Hoy, continuaremos con nuestras entradas relacionadas con el tema de la Seguridad Informática (Ciberseguridad, Privacidad y Anonimato) y para ellos nos centraremos en OWASP y OSINT.
Mientras que, OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro, OSINT es un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos.
Antes de entrar de lleno en el tema sobre OWASP y OSINT, como ya es costumbre, les recomendamos luego de leer esta publicación, explorar el contenido de otras de nuestras anteriores publicaciones relacionadas con el tema de la Seguridad Informática.
… es bueno precisar que no se debe confundir el concepto relacionado de la Seguridad de la Información con el de la Seguridad Informática, ya que, mientras la primera se refiere a la protección y resguardo de la información integral de un Sujeto (Persona, Empresa, Institución, Organismo, Sociedad, Gobierno), la segunda solo se centra en salvaguardar los datos dentro de un sistema informático como tal. Seguridad de la Información: Historia, Terminología y Campo de acción
Articulos relacionados:
Seguridad de la Información: Historia, Terminología y Campo de acción
Ciberseguridad, Software Libre y GNU/Linux: La tríada perfecta
NoGAFAM: Un interesante sitio web y movimiento pro Software Libre
Dilema de las Redes Sociales: ¿También en los Sistemas Operativos?
OWASP y OSINT: Organizaciones, Proyectos y Herramientas
¿Qué es OWASP?
Según el sitio web oficial de OWASP es:
“Un Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) que esta a cargo de una fundación sin ánimo de lucro, del mismo nombre, que trabaja para mejorar la seguridad del software. Y cuya estructura incluye el desarrollo de proyectos de software de código abierto dirigidos por la comunidad. Dicha Fundación, actualmente posee más de 200 secciones locales en todo el mundo, decenas de miles de miembros y realiza conferencias educativas y de formación líderes en el sector.”
Por ende, queda claro que el objetivo de la Fundación OWASP es:
“Ser una comunidad abierta dedicada a permitir que las organizaciones conciban, desarrollen, adquieran, operen y mantengan aplicaciones en las que se pueda confiar. Y para ellos, todos sus proyectos, herramientas, documentos, foros y capítulos creados son gratuitos y están abiertos a cualquier persona interesada en mejorar la seguridad de las aplicaciones.”
Proyectos OWASP
Todos los Proyectos y Herramientas de Software elaborados por OWASP pueden visualizarse en su Sección de Proyectos, y también en su sitio web oficial en GitHub. Y entre los más conocidos podemos citar los siguientes:
- OWASP Top 10: Proyecto que consta de un documento de concienciación estándar para los desarrolladores y la seguridad de las aplicaciones web. Y que representa un amplio consenso sobre los riesgos de seguridad más críticos para las mismas.
- Web Security Testing Guide (WSTG): Proyecto que consta de una Guía de Pruebas de Seguridad Web que produce el principal recurso de pruebas de ciberseguridad para desarrolladores de aplicaciones web y profesionales de la seguridad. Por ende, es una excelente y muy completa guía para probar la seguridad de las aplicaciones y los servicios web, ya que, proporciona un marco de mejores prácticas utilizadas por los probadores de penetración y organizaciones de todo el mundo. También hay una para aplicaciones móviles.
¿Qué es OSINT?
Dado que OSINT es, como expresamos al inicio: «un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos»; la misma no posee un sitio web oficial. Sin embargo, hay varios sitios webs que aportan mucha información y herramientas OSINT útiles. Las cuales pueden usarse tanto para investigar y atacar a un sujeto objetivo, o para que cualquiera tome las medidas necesarias para prevenir dichos ataques.
Es importante aclarar sobre OSINT lo siguiente:
“El término «código abierto» dentro de OSINT no se refiere al movimiento del software de Código Abierto, aunque muchas herramientas OSINT son de Código Abierto; sino que describe la naturaleza pública de los datos que se analizan.”
¿Qué es OSINT Framework?
Entre los sitios webs relacionados con OSINT podemos mencionar a OSINT Framework. El mismo puede ser descrito como:
Un repositorio en línea que incluye una gran cantidad de herramientas (aplicaciones, servicios webs) para llevar a cabo búsquedas en fuentes de información abierta. El mismo funciona como un archivo que almacena almacena y clasifica dichas herramientas para que sean utilizadas en investigaciones OSINT. Estas herramientas son además, un conjunto de librerías del tipo GPLv3 (código libre y abierto), que permite recopilar todo tipo de datos (información) para las investigaciones necesarias. Especificamente, dichas herramientas pueden descubrir y recopilar datos, tales como, Nombres de usuarios, Direcciones de correo electrónico, Direcciones IP, Recursos multimedia, Perfiles en redes sociales, Geolocalización, entre muchos otros.
Para aquellos, interesados en querer saber más sobre OSINT pueden visitar su sitio web oficial en GitHub o el siguiente enlace.
Fuente: desdelinux
