad, formular con lo 
investigado una definición propia 
de cada concepto. 
 Investigar la clasificación de 
criptosistemas. 
 Investigar los algoritmos 
utilizados para “esconder” la 
información y que ésta no sea 
legible de manera directa por 
cualquier persona. 
 Buscar los problemas más 
suscitados de la Integridad y 
Autenticación y dar solución a 
estos. 
 Implementar en un lenguaje de 
programación estos algoritmos. 
 
Unidad 5: Ethical hacking 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
 
 
 
Vulnerar redes inalámbricas con wpa y 
wpa2, hacer uso de sql inyection, entrar 
a Windows son el password de usuario. 
 Investigar y descargar las 
herramientas existentes para 
auditar la seguridad informática. 
 Descargar el Hirentsboot cd, para 
descifrar los archivos .SAM de 
Windows xp, vista y 7. 
 Investigar en Internet las distintas 
herramientas de hackeo de 
passwords. 
 Hacer un cuadro sinóptico de los 
distintos esquemas de 
autenticación. 
 Comprobar con la laptop de un 
compañero(a) de equipo, el uso 
de JTR. 
 Implantar un keylloger en una pc 
y escribir datos, así como usar el 
teclado virtual de Windows para 
comprobar si los datos son 
almacenados. 
 
 
Unidad 6: Herramientas y Protocolos de Seguridad 
 
Competencia específica a desarrollar Actividades de Aprendizaje 
 
 
 
 
 
Implementar las distintas herramientas y 
protocolos que se pueden utilizar para 
comprobar la seguridad de un sistema 
de información. 
Quebrantar passwords en archivos de Word 
wxel pdf etc. 
 
Usar john the riper 
Creación de snifer 
Auditar con Wireshark 
, 
11.- FUENTES DE INFORMACIÓN 
 
 
1. Aguirre, Jorge R. “Libro Electrónico de Seguridad Informática y 
Criptografía”. ISBN 84-86451-69-8 (2006); Depósito Legal M-10039- 
2003. Disponible en Internet en 
http://www.criptored.upm.es/guiateoria/gt_m001a.htm. 
2. Lucena López, Manuel J. “Criptografía y Seguridad en 
Computadores”. Cuarta Edición. Versión 0.7.8. 9 de octubre de 
2007. Criptografía y Seguridad en Computadores es un libro 
electrónico en castellano, publicado bajo licencia CreativeCommons. 
3. Singh,Simon. “Los Códigos Secretos. El Arte y la Ciencia de la 
Criptografía desde e3 ntiguo Egipto a la Era de Interne3' .Editoral Debate, 
2000. ISBN: 84-8306-278-X. 
4. Angel Ángel, José de Jesús. “Criptografía para Principiantes”. Obtenido 
en la red mundial el 5 de noviembre 
de 2002. 2000. 
http://www.criptored.upm.es/descarga/criptobasica.zip. 
5. Anónimo. “Máxima Seguridad en Linux”.Prentice Hall. 
 
6. Hacking ético de Carlos Tory. 
 
7. Seguridad Informática Mc GrawHill Fabian Roa 
 
12.- PRÁCTICAS PROPUESTAS 
 Aplicación de herramientas de monitoreo de red.
 Elaboración manual de los algoritmos de encriptación.
 Programación de los algoritmos criptográficos.
 Formulación de una política de seguridad.
 Instalación y pruebas de seguridad de una red inalámbrica.
 Realizar pruebas con Wifislax.
 Hacer una práctica derecuperación de archivos.
 Vulnerar una app para android sin software.
 Auditar un sistema web.
 Vulnerar una pc con contraseña Windows 7 ,8 y 10 practica de hirent boot cd.
 Realizar prácticas con parrot y kalilinux.
 Vulnerar una pc con contraseña Windows 7 ,8 y 10 con Konboot.
 Usar los códigos secretos para celulares.
 Cifrar archivos con la herramienta cryptool.
 Firmar archivos digitales con la herramienta cryptool.
 Restablecer un servidor con Windows server 2012 o 2016 con contraseña.
 Restablecer diferentes sistemas operativos con contraseña.
 Vulnerar wi-fi usando un celular.
 Vulnerar wi-fi usando parrot.
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
http://www.criptored.upm.es/descarga/criptobasica.zip