Curso presencial de

Hacking ético

Realiza pruebas de intrusión para detectar vulnerabilidades en sistemas informáticos.

Este curso está dedicado a brindar una preparación básica en la realización de pruebas de intrusión, conocidas en el idioma inglés como pen testing, o penetration testing. A diferencia de los ataques cibernéticos malintencionados, este tipo de pruebas se lleva a cabo con el acuerdo y la autorización de la empresa u organización propietaria de los sistemas informáticos que van a ser examinados. Su objetivo consiste en detectar vulnerabilidades que representen riesgos para la confidencialidad, integridad y disponibilidad de los sistemas y de la información que contienen.

Genoma del ambiente. ¿En qué consiste?

El curso incluye sesiones presenciales con un instructor experto.
El diseño del ambiente utiliza Blearning o Blended Learning, es decir, se integran distintos medios de transmición del conocimiento, tanto síncronos como asíncronos.
Se incluyen recursos que requieren la presencia del alumno en el momento en que se llevan a cabo, como es el caso de la impartición en vivo por un instructor, ya sea de forma presencial o en línea.
Se incluyen recursos que no requieren que el alumno y el instructor se sincronicen para transmitir el conocimiento, como pueden ser videos, libros, exámenes en línea, foros.
Se incluyen videos editados profesionalmente con explicaciones de expertos sobre los temas del ambiente de aprendizaje.
En los videos se incluyen funciones que permiten la interactividad del alumno con el video, lo cual incrementa el interés y motivación del alumno más allá de lo que se logra con un video tradicional. Esto a su vez incrementa el nivel de atención y aprendizaje del alumno.
Son exámenes similares a los que se realizan para obtener la certificación en el tema cubierto por el ambiente de aprendizaje.
Son ejercicios que se realizan durante la fase presencial del ambiente de aprendizaje y donde se simula un proyecto, situación o problema similar a los que se enfrentará el alumno y donde podrá aplicar las técnicas y conocimientos transmitidos durante el ambiente de aprendizaje. Esto permite incrementar el nivel de aprendizaje.
Son tarjetas con dos caras que se utilizan para aprender y entender los conceptos del tema. El alumno tiene acceso a ellos desde su computadora o su dispositivo móvil. Se ha demostrado científicamente que las tarjetas de estudio o flashcards son un método sumamente eficiente para memorizar conceptos, sobre todo si se utilizan métodos en los que se incrementa la exposición a las tarjetas con conceptos que el alumno no logra memorizar. Lo cual se realiza de forma automática con la herramienta que utilizamos.
Se incluye un mapa mental con los principales conceptos que se ven en el ambiente de aprendizaje. Los mapas mentales han demostrado ser una herramienta gráfica muy eficiente para comprender y memorizar conceptos relacionados, de forma similar a como lo realiza nuestro cerebro.
Exámenes que el alumno puede resolver en línea y de forma asíncrona para obtener estadísticas que le permitan comprender las áreas que debe de reforzar y las que ya domina.
Un experto está al pendiente de las dudas del alumno por medio de un foro durante todo el periodo que se mantiene activo el ambiente de aprendizaje; generalmente durante un año. Muchas de nuestras dudas surgen después de haber tomado la capacitación presencial, cuando estamos en nuestro trabajo, por lo cual esta característica resulta muy valiosa, pues te permite acceder al experto de forma asíncrona cuando surgen las dudas.
El aprendizaje social se ha convertido en una de las formas más efectivas de aprendizaje. Nada como poder obtener opiniones y experiencias de otras personas que también estén aprendiendo los mismos conceptos que nosotros.
Cuando el ambiente incluye el derecho a presentar el examen de certificación sin costo adicional.
Uno de los métodos asíncronos que nunca pasarán de moda son los libros impresos. Seleccionamos un libro reconocido en el tema que aporte valor al aprendizaje combinado del ambiente de aprendizaje.
El alumno tiene la opción de acceder a contenido valioso por medio de un libro electrónico en cualquier dispositivo electrónico.
Algunos recursos, como los videos, exámenes y foro son accesibles en línea por medio de tu smartphone o tableta electrónica.
Se incluye una app de apoyo, para dispositivos móviles.
Se incluyen plantillas o formatos en algunas de las principales plataformas, como Word y Excel para que puedas aplicar los conocimientos fácilmente en tu trabajo.
Los gerentes o directores de la empresa contratante, así como las áreas de recursos humanos y administración del talento tienen la oportunidad de mantener la visibilidad sobre el desempeño de los alumnos dentro del ambiente de aprendizaje. No más cursos en los cuales la dirección no tiene idea de si su inversión está siendo aprovechada o no.
El alumno puede consultar los resultados de sus exámenes en línea y controlar sus avances para poder planearlos durante el tiempo que se mantiene vigente el ambiente de aprendizaje.
Durante la fase presencial se realizan dinámicas que facilitan el aprendizaje y la participación de los alumnos en un ambiente interesante y divertido.
El alumno puede practicar con diferentes ejercicios en línea para reforzar los conceptos vistos durante la capacitación presencial y en línea.
No encontrarás una garantía tan completa y revolucionaria como la de Abiztar, conoce los detalles en la página de la Garantía Universal de Aprendizaje de Abiztar.
Nada mejor que ver algunos ejemplos para entender mejor los nuevos conceptos a los que el alumno es expuesto. Ejemplos que puede consultar en cualquier momento y lugar.
Las instalaciones donde se imparte el curso presencial cuentan con internet gratuito para utilizar en los descansos.
Durante la fase de capacitación presencial se ofrece un lunch y café contínuo, con té, refrescos, galletas y botanas.
La mayoría de los alumnos prefiere traer su propio dispositivo / laptop a la fase presencial. Favor de pedir requisitos de software para el ambiente de aprendizaje en cuestión.
Se asigna a un responsable de nuestro equipo para dar seguimiento a la motivación del alumno y hacer un esfuerzo por mantenerlo motivado e interesado hasta terminar el programa.
Se envía un correo electrónico cada cierta cantidad de días con recordatorios de estudio, tips, ejemplos, videos, ejercicios para mantener el interés del estudiante en su preparación.

Incluye

  • 3 días (24 horas) de capacitación presencial

Facilidades

  • Coffee Break con lunch, galletas, botanas y café continuo
  • Computadora por alumno
  • WiFi y posibilidad de traer tu propio dispositivo

Configuración mínima

  • Sistema operativo MS Windows 10, procesador de 1 GHz, 4 GBytes de memoria física, 20 GBytes de almacenamiento libres.

Configuración sugerida

  • Sistema operativo MS Windows 10, procesador de 2 GHz, 8 GBytes de memoria física, 30 GBytes de almacenamiento libres.

Software requerido

Es recomendable que los alumnos aprendan a instalar el software necesario para las pruebas de intrusión:

  • VM Ware (versión gratuita, para uso no comercial)
  • Kali Linux (software libre), el cual requiere de 19 GBytes de almacenamiento. La instalación de Kali requiere del descompresor 7-Zip (software libre), el cual es un software muy ligero que usa muy poco espacio
  • Kali Linux incluye prácticamente todas las demás herramientas necesarias para el curso (Wireshark, Crunch, John the Ripper, Nmap, Metasploit y Armitage)
  • HashCalc (software libre)

Temario

1 Conceptos de seguridad informática

  • 1.1 Confidencialidad, integridad y disponibilidad
  • 1.2 Amenazas, vulnerabilidades, explotación y riesgos: breve definición
  • 1.3 Agentes (o actores) de las amenazas, y sus motivaciones
  • 1.4 Qué son las prueba de intrusión, o pen testing
    • 1.4.1 Definición y utillidad de estas pruebas
  • 1.5 Similitudes y diferencias de las pruebas de intrusión con los ataques cibernéticos
    • 1.5.1 Fase de planificación
    • 1.5.2 Fase de localización de los sistemas (reconocimiento)
    • 1.5.3 Fase de detección de programas o servicios (exploración, o escaneo)
    • 1.5.4 Fase de detección de vulnerabilidades
    • 1.5.5 Fase de análisis de vulnerabilidades (o evaluación de vulnerabilidades)
    • 1.5.6 Fase de explotación
    • 1.5.7 Fase de borrado de huellas
    • 1.5.8 Preparación del informe de resultados
  • 1.6 Preparación del ambiente de laboratorio para el curso
    • 1.6.1 Qué son las máquinas virtuales
    • 1.6.2 Instalación y presentación de VMWare
  • 1.7 Cadenas hash
    • 1.7.1 Conceptos básicos de generación de cadenas hash
    • 1.7.2 Principales algoritmos
    • 1.7.3 Herramientas en línea y software descargable para genera cadenas hash
  • 1.8 Instalación y presentación de Kali Linux
    • 1.8.1 Modos bridged y NAT
    • 1.8.2 Cómo actualizar Kali Linux
    • 1.8.3 Instalación y presentación de VM Tools

2 Decifrado de contraseñas (password cracking)

  • 2.1 Archivos donde se guardan las cadenas hash de las contraseñas
  • 2.2 Por qué en 2017 fueron revisadas las politicas para la creación de contraseñas seguras
  • 2.3 La técnica más simple: adivinar la contraseña
  • 2.4 Ataques de fuerza bruta
    • 2.4.1 Permutaciones y combinaciones
    • 2.4.2 La herramienta Crunch
    • 2.4.3 John the Ripper
    • 2.4.4 Prácticas con ambas herramientas
  • 2.5 Ataques mediante diccionarios
    • 2.5.1 Ejemplos y prácticas de diccionarios de contraseñas
    • 2.5.2 rockyou.txt
  • 2.6 Ataques mediante tablas arcoiris (rainbow tables)
  • 2.6.1 La herramienta OphCrack
  • 2.7 Ataques mediante phishing e ingeniería social

3 Conceptos básicos de redes de comunicación informática

  • 3.1 Arquitectura del modelo TCP/IP
    • 3.1.1 Origen y utilidad de este modelo
    • 3.1.2 Capas inferiores: capa física, interfaz con la red, internet y transporte
    • 3.1.3 Capa superior: aplicación
    • 3.1.4 Encapsulado de datos en las capas 2, 3 y 4 Encabezados (o cabeceras) y cargas útiles
    • 3.1.5 Protocolos más destacados del conjunto TCP/IP ARP, IP, TCP, ICMP, FTP, HTTP
  • 3.2 Análisis de paquetes y de protocolos (Sniffing)
    • 3.2.1 Los analizadores de paquetes
    • 3.2.2 Modo promiscuo y modo monitor
    • 3.2.3 Práctica con Wireshark

4 Exploración (“escaneo”) de puertos

  • 4.1 Los tres pasos del inicio de la comunicación (handshake) de TCP
    • 4.1.1 Estructura de los segementos TCP que intervienen en la negociación
    • 4.1.2 Secuencia SYN, SYN-ACK, ACK
    • 4.1.3 Ejercicio: Detectar y observar los tres pasos mediante Wireshark
  • 4.2 Conceptos básicos de puertos, programas y servicios
    • 4.2.1 Los tres estados en que pueden encontrarse los puertos
    • 4.2.2 Introducción a la herramienta Nmap
  • 4.3 Las exploraciones SYN y Connect
    • 4.3.1 Diferencia entre una exploración sigilosa (SYN) y una “ruidosa” (Connect)
  • 4.4 Las exploraciones Null, FIN y Xmas
  • 4.5 La exploración ACK
  • 4.6 La exploración UDP
  • 4.7 Práctica: realización de las distintas exploraciones con Nmap

5 Vulnerabilidades, explotaciones (exploits) y cargas

  • 5.1 Fases de las pruebas de intrusión éticas y de los ciberataques hostiles
  • 5.2 HackerOne: el programa de recompensas para hackers éticos
  • 5.3 La importancia del concepto de vulnerabilidad
    • 5.3.1 Papel central de las vulnerabilidades en el análisis de riesgos informáticos
    • 5.3.2 Dónde econtrar listas actualizadas de vulnerabilidades
  • 5.4 Las explotaciones (exploits)
    • 5.4.1 Relación entre vulnerabilidad y explotación
    • 5.4.2 Explotaciones famosas
  • 5.5 Las cargas (payloads, o “cargas útiles”)
  • 5.6 La herramienta Metasploit
    • 5.6.1 Práctica con Metsploit sobre un sistema Windows XP
    • 5.6.2 Práctica con Metaploit sobre un sistema Windows 8
  • 5.7 Apertura de una puerta trasera en el sistema atacado
  • 5.8 Cómo borrar las huellas después de un ataque
  • 5.9 La herramienta Armitage

6 Ataques DHCP, DNS, y al Conmutador (Switch)

  • 6.1 El proceso DORA de DHCP
  • 6.2 Ataques mediante inserción de servidores DHCP fraudulentos
  • 6.3 Ataques mediante desbordamiento de la tabla SAT
  • 6.4 Ataques de saturación al servidor DHCP
  • 6.5 Ataques DNS
  • 6.6 Contaminación de la memoria DNS
  • 6.7 Demo: cómo usar el archivo hosts para proteger nuestros equipos
  • 6.8 Ataques man-in-the-mIddle

7 Las fases de un ataque y su relación con las herramientas

  • 7.1 Planificación de las pruebas
    • 7.1.1 Coordinación con expertos en las prácticas relativas a los estándares ISACA (COBIT) e ISO 27001, 27002 y 27005
  • 7.2 Localización de los sistemas (reconocimiento)
    • 7.2.1 Whois
    • 7.2.2 Google hacking (o Google dorking)
    • 7.2.3 Nmap
    • 7.2.4 Shodan
    • 7.2.5 Ingeniería social
  • 7.3 Detección de programas o servicios (exploración, o escaneo)
    • 7.3.1 Uso de Nmap, Metasploit y Armitage para este tipo de detección
  • 7.4 Detección de vulnerabilidades
  • 7.5 Análisis de vulnerabilidades (o evaluación de vulnerabilidades)
  • 7.6 Explotación
  • 7.7 Borrar las huellas
  • 7.8 Preparación del informe de resultado
    • 7.8.1 Método de elaboración y ejemplo de informe

8 ¿Qué sigue?: Actividades sugeridas

  • 8.1 Profundizar conocimientos sobre seguridad de redes
    • 8.1.1 Listas de control de acceso en routers
    • 8.1.2 IDSs e IPSs
    • 8.1.3 Snort
  • 8.2 Sitios para estudiar seguridad informática y hacking ético en línea
  • 8.3 Certificaciones en esta materia
    • 8.3.1 Certified Information Systems Security Professional (CISSP)
    • 8.3.2 GIAC Penetration Tester (GPEN)
Curso presencial: 3 días (24 horas)
Recursos en línea: Ninguno

Conoce nuestras promociones

Disfruta de la capacitación avanzada para ingenieros de software o directores de proyectos, con importantes descuentos. (*aplican restricciones)

CYBER MONDAY: 25% de descuento

CYBER MONDAY vale más con Abiztar. 25% de descuento en ambientes de aprendizaje y cursos de ahora hasta febrero de 2019, pagando el lunes 26 de noviembre. (aplican restricciones).
Lectura recomendada: Capacitación: respuesta urgente ante la globalización
"Desafortunadamente, la crisis de varias economías está reduciendo los presupuestos destinados a la capacitación de personal. Este recorte puede llevar a un círculo vicioso: es imposible ser rentable y productivo si no se tienen los conocimientos y la experiencia necesaria."

Leer artículo completo en Forbes.

MEGA OFERTA: 40% de descuento ó 2x1 en cursos y ambientes

Capacitación avanzada para ingenieros de software o directores de proyectos, con un 40% de descuento ó 2x1 pagando del 27 al 31 de mayo (*aplican restricciones).

85% de los empleados se queja de la falta de capacitación

Esta reveladora encuesta arrojó algunos datos sorprendentes sobre lo que los empleados necesitan en cuanto a capacitación.

Capacítate con Abiztar y ayuda a un niño

Al inscribirte en un Ambiente de Aprendizaje Abiztar también ayudas a educar a un niño en situación de calle por medio de la fundación Ednica.

Estamos contratando
Buscamos instructor experto en modelado con UML, BPMN y arquitectura de software.

Envía tu solicitud.

Sigue a Abiztar en redes sociales

Entérate de promociones, descuentos, artículos, videos y más.

Facebook Twitter

Si te interesa este tema, te recomendamos:
SCRUM: Administración ágil de proyectos
Para: directores de proyecto, ingenieros de software.

TOGAF: The Open Group Architecture Framework
Para: directores de proyecto, arquitectos de software.

Simulacro en Dirección de Proyectos de Software, con CMMi, UP y UML.
Para: directores de proyecto, ingenieros de software.

UML: Análisis y Diseño Orientado a Objetos
Para: programadores, ingenieros, arquitectos de software.

Modelado de Sistemas con SysML
Para: diseñadores de componentes electrónicos.

Fundamentos Arquitectura de SI y Patrones de Diseño
Para: programadores, ingenieros, arquitectos de software.

Desarrollo Automatizado de Software con MDA
Para: arquitectos de software,

Modelado de Negocios con BPMN y UML
Para: directores de proyecto, ingenieros de procesos.

Taller de Fundamentos de Pruebas de Software
Para: Ingeniero de pruebas de software.

Administración de Requerimientos con Casos de Uso
Para: directores de proyecto, analistas de software.

Contáctanos

Teléfono en la Ciudad de México:

+52 (55) 5594 6411
+52 (55) 5594 6415

E-mail: cursos@abiztar.com.mx

O si lo prefieres llena el formulario de contacto

Ver aviso de privacidad

 

Sigue a Abiztar en redes sociales

Entérate de promociones, descuentos, artículos, videos y más.

Facebook Twitter

© Abiztar. PMBOK, PMP, Project Management Professional, Project Management Professional (PMP), PgMP, Program Management Professional (PgMP), PMI-RMP, PMI Risk Management Professional (PMI-RMP), CAPM, Certified Associate in Project Management (CAPM), PMI-SP, PMI Scheduling Professional (PMI-SP), THE PMI TALENT TRIANGLE and the PMI REP Logo are registered marks of the Project Management Institute. Capability Maturity Model y CMM son marcas registradas en la Oficina de Patentes de los EUA por el Software Engineering Institute (SEI) de la Universidad Carnegie Mellon. CMM, IntegrationSM, IDEALSM y SCAMPISM son marcas de servicio de la Universidad Carnegie Mellon. MDA, BPMN, SysML, MOF, OMG y UML son marcas registradas en los EUA y en otros países por el Object Management Group. TOGAF es una marca registrada de The Open Group. Microsoft® es una marca registrada en los EUA y en otros países; Microsoft Office, Microsoft Excel y Microsoft Project son productos propiedad de Microsoft Corp. Enterprise Architect es un producto propiedad de Sparx Systems, Australia. RUP es una marca registrada por IBM Corp."