El mundo digital es un lugar emocionante lleno de oportunidades, pero también es un lugar donde los ciberdelincuentes buscan explotar cualquier vulnerabilidad. Una de estas vulnerabilidades es el clickjacking, una técnica de ataque que puede engañar a los usuarios para que realicen acciones no deseadas en un sitio web sin…
Recuperar ficheros con foremost
En muchas ocasiones, nos puede resultar útil utilizar alguna herramienta forense para recuperar ficheros de un dispositivo de almacenamiento: borrado accidental del disco (entrada en pánico), búsqueda de documentos borrados a propósito (caja b), y un largo etc. Existen muchas herramientas forenses para este tipo de tareas (Autopsy, foremost, magicrescue…).…
Borrado seguro de un disco duro
Seguro que no es la primera vez que nos hemos deshecho o vendido algún viejo ordenador, un pendrive que ya no nos sirve para mucho, un disco duro externo, etc. Y lo normal es formatear estos dispositivos para que nadie pueda tener acceso a la información que tenías antes. Podemos…
Hardening de un servidor ssh. Parte 2.
En la entrada anterior, vimos cómo reducir la información expuesta del servicio ssh. En esta entrada, vamos a continuar fortificando nuestro servicio de manera que sea más seguro de cara a exponerlo al exterior. Ya hemos visto que la configuración de nuestro servicio ssh se hace a través de una…
Hardening de un servidor ssh
El término hardening (endurecimiento en inglés) es utilizado en seguridad informática para referirse al proceso de hacer más seguro nuestros servidores de manera que se reduzcan las posibilidades de un ataque lo máximo posible. En esta entrada vamos a ver algunas modificaciones que podemos hacer en nuestro servidor ssh para…
Generación de una clave ssh
Muchas veces necesitamos conectarnos por ssh a algún servidor que mantenemos o a algún servicio como GitHub, BitBucket, etc., para lo cual resulta muy útil tener una llave ssh de manera que no tengamos que estar ingresando nuestra clave cada vez que queremos acceder al sistema. Para generar una clave…
Phishing con Evilginx2
Advertencia: Lo explicado en este post es únicamente con fines educativos. El uso indebido de esta o cualquier otra herramienta de hacking sin consentimiento expreso por parte del objetivo, así como el robo de credenciales o acceso no autorizado a un sistema puede ser constitutivo de delito y es únicamente…
Entendiendo el Phishing
Todos hemos oído hablar del término phishing en algún momento. Incluso la gran mayoría de nosotros hemos recibido alguna vez sin llegar a ser conscientes un mensaje de phishing. Pero, ¿qué es el phishing? Según la Wikipedia «Phishing es un término informático que denomina a un conjunto de técnicas que…
Certificados con Java Keystore
A la hora de trabajar con certificados en Java, usamos el Java Keystore (JKS), que no es más que un almacén de certificados y autoridades de certificación, los cuales se identifican mediante un alias. Por defecto, la JDK utiliza una trusted keystore, el almacén con los certificados de confianza (CA),…
Autenticación y Autorización
Cuando estamos diseñando una aplicación web, tenemos una serie de acciones que puede realizar cualquier usuario y otra serie de acciones que solo puede realizar un usuario que esté autorizado para ello. Vamos a ver un par de conceptos relacionados con la seguridad de una aplicación web. Autenticación: Es el…