Académique Documents
Professionnel Documents
Culture Documents
mx)
Inicio > Hacking tico: mitos y realidades
reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo de otro, se introdujeron los trminos
crackers y hackers ticos. Los primeros identifican a aqullos que realizan tcnicas de intrusin con fines
maliciosos y lucrativos; mientras que los segundos se refieren a quienes lo hacen con fines ticos y por el bien
de la organizacin que lo solicite.
Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero blanco o White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad de explotar
vulnerabilidades en los sistemas con la finalidad de demostrarse que lo pudieron hacer burlando la seguridad del
mismo. Ejemplo de ello lo tenemos en el caso acontecido en febrero del 2008, cuando la pgina web oficial de
la Presidencia de la Repblica fue afectada por un atacante que se haca llamar H4t3 M3; logr dejar como
recordatorio una imagen de lo ms elocuente gracias a que esa pgina web tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana [6], en dnde el joven
hacker advirti que poda modificar desde la agenda presidencial hasta las noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como hackers ticos, pentesters
y expertos en seguridad; tienen la finalidad de realizar pruebas de intrusin en organizaciones que as lo pidan,
para posteriormente rendirles un informe, en el que se detallan todos aquellos puntos vulnerables encontrados
para que, posteriormente, la empresa los mitigue a la brevedad posible.
A continuacin, se describe dicha clasificacin en la siguiente ilustracin:
Cuando en 1997, la cultura de la seguridad informtica comenz a tomar fuerza, se pens que los hackers ticos
podan ofrecer sus servicios a las empresas para ayudarlas a ser menos vulnerables, y en 2001 arrancaron en
forma este tipo de asesoras.
Convencer a las compaas de contratar un hacker, por mucho que se llame tico, y conseguir el permiso para
que ingrese y juegue con sus sistemas no ha sido fcil. No puedes llegar y simplemente decir te ofrezco un
hackeo tico, debes explicar muy bien qu es esto y cules son los objetivos, comenta Luis Alberto Corts,
consultor en seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a ser conocidos y buscan sus
servicios. Por otra parte, grandes empresas de seguridad, como Ernest & Young o PriceWaterhouse, han
empezado a ofrecer servicios de hackeo tico, lo cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de honor y contratos
especiales, que se firman entre los hackers ticos y las compaas usuarias, para mayor proteccin de estas
ltimas. En dicho contrato, se conviene que la empresa da permiso para realizar la intrusin, marca un lapso de
duracin, dispone las fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte, donde
se enumeran las vulnerabilidades y fallas encontradas, as como las recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se estipula que toda informacin
encontrada a raz de las pruebas de penetracin, no podr ser divulgada por el hacker a otra entidad que no sea
la compaa que contrat sus servicios, ni tampoco podr quedarse con una copia del reporte final generado para
la empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir con ello, se hara acreedor a
una demanda.
Qu evala un hacker tico?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a las empresas son las
pruebas de penetracin, con la intencin de analizar si la compaa est preparada para soportar un ataque
sofisticado perpetrado desde fuera, es decir por un hacker externo o por un atacante interno con conexin a la
red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto la red interna, como
Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso, adems se hacen pruebas de
contraseas. Al mismo tiempo, se analiza la red inalmbrica, de sta se revisa la configuracin, se hace sniffing
[1] [7] de trfico y contraseas, intentando penetrar y romper el cifrado.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se hace ingeniera social, es
decir se trabaja con el personal o con los asociados de la empresa para ver si se dejaran engaar para
proporcionar contraseas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca emular si un empleado de
bajos privilegios podra tener acceso a los estados financieros o a la nmina de la compaa. Se consideran
adems los valores de los activos, la criticidad de la vulnerabilidad y la probabilidad del ataque, su impacto, la
forma de corregirlo y el esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de negocio del cliente, las pruebas
siguen una metodologa y manejan estndares, como el Manual de la Metodologa Abierta de Comprobacin d
e la Seguridad (OSSTMM, por sus siglas en ingls) o el Proyecto Abierto de Seguridad de Aplicaciones Web
(OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM[2] [8], las secciones a las cuales se aplican el hacking
tico son las siguientes:
Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM
EM Electromagnetic. Esto incluye ELSEC como comunicaciones electrnicas, SIGSEC como seales, y
EMSEC que son emanaciones sin ataduras por los cables. Los mdulos de verificacin requeridos en el hacking
tico para dicho rubro son:
Verificacin de radiacin electromagntica (EMR)
Verificacin de redes inalmbricas 802.11, Verificacin de redes bluetooth
Verificacin de dispositivos de entrada inalmbricos
Verificacin de dispositivos mviles inalmbricos
Verificacin de comunicaciones sin cable
Verificacin de dispositivos de vigilancia inalmbricos
Verificacin de dispositivos de transaccin inalmbricos
Verificacin de RFID y
Verificacin de sistemas Infrarrojos.
d. Seguridad en las tecnologas de Internet
Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, tales pruebas son esencialmente el
"arte" de comprobar una aplicacin en ejecucin remota o local, sin saber el funcionamiento interno de la
aplicacin, para encontrar vulnerabilidades de seguridad[3] [9]. Los mdulos de verificacin requeridos en el
hacking tico para dicho rubro son:
Logstica de Controles,
Sondeo de Red,
Identificacin de los servicios de sistemas,
Bsqueda de informacin competitiva,
Revisin de privacidad,
Obtencin de Documentos,
Bsqueda y verificacin de vulnerabilidades,
Testeo de aplicaciones de internet,
Enrutamiento,
Testeo de sistemas confiados,
Testeo de control de acceso,
Testeo de Sistema de Deteccin de Intruso IDS,
Testeo de Medidas de Contingencia,
Descifrado de contraseas,
Testeo de Negacin de servicios y
Evaluacin de polticas de Seguridad.
e. Seguridad del resguardo de informacin
Aborda los medios empleados para el almacenamiento adecuado de la informacin, va ligado con los controles
empleados para su seguridad.
f. Seguridad de los proceso
Representa un mtodo para lograr acceso privilegiado a una organizacin y sus activos mediante la ayuda
involuntaria del personal de la organizacin, en especial con la ayuda de aquellos que resguardan los puntos de
accesos principales. Esto se hace por medios de comunicacin tales como el telfono, e-mail, chat, tablones de
anuncios, etctera, y se realiza de una manera fraudulenta con la finalidad de obtener una posicin "privilegiada
En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de la ingeniera social, la cual
es una tcnica especializada o emprica del uso de acciones estudiadas o habilidosas que permiten manipular a
las personas para que voluntariamente realicen actos que normalmente no haran[4] [10].
En conclusin, el hacking tico es una tcnica aplicada a distintos escenarios, por lo que es importante hacerlo
del conocimiento de la gente en beneficio de las organizaciones; as la relacin entre deteccin y explotacin de
vulnerabilidades existentes podr controlarse de la mejor manera posible.
Referencias:
Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005). Madrid: Anaya Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico: Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de proteccin (2006).
Mxico: Limusa.
Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995). Mxico D.F: Ventura.
E-WORLD: Arm yourself against black hats, Anonymous. Businessline. Chennai: Jul 12, 2010.
DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating Avoidable
Exposure, Ronald I Raether Jr. Business Law Today. Chicago: Sep/Oct 2008. Tomo 18, No. 1; Pg. 55
Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006. Pg. 8 (1 pgina)
Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today. Medford: Sep 2005. Tomo
22, No. 8; Pg. 1 (2 pginas)
IT takes a thief: Ethical hackers test your defenses Bill Coffin. Risk Management. New York: Jul 2003.
Tomo 50, No. 7; Pg. 10).
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed. John Wiley
& Sons Australia, USA, 2002, 577 pp.
[1] [11] Sniffing: Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto
que en principio es propio de una red interna o Intranet, tambin se puede dar en Internet.
[2] [12] HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de Seguridad. ISECOM
Institute for Security and Open Methodologies.
[3] [13] 6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
[4] [14] MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed. John
Wiley & Sons Australia, USA, 2002, 577 pp.
Anaid Guevara Soriano [15]
numero-12
tica
hacker
hacking
pentest
Universidad Nacional Autnoma de Mxico
Universidad Nacional Autnoma de Mxico
Directorio
Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin
Direccin General de Cmputo y de
Tecnologas de Informacin y Comunicacin
SSI / UNAMCERT
SSI / UNAMCERT
[ CONTACTO ]
Se prohbe la reproduccin total o parcial
de los artculos sin la autorizacin por escrito de los autores
Enlaces:
[1] http://revista.seguridad.unam.mx/category/revistas/numero-12-0
[2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/%C3%A9tica
[3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacker
[4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacking
[5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/pentest
[6] http://www.hackeruna.com/
[7]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[8]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[9]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[10]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[11]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[12]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[13]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[14]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[15] http://revista.seguridad.unam.mx/autores/anaid-guevara-soriano