1 00:00:00,820 --> 00:00:14,939 Buenas tardes, Daniel. Hoy, 6 de mayo, a las 17.00, estamos convocados a través de Jefatura de Departamento para la Defensa del Módulo Profesional de Proyecto de Ciclo Formativo de Grado Superior de Administración de Sistemas Informáticos en Red. 2 00:00:15,220 --> 00:00:27,699 Te informo que esta grabación se usará en el entorno cerrado de EDUCA Madrid, con fines educativos, y solo estará a disposición de los profesores evaluadores en el aula virtual para llevar a cabo la evaluación y calificación de la defensa del proyecto. 3 00:00:27,699 --> 00:00:50,899 En el aula virtual de proyectos habéis sido informados de los criterios y rúbrica de calificación. El orden de la presentación del proyecto es el siguiente. Dispondrás de 15 minutos máximo para defender el proyecto y después habrá 5 minutos para preguntas por parte del tribunal. Dicho esto, tu tiempo de exposición comienza a partir de este momento. Adelante y mucha suerte. 4 00:00:51,560 --> 00:00:58,679 Vale, pues buenas tardes. En primer lugar, presentarme. Soy Daniel Torre Beltrán, alumno de Ciclo Superior de Administración de Sistemas Informáticos en Red. 5 00:00:59,280 --> 00:01:06,159 Y, bueno, le agradezco la oportunidad de poder presentarle en el día de hoy mi proyecto sobre ciberseguridad y, en concreto, sobre la herramienta Metasploit. 6 00:01:06,579 --> 00:01:12,079 Como pueden ver, el título de mi proyecto es Metasploit, arma para matar o para vivir, la belladona del código. 7 00:01:13,760 --> 00:01:18,719 Bien, vemos a continuación los apartados más relevantes que he decidido repasar en esta presentación. 8 00:01:19,159 --> 00:01:23,859 Cito brevemente, bueno, primero introducción y objetivos, pasaremos a la metodología, 9 00:01:24,159 --> 00:01:27,120 posteriormente veremos las tecnologías y herramientas utilizadas en el proyecto, 10 00:01:27,239 --> 00:01:29,239 de manera breve también, dado el límite de tiempo. 11 00:01:29,980 --> 00:01:34,480 El cuarto punto que sería el eje central del proyecto, el despliegue y las pruebas. 12 00:01:35,799 --> 00:01:42,379 En quinto lugar, el contexto laboral, las conclusiones y, bueno, algunas cuestiones interesantes. 13 00:01:43,859 --> 00:01:48,239 En primer lugar, como decía, como introducción, he querido simplemente hacer hincapié 14 00:01:48,239 --> 00:02:09,520 Bueno, pues, en la ambivalencia de la herramienta Metasploit, que es el eje de mi proyecto, pues, bueno, según se use, como ya he podido desarrollar bastante profundamente en el mismo proyecto, puede ser tanto un aliado para mejorar la seguridad de los sistemas o una amenaza para los mismos según en qué manos caiga y cómo se ha usado. 15 00:02:09,520 --> 00:02:33,400 En destacar simplemente algunos objetivos, como podrían ser, bueno, pues ofrecer consejos para promover un uso ético de herramientas como Metasploit en ciberseguridad, analizar las posibles implicaciones éticas del uso de este tipo de herramientas de prueba de penetración o comprender la importancia de las actualizaciones y parches de seguridad dentro de los sistemas hoy en día. 16 00:02:33,400 --> 00:02:46,020 De manera más práctica he intentado sobre todo demostrar lo que es la efectividad de Metasploit en la identificación y la explotación de vulnerabilidades que se pueden dar en algunos sistemas operativos o en sistemas informáticos. 17 00:02:46,020 --> 00:02:51,960 Vale, a continuación vemos la parte de la metodología 18 00:02:51,960 --> 00:02:58,159 Bien, para la realización del proyecto puedo decir que yo he seguido una metodología de investigación mixta 19 00:02:58,159 --> 00:03:02,560 Que incluiría tanto una revisión documental como un estudio de un caso práctico 20 00:03:02,560 --> 00:03:05,800 Que he desarrollado en el apartado como hemos visto de despliegue y prueba 21 00:03:05,800 --> 00:03:07,819 Y una ligera reflexión ética 22 00:03:07,819 --> 00:03:13,439 Adaptando sobre todo la metodología para reflejar las pruebas realizadas con la herramienta de Metasploit 23 00:03:13,439 --> 00:03:37,860 Vale. Las tecnologías y herramientas que hemos usado, bueno, que he usado en este caso para la realización del proyecto, han sido, bueno, como decía, gira sobre todo en torno a la herramienta central de Metasploit Framework, que es una herramienta de código abierto muy conocida en el ámbito de la ciberseguridad para realizar pruebas de penetración controlada, que es lo que se llama Pentesting. 24 00:03:37,860 --> 00:03:44,740 sirve sobre todo pues para escanear y recopilar información de los sistemas operativos identificar 25 00:03:44,740 --> 00:03:52,740 y explotar y explorar o explotar incluso vulnerabilidades en el mostrado más brevemente 26 00:03:52,740 --> 00:03:59,479 al final en el anexo también sobre todo pues unas otras herramientas complementarias como vemos que 27 00:03:59,479 --> 00:04:04,020 pueden ser virtual box por ejemplo que es bueno que al fin y al cabo es la preparación del entorno 28 00:04:04,020 --> 00:04:08,860 con las dos máquinas virtuales que utilizado y hay otra herramienta como son en el map que sirve 29 00:04:08,860 --> 00:04:15,639 también para el escaneo de puertos y tal, Wireshack y Nessus, que como digo, pues ayudan en la tarea 30 00:04:15,639 --> 00:04:21,360 sobre todo de escanear, identificar y clasificar vulnerabilidades o explorar la seguridad 31 00:04:21,360 --> 00:04:30,019 cibernética en los sistemas que sean el objetivo. Una vez que hemos visto sobre todo la tecnología 32 00:04:30,019 --> 00:04:36,399 y las herramientas utilizadas, pasaríamos ya al grosso del proyecto. En este caso es el despliegue 33 00:04:36,399 --> 00:04:37,819 y las pruebas del mismo. 34 00:04:39,459 --> 00:04:44,220 Como es lógico, comenzamos en primer lugar creando el entorno necesario básico, 35 00:04:44,339 --> 00:04:48,259 que en este caso ha sido una máquina virtual Kali Linux 36 00:04:48,259 --> 00:04:53,180 y otra máquina metaexploitable 2 para realizar las pruebas de penetración. 37 00:04:54,300 --> 00:05:01,180 Una vez tenemos el entorno preparado, comienza ya lo que sería el pentesting, 38 00:05:01,180 --> 00:05:04,740 propiamente dicho, la prueba de penetración propiamente dicha, 39 00:05:04,740 --> 00:05:09,120 con la primera de las cinco fases en la que habitualmente vamos a encontrar que se puede 40 00:05:09,120 --> 00:05:15,660 dividir un pen test y una prueba de penetración la que se suele llamar la fase de reconocimiento 41 00:05:15,660 --> 00:05:22,079 donde obtendremos información sobre todo en primer lugar de la red objetivo ayudándonos 42 00:05:22,079 --> 00:05:26,620 pues con herramientas o con comandos como hemos dicho de en el mar por ejemplo aquí 43 00:05:26,620 --> 00:05:32,540 pues simplemente vemos la derecha un ejemplo que donde veíamos la red hemos seleccionado 44 00:05:32,540 --> 00:05:37,620 en este caso, y vemos la máquina de fricción, que sería la mía, mi ordenador principal, 45 00:05:38,060 --> 00:05:42,420 y luego cómo aparecen también las otras dos máquinas de las pruebas en sí, 46 00:05:42,500 --> 00:05:45,740 que sería la máquina Calitinus, que es la máquina atacante, digamos, 47 00:05:45,959 --> 00:05:49,339 y la máquina metaexploitable, que al final es la máquina objetivo. 48 00:05:52,149 --> 00:05:55,990 Vale, pasamos, como digo, en la fase de reconocimiento, 49 00:05:56,189 --> 00:06:00,930 continuaríamos con un escaneo de todos los puertos del sistema que hayamos tomado como objetivo, 50 00:06:00,930 --> 00:06:03,589 en este caso, como digo, ha sido la máquina metaexploitable 2, 51 00:06:03,589 --> 00:06:23,610 que ya viene preparada precisamente con ciertas vulnerabilidades para realizar este tipo de pruebas, pudiendo incluso obtener información de la versión, en este caso, del servicio FTP que ha sido el analizado en mi proyecto del puerto 21 con un simple comando, como puede ser en este caso el comando service. 52 00:06:23,610 --> 00:06:36,250 Como vemos aquí, pues, simplemente con el comando service ya vemos aquí cómo aparece la versión, por ejemplo, del servicio de VSFTP, que al final va a ser la vulnerabilidad que vamos a explorar. 53 00:06:36,250 --> 00:07:02,810 Vale. Una vez, bueno, ya a través de la primera fase de reconocimiento, pues entraríamos, lo estoy haciendo todo lo más breve dentro del tiempo del que dispongo para hablar un poquito de todo el desarrollo del proceso y no dejarme nada, pero bueno, pues lo estoy haciendo un poquito más breve, aunque, bueno, lógicamente en el proyecto está todo muchísimo más desarrollado. 54 00:07:02,810 --> 00:07:20,250 Bueno, como digo, la segunda fase de este pentesting sería el análisis de vulnerabilidades. Tras la primera fase de escaneo y reconocimiento de información, pues pasaremos un poquito a profundizar más en la información para llegar a detectar, por ejemplo, o analizar la vulnerabilidad en concreto que vamos a explotar finalmente. 55 00:07:20,250 --> 00:07:45,029 En este caso, como ya habíamos adelantado, vemos a la derecha cómo se nos indicaría, incluso con la herramienta de MetaFly, cómo vulnerable precisamente esta versión de VSFTP, del servicio de FTP del puerto 21, la versión 2.3.4, en la cual se encuentra un backdoor o una puerta trasera para poder explotar esta vulnerabilidad. 56 00:07:45,029 --> 00:07:49,819 Pasada esta segunda fase 57 00:07:49,819 --> 00:07:51,680 llegaremos a la tercera, la fase 58 00:07:51,680 --> 00:07:53,579 de explotación y payload 59 00:07:53,579 --> 00:07:55,800 y bueno, una vez que ya 60 00:07:55,800 --> 00:07:57,720 tenemos el servicio como posible 61 00:07:57,720 --> 00:08:00,060 vulnerabilidad objetivo, como hemos visto anteriormente 62 00:08:00,060 --> 00:08:01,560 pues tocaría ya explotarlo 63 00:08:01,560 --> 00:08:03,819 para ello lo que hacemos es una 64 00:08:03,819 --> 00:08:05,939 búsqueda sencilla de exploit 65 00:08:05,939 --> 00:08:09,720 de exploit posible y en caso de que nos 66 00:08:09,720 --> 00:08:11,199 aparecieran varias 67 00:08:11,199 --> 00:08:13,759 opciones disponibles, pues digamos que 68 00:08:13,759 --> 00:08:15,319 escogeríamos la 69 00:08:15,319 --> 00:08:18,939 que mejor ranking tuviera dentro del propio Metasploit. 70 00:08:19,019 --> 00:08:22,800 Como vemos aquí, hay incluso una columna dedicada a Metasploit 71 00:08:22,800 --> 00:08:27,220 para el ranking del exploit que nos puede ofrecer. 72 00:08:27,300 --> 00:08:28,420 En este caso, pues, lógicamente, 73 00:08:28,519 --> 00:08:31,180 escogeríamos la que tiene ranking excelente, 74 00:08:31,560 --> 00:08:34,919 que es la que vemos aquí abajo, este exploit en concreto, 75 00:08:34,919 --> 00:08:37,639 la del USFTP 234 del Backdoor. 76 00:08:38,860 --> 00:08:39,419 Vale. 77 00:08:42,299 --> 00:08:45,179 Una vez que lo hayamos seleccionado, pues, 78 00:08:45,320 --> 00:08:49,740 El exploit en cuestión, como hemos dicho, ya hemos visto el que tenía el rango excelente, 79 00:08:50,440 --> 00:08:57,539 tocaría indicar el hot de crear. 80 00:08:58,379 --> 00:09:02,559 En este caso, la máquina objetivo, como vemos aquí, sería la 192.168.05, 81 00:09:02,879 --> 00:09:05,080 que es la máquina de meta explotable 2, como decía, 82 00:09:05,759 --> 00:09:13,899 que es precisamente la máquina que es potencialmente vulnerable a posta. 83 00:09:13,899 --> 00:09:23,059 O sea, que esta máquina existe aquí porque precisamente está dedicada al uso de este tipo de herramientas como prueba de acceso y penetración. 84 00:09:24,659 --> 00:09:25,259 Vale. 85 00:09:27,500 --> 00:09:35,200 Para establecer la IP de nuestra máquina objetivo, podríamos seleccionar ya el payload que vamos a utilizar. 86 00:09:35,679 --> 00:09:42,340 Bueno, el payload vemos aquí, como aquí lo he dejado también entrever, que al final son las acciones maliciosas. 87 00:09:42,340 --> 00:09:47,460 a la acción maliciosa que vamos a querer realizar una vez que hayamos explotado la vulnerabilidad. 88 00:09:48,019 --> 00:09:55,539 En este caso, simplemente con el comando show payload, pues nos aparecerían dentro de la base de datos de Metasploit 89 00:09:55,539 --> 00:09:57,500 cuáles tendríamos disponibles. 90 00:09:57,940 --> 00:10:04,799 Como en esta ocasión solamente nos aparece un payload, pues lo tenemos fácil a la hora de escoger. 91 00:10:07,190 --> 00:10:12,129 Una vez que lo decidimos, en este caso, como digo, lo teníamos bastante fácil, 92 00:10:12,129 --> 00:10:17,110 pues simplemente lo podemos seleccionar bien con el nombre, perdón, bien con el nombre, 93 00:10:17,429 --> 00:10:25,309 ponemos el nombre a continuación como hemos visto antes o con el número, con el índice. 94 00:10:25,429 --> 00:10:32,669 Aquí podríamos también poner US0 y lo explotamos del mismo modo. 95 00:10:34,309 --> 00:10:37,830 Y ya pues simplemente una vez que lo hayamos seleccionado el exploit, 96 00:10:37,830 --> 00:10:40,309 esperar como diría Cortana 97 00:10:40,309 --> 00:10:41,509 que Metasploit haga su magia 98 00:10:41,509 --> 00:10:44,269 y nada, simplemente con este 99 00:10:44,269 --> 00:10:46,529 payload, lo que 100 00:10:46,529 --> 00:10:47,950 Metasploit consigue es 101 00:10:47,950 --> 00:10:50,230 iniciar sesión, vemos aquí 102 00:10:50,230 --> 00:10:51,649 como aparece con 103 00:10:51,649 --> 00:10:54,250 el usuario, el ID de usuario root 104 00:10:54,250 --> 00:10:56,070 y la contraseña igualmente root 105 00:10:56,070 --> 00:10:58,370 y encuentra una consola a la cual 106 00:10:58,370 --> 00:11:00,289 inicia sesión como root 107 00:11:00,289 --> 00:11:01,750 o sea, entraríamos en una 108 00:11:01,750 --> 00:11:03,730 en la consola de Metasploit.dot 109 00:11:03,730 --> 00:11:06,029 iniciando sesión como usuario 110 00:11:06,029 --> 00:11:07,750 con privilegio de root 111 00:11:07,750 --> 00:11:23,480 Por el backdoor encontrado que hemos visto anteriormente. Si todo ha ido bien, como digo, dado el payload que teníamos en este caso, a lo que tendríamos acceso sería a una shell como usuario root y ya podríamos aquí realizar multitud de adaptaciones. 112 00:11:23,480 --> 00:11:36,860 Como vemos en el ejemplo, podemos visualizar, por ejemplo, con un comando urls todos los directorios de la máquina atacada, aunque como indico en el proyecto, con algunos comandos no muy complejos podríamos hacer muchísimas más cosas. 113 00:11:36,860 --> 00:11:42,220 Vale, pasaríamos ya a lo que sería la cuarta fase de pos-exploitación 114 00:11:42,220 --> 00:11:46,379 en la cual podemos llevar ya a cabo acciones más específicas a nivel interno 115 00:11:46,379 --> 00:11:52,080 como podría ser programar alguna tarea periódica para ejecutar un screen malicioso 116 00:11:52,080 --> 00:11:58,960 saltar otra máquina de la red, por ejemplo, con otra IP de la misma 117 00:11:58,960 --> 00:12:01,019 192.168.0.6, por ejemplo 118 00:12:01,019 --> 00:12:18,500 La credencial en algún archivo de credencial almacenado de algún usuario en concreto o identificar otras vulnerabilidades locales que nos permitiesen aumentar los privilegios de acceso en caso de que, por ejemplo, no lo tuviéramos todavía como root. 119 00:12:18,500 --> 00:12:39,759 Vale, pasaríamos a la quinta fase ya de elaboración de informes. Bueno, comentar que en el caso de un pentesting real, lógicamente se elaborarían informes mucho más profundos, pero claro, al tratarse en este caso de una prueba simulada, tampoco he querido profundizar tanto. 120 00:12:39,759 --> 00:13:09,659 Simplemente comentar que tendría un par de apartados, habría dos apartados. Uno sería el reporte ejecutivo, donde simplemente habría un resumen orientado al cliente, sobre todo con información gráfica y luego habría un reporte técnico un poco más detallado con la vulnerabilidad encontrada, con los recursos que han sido comprometidos y sobre todo algo muy importante con el aporte de las soluciones posibles para intentar solucionar toda la vulnerabilidad. 121 00:13:09,759 --> 00:13:23,360 Vale, pasaríamos ya, una vez que ya hemos visto, como digo, la quinta y última fase del pentesting, pues un poquito a comentar lo que sería la relevancia en el contexto, en un contexto laboral real. 122 00:13:23,980 --> 00:13:38,480 Pues sobre todo es decir que la relevancia práctica sería proporcionar, por ejemplo, información relevante tanto para profesionales de la ciberseguridad, perdón, como para cualquier tipo de empresa interesada en la seguridad de su red, que hoy en día prácticamente, pues yo creo que son prácticamente todas. 123 00:13:38,480 --> 00:13:57,200 Y igualmente también tendríamos que ver el tema de concienciar de la necesidad de fortalecer cualquier sistema informático y fomentar una cultura de responsabilidad en la práctica profesional, sobre todo para la gente que trabaja a diario prácticamente con equipos y con sistemas informáticos. 124 00:13:57,200 --> 00:14:18,659 A modo de conclusiones, un poquito antes de llegar al final, pues podría destacar sobre todo la importancia de la inversión en ciberseguridad, la necesidad de formación ética y tecnológica, tanto para la gente que trabaja, para los empleados que trabajan en una oficina como para los responsables de la misma. 125 00:14:18,659 --> 00:14:21,159 la importancia de las actualizaciones 126 00:14:21,159 --> 00:14:23,360 de todo el elemento que conforman los sistemas de redes 127 00:14:23,360 --> 00:14:25,200 y como digo, sobre todo 128 00:14:25,200 --> 00:14:27,340 también la responsabilidad ética del individuo 129 00:14:27,340 --> 00:14:28,080 es fundamental 130 00:14:28,080 --> 00:14:30,960 puede desequilibrar la balanza entre 131 00:14:30,960 --> 00:14:32,620 hacer el bien o hacer el mal 132 00:14:32,620 --> 00:14:35,480 y hablando de hacer el bien o hacer el mal 133 00:14:35,480 --> 00:14:37,259 pues simplemente como pueden 134 00:14:37,259 --> 00:14:39,200 ver tranquilamente también en la 135 00:14:39,200 --> 00:14:41,320 página 3940 del proyecto 136 00:14:41,320 --> 00:14:42,879 destacar 137 00:14:42,879 --> 00:14:45,100 alguna diferencia 138 00:14:45,100 --> 00:14:46,039 de lo que sería 139 00:14:46,039 --> 00:14:53,039 en el objetivo de un hacker malicioso un hacker ético que creo que son interesantes como como 140 00:14:53,039 --> 00:14:57,860 pueden ser bueno pues mientras que por ejemplo el hacker malicioso tiene como objetivo el robo 141 00:14:57,860 --> 00:15:05,539 de información o dañar la reputación de de la empresa al individuo en concreto o incluso la 142 00:15:05,539 --> 00:15:11,379 interrupción de servicio el hacker ético precisamente quiere impedir lo que acaba 143 00:15:11,379 --> 00:15:13,299 malicioso, pues bueno, 144 00:15:14,100 --> 00:15:15,879 prevenir robo de información, 145 00:15:16,080 --> 00:15:17,659 proteger la reputación de la empresa 146 00:15:17,659 --> 00:15:18,980 o dar soluciones 147 00:15:18,980 --> 00:15:21,759 a esas interrupciones de los servicios. 148 00:15:22,159 --> 00:15:23,740 Y la finalidad económica, pues bueno, igual. 149 00:15:23,879 --> 00:15:25,480 Mientras que el malicioso pretende extorsionar, 150 00:15:25,740 --> 00:15:27,580 el ético pretende proteger contra 151 00:15:27,580 --> 00:15:29,960 las extorsiones. Y lo viro igualmente. 152 00:15:31,279 --> 00:15:31,799 Por último, 153 00:15:31,799 --> 00:15:33,220 simplemente me gustaría 154 00:15:33,220 --> 00:15:35,039 plantear algunas reflexiones 155 00:15:35,039 --> 00:15:36,659 muy rápidamente 156 00:15:36,659 --> 00:15:39,759 para que nos quedemos pensando un poquito acerca del 157 00:15:39,759 --> 00:15:44,000 tema y veamos la importancia, como puede ser, bueno, pues preguntarnos qué papel puede tener 158 00:15:44,000 --> 00:15:48,259 la inteligencia artificial en el mundo de la ciberseguridad en un futuro cercano, algo que 159 00:15:48,259 --> 00:15:53,379 está hoy en día muy de moda, hasta qué punto están las empresas preparadas para resistir a los 160 00:15:53,379 --> 00:15:58,480 crecientes ataques cibernéticos que vemos en la noticia a diario prácticamente, o nos podemos 161 00:15:58,480 --> 00:16:04,259 preguntar si tenemos la formación informática y tecnológica suficiente hoy día en 2024, como digo, 162 00:16:04,779 --> 00:16:09,740 al acabar nuestro estudio obligatorio para afrontar los problemas cibernéticos que nos van a inundar 163 00:16:09,740 --> 00:16:14,899 que no inunda y que no inundará estamos preparados realmente para lo que se nos viene encima bueno 164 00:16:14,899 --> 00:16:22,120 pues creo que no deberíamos de ir preparando y con esto acabó la presentación del y simplemente 165 00:16:22,120 --> 00:16:29,019 dar las gracias muchas gracias por tu presentación de hecho además que se ha ajustado bastante bien 166 00:16:29,019 --> 00:16:35,700 solamente nosotros son unos muy poquitos segunditos por mi parte comentar que me ha 167 00:16:35,700 --> 00:16:40,860 gusta bastante el proyecto sobre todo la idea si me habría gustado si hubiéramos tenido un poquito 168 00:16:40,860 --> 00:16:45,399 más de tiempo desde el principio para haber podido ver más cosas en detalle pero bueno 169 00:16:45,399 --> 00:16:52,740 que el proyecto me gusta bastante más levantar quería preguntarte qué parte del proyecto es la 170 00:16:52,740 --> 00:16:59,580 que más te ha costado implementar o llevar a cabo bueno pues mira si te soy sincero de hecho creo 171 00:16:59,580 --> 00:17:05,000 que en el primer primer anteproyecto no sé si fuera en el anteproyecto no porque todavía no 172 00:17:05,000 --> 00:17:11,180 había no había profundizado mucho pero creo que fue la segunda entrega tenía pensado hacerlo porque 173 00:17:11,180 --> 00:17:16,299 yo como te comenté trabajo actualmente desde que finalice las prácticas trabajo en una empresa de 174 00:17:16,299 --> 00:17:23,480 mantenimiento sobre todo y bueno asistencia técnica de aquí de parla que al lado y bueno 175 00:17:23,480 --> 00:17:29,299 lo que vemos prácticamente a diario son todos sistemas operativos de windows bien windows 7 176 00:17:29,299 --> 00:17:34,779 que ya quedan bastantes pocos y sobre todo windows 10 windows 11 y claro yo quería hacerlo en 177 00:17:34,779 --> 00:17:38,160 en principio, con una herramienta que se ajustase 178 00:17:38,160 --> 00:17:41,059 a este sistema operativo, o bien a Windows 10 o a Windows 11, 179 00:17:41,160 --> 00:17:44,799 pero es que empecé a intentar descargar y a instalar 180 00:17:44,799 --> 00:17:47,099 la herramienta, la misma, Metaspray Framework, 181 00:17:47,519 --> 00:17:50,440 y me fue prácticamente imposible instalarlo, vamos, no, 182 00:17:50,480 --> 00:17:52,559 que me fue imposible instalarlo en Windows 10 183 00:17:52,559 --> 00:17:53,740 sin que me diera ningún problema, 184 00:17:54,240 --> 00:17:56,799 porque o bien al realizar la instalación 185 00:17:56,799 --> 00:17:58,339 o luego al ponerla en funcionamiento, 186 00:17:58,839 --> 00:18:01,759 no sé, por algún motivo, supongo que de compatibilidad, 187 00:18:01,759 --> 00:18:04,640 aunque en algún caso he visto que 188 00:18:04,640 --> 00:18:06,599 ha llegado a funcionar, pero es que me fue 189 00:18:06,599 --> 00:18:07,980 prácticamente imposible, me tiré 190 00:18:07,980 --> 00:18:10,460 prácticamente una semana intentando 191 00:18:10,460 --> 00:18:12,940 instalar la herramienta 192 00:18:12,940 --> 00:18:14,339 en Windows 10, entonces 193 00:18:14,339 --> 00:18:16,500 al final sobre todo, ya te digo 194 00:18:16,500 --> 00:18:18,539 lo que me ha costado más ha sido poner 195 00:18:18,539 --> 00:18:19,180 en funcionamiento 196 00:18:19,180 --> 00:18:22,359 que luego cuando estuve investigando 197 00:18:22,359 --> 00:18:24,319 fíjate que curioso 198 00:18:24,319 --> 00:18:26,079 que estuve investigando y precisamente 199 00:18:26,079 --> 00:18:28,000 en Calitinux, que es donde finalmente 200 00:18:28,000 --> 00:18:29,859 lo he llevado a cabo 201 00:18:29,859 --> 00:18:32,079 la lleva ya integrada de serie 202 00:18:32,079 --> 00:18:34,200 o sea, claro, quizás el miedo 203 00:18:34,200 --> 00:18:36,000 en principio a 204 00:18:36,000 --> 00:18:37,940 volver a Linux, pues 205 00:18:37,940 --> 00:18:39,980 me dio precisamente más 206 00:18:39,980 --> 00:18:41,299 calentamiento de cabeza que 207 00:18:41,299 --> 00:18:43,279 ayuda, porque 208 00:18:43,279 --> 00:18:46,099 luego finalmente, como digo, he tenido 209 00:18:46,099 --> 00:18:48,279 que hacerlo en Kali Nino y la verdad es que 210 00:18:48,279 --> 00:18:49,980 en la máquina Kali ha sido 211 00:18:49,980 --> 00:18:51,859 muy sencillo, porque como digo, estaba 212 00:18:51,859 --> 00:18:54,079 la herramienta ya bien integrada de serie 213 00:18:54,079 --> 00:18:56,119 y pues 214 00:18:56,119 --> 00:18:57,799 mira, simplemente fue instalar 215 00:18:57,799 --> 00:18:59,700 bueno, tuve que instalar Xaddition 216 00:18:59,700 --> 00:19:07,559 y tal para que todo tuviera actualice el sistema y todo pero fue muchísimo muchísimo más fácil sin 217 00:19:07,559 --> 00:19:11,880 embargo perdí casi una semana pues con el tema de carrera y hacerlo en el sistema operativo windows 218 00:19:11,880 --> 00:19:17,579 bueno estas cosas pasan con los sistemas operativos todas las herramientas que utilizas son de código 219 00:19:17,579 --> 00:19:23,599 abierto visto que la mayoría si lo indicas con código abierto pero no ponen todas son todas de 220 00:19:23,599 --> 00:19:30,440 código abierto no sí sí sí vamos de hecho bueno utilizar utilizada realmente porque lo he puesto 221 00:19:30,440 --> 00:19:37,220 en anexo la web y nexus bueno en map lógicamente de código abierto porque viene integrado también 222 00:19:37,220 --> 00:19:43,059 en prácticamente todas las todos los sistemas operativos de linux y wise a que es también de 223 00:19:43,059 --> 00:19:51,380 código abierto que sobre todo lo que lo que ayuda a hacer el escaneo de las redes del tráfico de la 224 00:19:51,380 --> 00:19:58,099 red y luego está en esos que prácticamente es lo mismo lo único que hace como una clasificación de 225 00:19:58,099 --> 00:20:03,859 la vulnerabilidad es que encuentra también en la hora de hacer el testing digamos en la 226 00:20:03,859 --> 00:20:09,440 máquina objetivo pero todas todas son de código abierto luego está el virtual box que lo han 227 00:20:09,440 --> 00:20:13,980 utilizado también en muchas muchas de las prácticas que hemos llevado a cabo a lo largo del ciclo y 228 00:20:13,980 --> 00:20:27,339 también la verdad que si yo ahora ahora estoy viendo en el trabajo de hiper uve y bueno y 229 00:20:27,339 --> 00:20:33,960 estamos acostumbrados a virtual box y la verdad que bueno cuesta cuesta un poquito pero yo creo 230 00:20:33,960 --> 00:20:38,980 que la más intuitiva efectivamente como acaba al final sobre todo para propósitos educativos 231 00:20:38,980 --> 00:20:41,079 me parece la mejor que hay. 232 00:20:41,279 --> 00:20:42,920 Eso, sí, luego a lo mejor para trabajo 233 00:20:42,920 --> 00:20:44,880 si necesitas... Para cosas muy concretas ya tienes 234 00:20:44,880 --> 00:20:46,380 mejores herramientas, pero yo creo que para 235 00:20:46,380 --> 00:20:49,200 iniciarte en el tema de la virtualización 236 00:20:49,200 --> 00:20:51,200 y ser educativo, eso es la mejor herramienta. 237 00:20:51,640 --> 00:20:52,720 Exactamente, exacto, exacto. 238 00:20:52,839 --> 00:20:54,759 ¿Y los llega a probar en ambiente laboral o solamente 239 00:20:54,759 --> 00:20:56,660 los proba en local? No, no, mira, 240 00:20:56,799 --> 00:20:58,380 de hecho, creo que fue 241 00:20:58,380 --> 00:21:01,039 justo antes de este último 242 00:21:01,039 --> 00:21:02,960 puente, que se fue, bueno, se fue mi jefe 243 00:21:02,960 --> 00:21:04,960 de puente, yo no tuve puente 244 00:21:04,960 --> 00:21:06,319 porque tuve que ir a viernes, pero bueno, 245 00:21:06,940 --> 00:21:08,799 justo me decía, pues, porque le 246 00:21:08,799 --> 00:21:18,859 Le comentaba que tenía este lunes la presentación del proyecto y tal y me preguntó, pues mira, es una herramienta de prueba de penetración, de testing de ciberseguridad. 247 00:21:19,119 --> 00:21:32,180 Dice, pues mira, si ves que funciona y crees que es conveniente que se lo podamos ofrecer incluso a los clientes y probamos a ver si responde y funciona. 248 00:21:32,180 --> 00:22:01,079 Y yo, pues, déjame un tiempo porque la verdad es que he visto que, bueno, para llegar a manejar la herramienta, vamos a poner a un nivel considerable que hace falta mucho más de tres meses o cuatro. Entonces, claro, a mí la cosa me gusta, si me pongo, me gusta hacerla bien. Una vez que ya yo domine, digamos que me gustaría incluso profundizar en la herramienta porque, lógicamente, la herramienta tiene muchísimo más potencial del que aquí hemos podido ver en un proyecto de tres o cuatro meses. 249 00:22:01,079 --> 00:22:15,900 Entonces, me gustaría seguir profundizando realmente y una vez que profundice, pues quién sabe, se podría llevar a cabo. Como te digo, incluso mi jefe actual de hace tres meses es que me lo comentó él mismo. Entonces, mira, me viene la pregunta casi al pelo. 250 00:22:16,700 --> 00:22:26,609 Si puedes, estaría muy bien, porque hay un trabajo y lo bien que se ha hecho y tal, y si ya le puedes dar fines comerciales, pues oye... 251 00:22:26,609 --> 00:22:41,930 Sí, sí, sí, él me dijo, sobre todo si te lleva algo, te lo llevas tú, que yo no quiero, digo, mira, un detalle, o sea, que no te extrañe que profundices y en unos meses te escriba un email o un mensaje o algo y te diga, mira, Francisco, ¿te acuerdas? Pues mira, ya lo estoy poniendo en práctica. 252 00:22:42,250 --> 00:22:44,549 Pues mira, si lo puedes poner, pues... 253 00:22:44,549 --> 00:22:48,960 Sí, sí, sí, te lo diré, te aseguro. 254 00:22:48,960 --> 00:22:54,480 Por mi parte, nada más, así que ahora ya de tipo la grabación.