Vous êtes sur la page 1sur 6

Descripcin

La seguridad informtica consiste en asegurar que los recursos del sistema


de informacin (material informtico o programas) de una organizacin sean
utilizados de la manera que se decidi y que el acceso a la informacin all
contenida as como su modificacin slo sea posible a las personas que se
encuentren acreditadas y dentro de los lmites de su autorizacin.
En la actualidad dicho concepto debe ser incorporado de manera obligatoria
en el proceso de desarrollo de un software, desde las fases iniciales de su
diseo hasta su puesta en funcionamiento, sin embargo la realidad es otra
y la seguridad es incorporada en una aplicacin como producto de una
reflexin tarda a la fase de diseo inicial del producto. El desarrollador no
slo debe concentrarse nicamente en los usuarios y sus requerimientos,
sino tambin en los eventos que puedan interferir con la integridad del
software y la informacin que ste maneja.
Para garantizar la seguridad informtica se requiere de un conjunto de
sistemas, mtodos y herramientas destinados a proteger la informacin, en
este punto es donde entran a desempear un rol protagnico las empresas
dedicadas a brindar servicios orientados a estos fines, uno de esos
servicios lo constituye precisamente el caso que ocupa este trabajo, los
servicios de ethical hacking, disciplina de la seguridad de redes que se
sustenta en el hecho de que para estar protegido se debe conocer cmo
operan y qu herramientas usan los hackers.
Ethical Hackers son redes de computadoras y expertos que atacan sistemas
informticos en nombre de sus propietarios, con los mismos mtodos que
sus homlogos, en busca de posibles fallas de seguridad con la finalidad de
brindar un informe de todas las vulnerabilidades encontradas que podran
ser aprovechadas por los piratas informticos.
Para tales fines los ethical hackers han desarrollado lo que se conoce
como pruebas de penetracin, (PEN-TEST por sus siglas en ingls).

Anlisis del entorno


Una prueba de penetracin es un paso previo natural a todo anlisis de
fallas de seguridad o riesgo para una organizacin. A diferencia de un
anlisis de vulnerabilidades, una prueba de penetracin se enfoca en la
comprobacin y clasificacin de las mismas; y no en el impacto que estas
tienen sobre la organizacin.
Hoy en da se han desarrollado diversos tipos de tests de intrusin los
cuales menciono a continuacin:
Tests de intrusin con objetivo: se busca las vulnerabilidades en
componentes especficos de los sistemas informticos que son de mayor
importancia para la empresa.

Tests de intrusin sin objetivo: a diferencia de la prueba de penetracin


con objetivo esta prueba examina la totalidad de los componentes en los
sistemas informticos presentes en la empresa.
Tests de intrusin ciega: se utiliza nicamente la informacin pblica
disponible sobre la empresa. Esta prueba de penetracin trata de simular
los ataques de un ente externo a la empresa.
Tests de intrusin informada: se utiliza informacin privada, otorgada por
la empresa, sobre sus sistemas informticos. Esta prueba de penetracin
trata de simular ataques hechos por un ente interno a la empresa y con
cierto grado de informacin privilegiada.
Tests de intrusin externa: se realiza de manera externa a las
instalaciones de la empresa. La motivacin de esta prueba es evaluar los
mecanismos perimetrales de seguridad informtica de la empresa.
Tests de intrusin interna: es realizada dentro de las instalaciones de la
empresa con el motivo de probar las polticas y los mecanismos internos
de seguridad de la empresa.
2.1) Fases del Test:

a)
b)
c)
d)
e)
f)
g)
h)
i)

Recopilacin de informacin
Enumeracin de la red
Exploracin de los sistemas
Extraccin de informacin
Acceso no autorizado a informacin sensible
Auditora de las aplicaciones web
Elaboracin de informes
Comprobacin del proceso de parcheado de los sistemas
Informe final

Conclusiones
El resultado de la violacin de los sistemas y redes informticas en todo el
mundo ha provocado la prdida o modificacin de los datos sensibles a
las organizaciones, representando daos que se traducen en miles o
millones de dlares.

Esta situacin se presenta gracias a los esquemas ineficientes de seguridad


con los que cuentan la mayora de las compaas a nivel mundial, y porque
no existe conocimiento relacionado con la planeacin de un esquema de
seguridad eficiente que proteja los recursos informticos de las actuales
amenazas combinadas.

Podemos afirmar entonces que una alternativa viable, en aras de alcanzar


una seguridad informtica apropiada para cualquier red o sistema (aunque
para la mayora de los expertos el concepto de seguridad en la informtica
es utpico porque no existe un sistema 100% seguro) lo representa, sin
duda alguna, las empresas que se dedican a estos menesteres, jugando un
rol importante en esta tarea los servicios de ethical hacking.

En este trabajo, luego de realizar una introduccin previa al tema, se abord


de manera resumida el enfoque al que estn dirigidos los servicios de
ethical hacking. Se profundiz en los llamados test de intrusin, una de las
principales tcnicas utilizadas por los ethical hacking, abordando los
diferentes tipos que existen, su definicin, la importancia y los beneficios
que pueden aportar. Finalmente se analizaron las principales metodologas
que existen en la actualidad para desarrollar estas tareas, capaces de
garantizar una correcta ejecucin y elevados niveles de calidad. Se
proporcion una breve descripcin de cada una de ellas.

Se considera que este trabajo conduce a una investigacin mucho ms


profunda y abarcadora del tema en cuestin, pero aun as, resulta un
estimulante acercamiento a un servicio de gran importancia capaz de
adaptarse a las necesidades propias de cada cliente.

Recomendaciones
A pesar de que las empresas contraten a personal para realizar estas
tareas, no podemos dejar de lado algunas recomendaciones bsicas

Actualice regularmente su sistema operativo y el software instalado


en su equipo, poniendo especial atencin a las actualizaciones de su
navegador web. Estar al da con las actualizaciones, as como aplicar los
parches de seguridad recomendados por los fabricantes, le ayudar a
prevenir la posible intrusin de hackers y la aparicin de nuevos virus.

Instale un Antivirus y actualcelo con frecuencia. Analice con su


antivirus todos los dispositivos de almacenamiento de datos que utilice y
todos los archivos nuevos, especialmente aquellos archivos
descargados de internet.

Instale un Firewall o Cortafuegos con el fin de restringir accesos no


autorizados de Internet.

Utilice contraseas seguras, es decir, aquellas compuestas por ocho


caracteres, como mnimo, y que combinen letras, nmeros y smbolos.
Es conveniente adems, que modifique sus contraseas con frecuencia.
En especial, le recomendamos que cambie la clave de su cuenta de
correo si accede con frecuencia desde equipos pblicos.

Navegue por pginas web seguras y de confianza. Para


diferenciarlas identifique si dichas pginas tienen algn sello o
certificado que garanticen su calidad y fiabilidad. Extreme la precaucin
si va a realizar compras online o va a facilitar informacin confidencial a
travs de internet

Ponga especial atencin en el tratamiento de su correo electrnico,


ya que es una de las herramientas ms utilizadas para llevar a cabo
estafas, introducir virus, etc.

No abra mensajes de correo de remitentes desconocidos.

Desconfe de aquellos e-mails en los que entidades bancarias,


compaas de subastas o sitios de venta online, le solicitan contraseas,
informacin confidencial, etc.

No propague aquellos mensajes de correo con contenido dudoso y que


le piden ser reenviados a todos sus contactos. Este tipo de mensajes,
conocidos como hoaxes, pretenden avisar de la aparicin de nuevos
virus, transmitir leyendas urbanas o mensajes solidarios,
difundir noticias impactantes, etc.

En general, es fundamental estar al da de la aparicin de nuevas


tcnicas que amenazan la seguridad de su equipo informtico, para
tratar de evitarlas o de aplicar la solucin ms efectiva posible.

Referencias
http://www.taringa.net/posts/downloads/1278555/Career-Academy-CertifiedEthical-Hacker-CBT.html
http://jorgesaavedra.wordpress.com/category/ethical-hacking/
http://siscot.com.ar/Curso-de-ETHICAL-HACKING-CICLO-2009-ABIERTALA-INSCRIPCION.html
http://www.snsecurity.com/index.php?
option=com_content&task=view&id=60&Itemid=89
http://www.owasp.org/index.php/Main_Page
http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf
http://www.pcworld.com.ve/n111/articulos/informe2.html
http://www.securityfocus.com/archive/128/425004/30/270/threaded
http://www.seinhe.com/servicios/test-de-intrusion/
http://www.shellsec.net/articulo/que-software-seguridad-usas/

Vous aimerez peut-être aussi