UNIT/D-01
activo
[ LÍDER ]
Nicolás Moreno Monroy
Líder Red Team + Coordinación + Auditor ISO 27001
RED TEAM COORD ISO 27001
@nicolas2601 ↗ LISTO
BLUEROOT SECURITY CONSULTING
// CLIENTE: INNOVASEC S.A.S.
CYBERRISK 27001
Del Red Team al análisis de riesgos, controles ISO/IEC 27001:2022 y plan de tratamiento. Cuatro laboratorios autorizados, comprometidos hasta root y traducidos a decisiones de negocio.
OPERACIÓN // ESTADO en vivo
MÁQUINAS
ACCESO
ROOT
HALLAZGOS
NIVEL
EJERCICIO 100% ACADÉMICO · LABORATORIOS AUTORIZADOS · ENTORNO AISLADO · NO CORRESPONDE A SISTEMAS REALES
▌ SCROLL PARA DESPLEGAR
01 / BRIEFING
CONTEXTO&MISIÓN
CLIENTE: INNOVASEC S.A.S. // 04 LABORATORIOS AUTORIZADOS // ENTORNO AISLADO
// ESCENARIO
InnovaSec S.A.S. detectó comportamientos anómalos y contrató a BlueRoot para una evaluación controlada sobre cuatro laboratorios autorizados.
// OBJETIVO GENERAL
Evaluar la postura de seguridad de los 4 labs, explotar de forma controlada, valorar riesgos con MAGERIT y proponer tratamiento basado en ISO/IEC 27001:2022.
Q-00
// PREGUNTA CENTRAL
¿Cómo se convierten los hallazgos técnicos en riesgos para una organización y qué controles deberían implementarse para reducirlos?
// HILO DE TRAZABILIDAD
HALLAZGO (H)
RIESGO (R)
CONTROL (A.x.y)
ACCIÓN >>>
// MARCOS DE REFERENCIA [ 04 ]
F.01 PTES / OSSTMM F.02 MITRE ATT&CK F.03 MAGERIT v3 F.04 ISO/IEC 27001:2022
// LAS 5 FASES // KILL CHAIN
- 01 Reconocimiento
Descubrimiento de superficie y mapeo de hosts
- 02 Enumeración
Servicios, rutas, recursos y vectores expuestos
- 03 Explotación
Acceso inicial controlado sobre el objetivo
- 04 Escalada
Elevación de privilegios hasta root
- 05 Documentación
Riesgos, controles y plan de tratamiento
// NIVEL ALCANZADO
4 retos comprometidos + aportes profesionales
02 / EQUIPO
EL
EL
EQUIPO
EQUIPO DE 03 QUE CUBRE LAS 04 RESPONSABILIDADES DE LIDERAZGO // TODOS PARTICIPAN EN TODAS LAS FASES
UNIT/D-02
activo
María Paula Saavedra
Líder Análisis de Riesgos (MAGERIT / INCIBE)
MAGERIT RIESGOS
@Paulasaah ↗ LISTO
UNIT/D-03
activo
Julián Andrés
Líder Blue Team (contramedidas, hardening, monitoreo)
BLUE TEAM HARDENING
@Andrejulian21 ↗ LISTO
▌
Estructura plana: cada integrante lidera un eje pero opera en toda la cadena de ataque y defensa.
03 / ARSENAL
HERRAMIENTAS
SOFTWARE OFENSIVO AGRUPADO POR FASE DE LA CADENA DE ATAQUE
[ EXPLORADOR POR FASE ]
P.01 // FASE ACTIVA01 / 05
Reconocimiento
Identificar la superficie de ataque: hosts vivos, puertos abiertos, servicios y versiones del objetivo.
- 01
nmap
$nmap -sC -sV -p- <ip>Escáner de puertos y servicios. Revela puertos abiertos, versiones y sistema operativo del objetivo.
- 02
netdiscover
$netdiscover -r 192.168.56.0/24Descubrimiento de hosts por ARP en la red local. Ubicó la IP de las máquinas OVA (Napping, Breakout).
- 03
arp-scan
$arp-scan -lEscaneo ARP de la red. Alternativa rápida para encontrar la IP de la víctima.
▌
18 herramientas a lo largo de 5 fases · todo open-source o de uso académico autorizado.
[ 03 / KILL-CHAIN ]
// SCROLL HORIZONTAL · PIN + SCRUB
CUATRO MÁQUINAS · ROOT x4
Cada laboratorio comprometido hasta root encadenando fallos de configuración y codificación conocidos. Ninguna técnica exótica — recon → exploit → escalada → root.
RETO REV/A · UNIT-D01
01
ROOTME
COMPROMETIDA
- PLATAFORMA
- TryHackMe · Online Lab
- IP / HOST
- 10.66.180.71
- SISTEMA
- Ubuntu 20.04 · Apache
ATT&CK > T1190T1059T1548.001
[ CADENA DE ATAQUE // SECUENCIA ] >>> 04 PASOS
- 1 RECON Enumeración web
nmap + dirb → endpoint de carga de archivos expuesto
- 2 EXPLOIT Webshell .php5
Lista negra incompleta → shell.php5 → RCE como www-data
- 3 ESCALADA SUID python2.7
/usr/bin/python2.7 SUID anómalo (GTFOBins)
- 4 ROOT uid=0
Compromiso total del host
HALLAZGOS > H-01H-02H-03
RIESGOS > R-01R-02
[ FLAG · USER ]
THM{y0u_g0t_a_sh3ll}
[ FLAG · ROOT ]
THM{pr1v1l3g3_3sc4l4t10n}
/// MÁQUINA 01 / 04 · ACCESO ROOT CONFIRMADO
RETO REV/A · UNIT-D01
02
VULNVERSITY
COMPROMETIDA
- PLATAFORMA
- TryHackMe · Online Lab
- IP / HOST
- 10.66.147.227:3333
- SISTEMA
- Linux · Apache (puerto 3333)
ATT&CK > T1190T1059T1548.001
[ CADENA DE ATAQUE // SECUENCIA ] >>> 04 PASOS
- 1 RECON gobuster
Fuerza bruta de directorios → /internal/ (form de subida)
- 2 EXPLOIT Bypass .phtml
Salto del filtro de extensión → RCE como www-data
- 3 ESCALADA SUID systemctl
/bin/systemctl SUID + unit malicioso (GTFOBins)
- 4 ROOT uid=0
Ejecución como root vía systemd
HALLAZGOS > H-01H-02H-03
RIESGOS > R-01R-02
[ FLAG · USER ]
8bd7992fbe8a6ad22a63361004cfcedb
[ FLAG · ROOT ]
a58ff8579f0a9270368d33a9966c7fd5
/// MÁQUINA 02 / 04 · ACCESO ROOT CONFIRMADO
RETO REV/B · UNIT-D02
03
NAPPING
COMPROMETIDA
- PLATAFORMA
- VulnHub · OVA Local · v1.0.1
- IP / HOST
- 192.168.56.100
- SISTEMA
- Ubuntu 20.04 · Apache 2.4.41 · OpenSSH 8.2p1
ATT&CK > T1539T1078T1053.003T1548.003
[ CADENA DE ATAQUE // SECUENCIA ] >>> 04 PASOS
- 1 RECON Reverse Tabnabbing
Enlace sin rel=noopener revisado por el admin
- 2 EXPLOIT Robo de creds
daniel : C@ughtm3napping123 → acceso por SSH
- 3 LATERAL cron query.py
/home/adrian/query.py escribible → inyección de llave SSH (daniel→adrian)
- 4 ROOT sudo vim
(root) NOPASSWD: /usr/bin/vim (GTFOBins) → root
HALLAZGOS > H-04H-05H-06H-12
RIESGOS > R-03R-04R-05R-11
[ FLAG · USER ]
You are nearly there!
[ FLAG · ROOT ]
Admins just can't stay awake tsk tsk tsk
/// MÁQUINA 03 / 04 · ACCESO ROOT CONFIRMADO
RETO REV/C · UNIT-D03
04
EMPIRE: BREAKOUT
COMPROMETIDA
- PLATAFORMA
- VulnHub · OVA Local
- IP / HOST
- 192.168.56.107 · breakout.unab.ad
- SISTEMA
- Debian 11 · SMB · Webmin :10000 · Usermin :20000
ATT&CK > T1087T1552.001T1078T1548
[ CADENA DE ATAQUE // SECUENCIA ] >>> 04 PASOS
- 1 RECON Brainfuck en HTML
Secreto ofuscado → decode → .2uqPEfj3D<P'a-3
- 2 EXPLOIT SMB null session
Enumeración → usuario cyber → login Usermin :20000 → shell
- 3 ESCALADA capability tar
tar cap_dac_read_search → leer /var/backups/.old_pass.bak
- 4 ROOT Webmin :10000
Clave root Ts&4&YurgtRX(=~h → administración como root
HALLAZGOS > H-07H-08H-09H-10H-11H-12
RIESGOS > R-06R-07R-08R-09R-10R-11
[ FLAG · USER ]
3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
[ FLAG · ROOT ]
3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
/// MÁQUINA 04 / 04 · ACCESO ROOT CONFIRMADO
[ HALLAZGOS // H-01_12 ]
HALLAZGOS
SUPERFICIE TÉCNICA CONSOLIDADA // SEVERIDAD POR COLOR // FUENTE: 04 LABS
// CRÍTICOS
// ALTOS
// MEDIOS
H-01 CRÍTICA
Carga de archivos sin validación robusta (webshell)
// RootMe · Vulnversity
H-02 ALTA
Bypass de filtro de extensiones (.phtml / .php5)
// RootMe · Vulnversity
H-03 CRÍTICA
Binario SUID abusable (python2.7 / systemctl)
// RootMe · Vulnversity
H-04 ALTA
Reverse Tabnabbing (target=_blank sin rel=noopener)
// Napping
H-05 ALTA
Permisos inseguros sobre script de cron de otro usuario
// Napping
H-06 CRÍTICA
sudo NOPASSWD sobre editor (vim)
// Napping
H-07 ALTA
Secreto ofuscado (Brainfuck) en código fuente
// Breakout
H-08 ALTA
Interfaces de administración expuestas (Webmin / Usermin)
// Breakout
H-09 CRÍTICA
Capability peligrosa en binario (tar cap_dac_read_search)
// Breakout
H-10 MEDIA
Enumeración de usuarios vía SMB null session
// Breakout
H-11 ALTA
Backup con clave de root en claro
// Breakout
H-12 MEDIA
Credenciales débiles / reutilizadas en SSH
// Transversal
[ 12 HALLAZGOS ] → 04 CRÍTICOS · 06 ALTOS · 02 MEDIOS
05 / RIESGOS // MAGERIT v3
MATRIZ·RIESGO
RIESGO = IMPACTO × PROBABILIDAD // 1–3 BAJO · 4–6 MEDIO · 7–11 ALTO · 12–16 CRÍTICO
// CRÍTICOS
// ALTOS
// MEDIOS
// BAJOS
// MATRIZ DE RIESGOS — RANKING POR SEVERIDAD (R-01 … R-13)
01 R-01
Servidor web / App RCE y acceso no autorizado H-01, H-02
I 4 P 4
16
02 R-02
SO (host) Escalada a root H-03
I 4 P 3
12
03 R-04
Cuenta de servicio / SO Movimiento lateral y ejecución H-05
I 4 P 3
12
04 R-03
Credenciales / sesión Robo de credenciales H-04
I 3 P 3
9
05 R-06
Código / credenciales Divulgación de información H-07
I 3 P 3
9
06 R-07
Servicio de administración Acceso indebido a administración H-08
I 3 P 3
9
07 R-12
Plataforma tecnológica Detección tardía de incidentes transversal
I 3 P 3
9
08 R-05
SO (host) Escalada a root H-06
I 4 P 2
8
09 R-08
SO / archivos sensibles Divulgación y escalada H-09
I 4 P 2
8
10 R-10
Credenciales / backups Compromiso total H-11
I 4 P 2
8
11 R-11
Servicio SSH Acceso no autorizado H-12
I 3 P 2
6
12 R-13
Información del negocio Pérdida de disponibilidad transversal
I 3 P 2
6
13 R-09
Servicio SMB Reconocimiento / divulgación H-10
I 2 P 3
6
// PRIORIZACIÓN
R-01 = 16 → R-02 · R-04 = 12 → ALTOS → MEDIOS
// ESCALA I×P 1–3 BAJO 4–6 MEDIO 7–11 ALTO 12–16 CRÍTICO
MAPA DE CALOR // 4×4
PROBABILIDAD×IMPACTO
HOVER PARA DETALLE // CELDAS ENCIENDEN AL ENTRAR EN VIEWPORT
P\I
I1BAJO
I2MEDIO
I3ALTO
I4CRÍTICO
P4MUY ALTA
MEDIO
ALTO
CRÍTICO
CRÍTICOR-01
P3ALTA
MEDIO
MEDIOR-09
ALTOR-03R-06R-07R-12
CRÍTICOR-02R-04
P2MEDIA
BAJO
MEDIOR-11R-13
ALTOR-05R-08R-10
ALTO
P1BAJA
BAJO
BAJO
MEDIO
MEDIO
↑ PROBABILIDAD · IMPACTO →BAJOMEDIOALTOCRÍTICO
[ 06 / ISO 27001 ]
RIESGO → CONTROL
Anexo A 2022 · 93 controles · 4 temas — Organizacional 5.x, Personas 6.x, Físico 7.x, Tecnológico 8.x. Los riesgos no se listan uno a uno: se agrupan por categoría de solución.
Organizacional 5.x · 37
Personas 6.x · 08
Físico 7.x · 14
Tecnológico 8.x · 34
// CLUSTERS DE SOLUCIÓN · 08 CATEGORÍAS
Desarrollo y codificación segura
Construir software sin defectos explotables desde el diseño.
CONTROLES
A.8.25 A.8.26 A.8.28 A.8.4
RIESGOS CUBIERTOS
R-01 R-03 R-06
Mínimo privilegio y configuración
Limitar accesos y endurecer la configuración base.
CONTROLES
A.8.2 A.8.18 A.8.9 A.8.3
RIESGOS CUBIERTOS
R-02 R-04 R-05 R-08
Gestión de vulnerabilidades técnicas
Detectar y parchear fallas conocidas a tiempo.
CONTROLES
A.8.8
RIESGOS CUBIERTOS
R-01 R-13
Seguridad y segmentación de red
Contener el movimiento lateral y filtrar el tráfico.
CONTROLES
A.8.20 A.8.21 A.8.22 A.8.23 A.5.15
RIESGOS CUBIERTOS
R-07 R-09
Identidad y autenticación
Verificar quién accede y proteger las credenciales.
CONTROLES
A.5.17 A.8.5
RIESGOS CUBIERTOS
R-03 R-06 R-10 R-11
Protección de datos y backups
Garantizar disponibilidad y recuperación de la información.
CONTROLES
A.8.13
RIESGOS CUBIERTOS
R-10 R-13
Detección y monitoreo
Registrar eventos y alertar sobre actividad anómala.
CONTROLES
A.8.15 A.8.16 A.5.7
RIESGOS CUBIERTOS
R-12
Concienciación y personas
Reducir el factor humano como vector de ataque.
CONTROLES
A.6.3
RIESGOS CUBIERTOS
R-03
// EL HILO DE TRAZABILIDAD
01 / 04
HALLAZGO
(H)
02 / 04
RIESGO
(R)
03 / 04
CONTROL
(A.x.y)
04 / 04
ACCIÓN
(→)
▌
Los 13 riesgos se tratan con controles del Anexo A agrupados en 8 categorías; ningún riesgo queda sin cobertura de control.
06 / PLAN DE TRATAMIENTO
MITIGAR
MITIGAR
Y_REDUCIR
ESTRATEGIA: MITIGACIÓN DE LOS 13 RIESGOS // PRIORIZACIÓN POR NIVEL // HOJA DE RUTA 30 · 60 · 90 DÍAS
// PRIORIZACIÓN [ TODOS → MITIGAR ]
ORDEN
RIESGOS
NIVEL
ACCIÓN CLAVE
1
R-01
Crítico
Validación por lista blanca + WAF + almacenamiento sin ejecución
2
R-02 · R-04
Crítico
Mínimo privilegio: saneo SUID y permisos de cron
3
R-03 · R-06 · R-07 · R-12
Alto
Codificación segura, gestión de secretos, segmentación, logging
4
R-05 · R-08 · R-10
Alto
Saneo sudoers, retiro de capabilities, cifrado de backups
5
R-09 · R-11 · R-13
Medio
Deshabilitar SMB null session, MFA/SSH por clave, backups
// HOJA DE RUTA // 30 · 60 · 90 DÍAS
T-30 DÍAS
30
Contención inmediata
- Parchar R-01 (subida de archivos)
- Saneo de binarios SUID y reglas sudoers
- Deshabilitar SMB null session
T-60 DÍAS
60
Endurecimiento
- Gestión de secretos fuera del código
- Segmentación de red (Webmin / Usermin)
- Logging centralizado de eventos
T-90 DÍAS
90
Programa sostenible
- MFA en accesos críticos
- Backups cifrados y probados
- Gestión de vulnerabilidades + concienciación
// CONTRAMEDIDAS // 03 EJES
TÉCNICAS EJE.01
- + Hardening de hosts y servicios
- + Validación por lista blanca
- + Mínimo privilegio (SUID, sudoers, capabilities)
- + WAF y cifrado de backups
ADMINISTRATIVAS EJE.02
- + Políticas de seguridad formales
- + Procedimientos de gestión de secretos
- + Estándares de codificación segura
- + Gestión de accesos y contraseñas
ORGANIZACIONALES EJE.03
- + Concienciación (A.6.3)
- + Inteligencia de amenazas (A.5.7)
- + Mejora continua del SGSI
- + Roles y responsabilidades definidos
[ 07 / SUSTENTACIÓN ]
RECORRIDO
RECORRIDO
DE LA DEFENSA
10–15 min. Los 3 integrantes. Las preguntas del jurado se van respondiendo de forma CONTINUA a medida que recorremos la página — este es el itinerario.
// PREGUNTA CENTRAL — EJE DEL RECORRIDO
¿Cómo los hallazgos técnicos identificados en los laboratorios se convierten en riesgos para una organización y qué controles deberían implementarse para reducirlos?
▌ H → R → CONTROL (A.x.y) → ACCIÓN → RIESGO RESIDUAL ACEPTABLE
[ ITINERARIO // 8 PARADAS ]
- 01 Briefing y metodología #briefing LIDERA // Nicolás / JuliánPREGUNTAS RESPONDIDAS AQUÍ (2)
- ? ¿Qué nivel alcanzó?
- ? ¿Qué metodología siguieron?
- 02 El equipo #equipo LIDERA // PaulaPREGUNTAS RESPONDIDAS AQUÍ (2)
- ? ¿Cómo se organizaron los roles?
- ? ¿Cómo participó cada integrante?
- 03 Kill Chain · 4 retos #killchain LIDERA // NicolásPREGUNTAS RESPONDIDAS AQUÍ (4)
- ? ¿Qué laboratorios desarrollaron y por qué?
- ? ¿Cuál fue el reto más complejo?
- ? ¿Qué vulnerabilidades encontraron?
- ? ¿Cuáles fueron las principales evidencias?
- 04 Hallazgos #hallazgos LIDERA // NicolásPREGUNTAS RESPONDIDAS AQUÍ (1)
- ? ¿Cuál fue el hallazgo más crítico?
- 05 Riesgos y mapa de calor #riesgos LIDERA // PaulaPREGUNTAS RESPONDIDAS AQUÍ (4)
- ? ¿Qué activos identificaron?
- ? ¿Qué riesgos se derivan?
- ? ¿Cómo valoraron impacto y probabilidad?
- ? ¿Qué impacto tendría en una organización real?
- 06 Controles ISO 27001 #iso LIDERA // NicolásPREGUNTAS RESPONDIDAS AQUÍ (1)
- ? ¿Qué controles ISO/IEC 27001 relacionaron?
- 07 Plan y contramedidas #plan LIDERA // JuliánPREGUNTAS RESPONDIDAS AQUÍ (4)
- ? ¿Qué contramedidas proponen?
- ? ¿Cuál es el plan de tratamiento?
- ? ¿Qué riesgos tratar primero?
- ? ¿Cómo usaron la IA?
- 08 Cierre #cierre LIDERA // Los 3PREGUNTAS RESPONDIDAS AQUÍ (3)
- ? ¿Qué aprendizajes obtuvieron?
- ? ¿Qué harían diferente en un entorno real?
- ? ¿Qué aportes adicionales realizaron?
TOTAL: 21 PREGUNTAS GUÍA CUBIERTAS A LO LARGO DEL RECORRIDO.
07 / CIERRE
RESPUESTA
RESPUESTA
Y_VEREDICTO
DEL HALLAZGO TÉCNICO A LA DECISIÓN DE NEGOCIO // RIESGO ALTO, PLENAMENTE GESTIONABLE
A-00
// RESPUESTA A LA PREGUNTA CENTRAL
Cada hallazgo (H) se vuelve riesgo (R) al valorar impacto × probabilidad sobre los activos de InnovaSec. La matriz prioriza (R-01 = 16), los controles del Anexo A los reducen y el plan 30/60/90 lleva el riesgo residual a un nivel aceptable.
El riesgo es alto pero plenamente gestionable: la cadena se rompe en cada eslabón con controles concretos y verificables.
RIESGO RESIDUAL
ACEPTABLE
// LECCIONES CLAVE [ 04 ]
L.01 LECCIÓN
El riesgo surge del encadenamiento
Ninguna técnica fue exótica. El compromiso total nace de eslabonar fallos individuales menores hasta llegar a root.
L.02 LECCIÓN
Casi todo es configuración
La mayoría son fallos de configuración, no de software. Aplicar mínimo privilegio es la contramedida de mayor retorno.
L.03 LECCIÓN
Lista blanca > lista negra
Filtrar por lo permitido (no por lo prohibido) cierra el bypass de extensiones y la subida de webshells en origen.
L.04 LECCIÓN
Secretos y backups en claro
Credenciales ofuscadas o copias sin cifrar son una vía directa al compromiso. Cifrar y gestionar secretos es innegociable.
// NOTA ÉTICA
Actividad 100% académica realizada sobre laboratorios autorizados en un entorno aislado. No corresponde a sistemas reales en producción. Cada vulnerabilidad se documenta acompañada de su contramedida correspondiente.