ETHICAL HACKING

Qu es el Ethical Hacking?
Las computadoras en todo el mundo son susceptibles de ser atacadas por
crackers o hackers capaces de comprometer los sistemas informticos y
robar informacin valiosa, o bien borrar una gran parte de ella. Esta
situacin hace imprescindible conocer si estos sistemas y redes de datos
estn protegidos de cualquier tipo de intrusiones.
Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es
explotar las vulnerabilidades existentes en el sistema de "inters"
valindose de test de intrusin, que verifican y evalan la seguridad fsica y
lgica de los sistemas de informacin, redes de computadoras, aplicaciones
web, bases de datos, servidores, etc. Con la intencin de ganar acceso y
"demostrar" que un sistema es vulnerable, esta informacin es de gran
ayuda a las organizaciones al momento de tomar las medidas preventivas
en contra de posibles ataques malintencionados.
Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de
posibles escenarios donde se reproducen ataques de manera controlada, as
como actividades propias de los delincuentes cibernticos, esta forma de
actuar tiene su justificacin en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
Para garantizar la seguridad informtica se requiere de un conjunto de
sistemas, mtodos y herramientas destinados a proteger la informacin, es
aqu donde entran los servicios del Ethical Hacking , la cual es una disciplina
de la seguridad informtica que echa mano de una gran variedad de
mtodos para realizar sus pruebas, estos mtodos incluyen tcticas de
ingeniera social, uso de herramientas de hacking , uso de Metasploits que
explotan vulnerabilidades conocidas, en fin son vlidas todas las tcticas
que conlleven a vulnerar la seguridad y entrar a las reas crticas de las
organizaciones.

Quines son los Ethical Hackers?

Los hackers ticos tambin conocidos como Pen-Tester, como su nombre lo

dice, realizan "Pruebas de Penetracin". Un hacker tico es un experto en
computadoras y redes de datos, su funcin es atacar los sistemas de
seguridad en nombre de sus dueos, con la intencin de buscar y encontrar
vulnerabilidades que un hacker malicioso podra explotar. Para probar los
sistemas de seguridad, los Ethical Hackers (hackers ticos) utilizan los
mismos mtodos que sus homlogos, pero se limitan nicamente a
reportarlos en lugar de sacar ventaja de ellos.

El Ethical Hacking tambin es conocido como penetration testing (pruebas

de penetracin) o intrusin testing (pruebas de intrusin). Los individuos
que realizan estas actividades a veces son denominados "hackers de
sombrero blanco", este trmino proviene de las antiguas pelculas del Oeste,
en donde el "bueno" siempre llevaba un sombrero blanco y el "malo" un
sombrero negro.

Por qu hacer un Ethical Hacking?

A travs del Ethical Hacking (es posible detectar el nivel de seguridad
interno y externo de los sistemas de informacin de una organizacin, esto
se logra determinando el grado de acceso que tendra un atacante con
intenciones maliciosas a los sistemas informticos con informacin crtica.
Las pruebas de penetracin son un paso previo a los anlisis de fallas de
seguridad o riesgos para una organizacin. La diferencia con un anlisis de
vulnerabilidades, es que las pruebas de penetracin se enfocan en
comprobar y clasificar vulnerabilidades y no tanto en el impacto que stas
tengan sobre la organizacin.
Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser
vistas y explotadas por individuos no autorizados y ajenos a la informacin
como: crackers, hackers, ladrones, ex-empleados, empleados actuales
disgustados, competidores, etc. Las pruebas de penetracin, estn
totalmente relacionadas con el tipo de informacin que cada organizacin
maneja, por tanto segn la informacin que se desee proteger, se determina
la estructura y las herramientas de seguridad pero nunca a la inversa. Estas
pruebas de penetracin permiten:

Evaluar vulnerabilidades a travs de la identificacin de debilidades

provocadas por una mala configuracin de las aplicaciones.
Analizar y categorizar las debilidades explotables, con base al
impacto potencial y la posibilidad de que la amenaza se convierta en
realidad.
Proveer recomendaciones en base a las prioridades de la organizacin
para mitigar y eliminar las vulnerabilidades y as reducir el riesgo de
ocurrencia de un evento desfavorable.
La realizacin de las pruebas de penetracin est basada en las
siguientes fases

Tipos

de Ethical
Hacking

Las pruebas de penetracin se enfocan principalmente en las siguientes

perspectivas:

Pruebas de penetracin con objetivo: se buscan las vulnerabilidades

en partes especficas de los sistemas informticos crticos de la
organizacin.

Pruebas de penetracin sin objetivo: consisten en examinar la

totalidad de los componentes de los sistemas informticos
pertenecientes a la organizacin. Este tipo de pruebas suelen ser las
ms laboriosas.

Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la

informacin pblica disponible sobre la organizacin.

Pruebas de penetracin informadas: aqu se utiliza la informacin

privada, otorgada por la organizacin acerca de sus sistemas
informticos. En este tipo de pruebas se trata de simular ataque
realizados por individuos internos de la organizacin que tienen
determinado acceso a informacin privilegiada.

Pruebas de penetracin externas: son realizas desde lugares externos

a las instalaciones de la organizacin. Su objetivo es evaluar los

mecanismos
organizacin.

perimetrales

de

seguridad

informtica

de

la

Pruebas de penetracin internas: son realizadas dentro de las

instalaciones de la organizacin con el objetivo de evaluar las
polticas y mecanismos internos de seguridad de la organizacin.

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en

dos modalidades dependiendo si el desarrollo de las pruebas es de
conocimiento del personal informtico o no.
Red Teaming: Es una prueba encubierta, es decir que slo un grupo selecto
de ejecutivos sabe de ella. En esta modalidad son vlidas las tcnicas de
"Ingeniera Social" para obtener informacin que permita realizar ataque.
sta obviamente es ms real y evita se realicen cambios de ltima hora que
hagan pensar que hay un mayor nivel de seguridad en la organizacin.
Blue Teaming: El personal de informtica conoce sobre las pruebas. Esta
modalidad se aplica cuando las medidas tomadas por el personal de
seguridad de las organizaciones ante un evento considerado como
incidente, repercuten en la continuidad de las operaciones crticas de la
organizacin, por ello es conveniente alertar al personal para evitar
situaciones de pnico y fallas en la continuidad del negocio.

Cules son los beneficios de un Ethical hacking ?

Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un

documento que contiene a grandes rasgos una lista detallada de las
vulnerabilidades encontradas y verificables. Tambin se provee una lista de
recomendaciones para que sean aplicadas por los responsables de
seguridad en la organizacin. Este documento se compone de un informe
tcnico y uno ejecutivo para que los empleados tcnicos y administrativos
puedan entender y apreciar los riesgos potenciales sobre el negocio.
Los beneficios que las organizaciones adquieren con la realizacin de un
Ethical Hacking son muchos, de manera muy general los ms importantes
son:

Ofrecer un panorama acerca de las vulnerabilidades halladas en los

sistemas de informacin, lo cual es de gran ayuda al momento de
aplicar medidas correctivas.

Deja al descubierto configuraciones no adecuadas en las aplicaciones

instaladas en los sistemas (equipos de cmputo, switches, routers,
firewalls) que pudieran desencadenar problemas de seguridad en las
organizaciones.

Identificar sistemas que son vulnerables a causa de la falta de

actualizaciones.

Disminuir tiempo y esfuerzos requeridos para afrontar situaciones

adversas en la organizacin.

Los beneficios no slo se ven reflejados en la parte tcnica y operacional de

la organizacin, sino en organizaciones o empresas donde sus actividades
repercuten de forma directa en el cliente, los beneficios reflejan una buena
imagen y reputacin corporativa que en ocasiones es ms valiosa que las
mismas prdidas econmicas, por ejemplo los bancos, a quienes les importa
demasiado la imagen que ofrecen al cliente, en consecuencia invierten
mucho dinero en mecanismos de seguridad para minimizar las prdidas
financieras.
Es muy importante tener en cuenta los aspectos legales en la realizacin de
un Ethical hacking, los cuales deben tenerse muy presentes tanto por las
organizaciones que prestan el servicio como por quienes lo contratan.
Estos aspectos abarcan la confidencialidad, es decir que a la informacin
que los "Pen tester" encuentren no se le d un mal manejo o uso ms all
de los fines previstos por las pruebas. Se deben indicar claramente en el
contrato los objetivos especficos de las pruebas de penetracin para evitar
futuros malos entendidos. En lo que respeta a la organizacin que contrata
el servicio, sta debe garantizar que la informacin que se provee al "Pen
Tester" es fidedigna para que los resultados sean congruentes y certeros.
Sin embargo dada la naturaleza de las pruebas de penetracin es limitada la
posibilidad de probar toda la gama de tcnicas y mecanismos que los
crackers o hackers pudieran emplear para vulnerar un sistema informtico y
en ocasiones obtener "falsos positivos", es decir resultados que indiquen
una vulnerabilidad que realmente no es explotable.