Ethical Hacking

Qu es el Ethical Hacking?
Quines son los Ethical Hackers?
Por qu hacer un Ethical Hacking?
Tipos de Ethical Hacking
Cules son los beneficios de un Ethical hacking ?
Estndares
Referencias
Revisin histrica
Ethical Hacking
Por Alejandro Reyes Plata
Qu es el Ethical Hacking?
Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces de
comprometer los sistemas informticos y robar informacin valiosa, o bien borrar una gran parte de ella. Esta
situacin hace imprescindible conocer si estos sistemas y redes de datos estn protegidos de cualquier tipo de
intrusiones.
Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es explotar las vulnerabilidades
existentes en el sistema de "inters" valindose de test de intrusin, que verifican y evalan la seguridad fsica
y lgica de los sistemas de informacin, redes de computadoras, aplicaciones web, bases de datos, servidores,
etc. Con la intencin de ganar acceso y "demostrar" que un sistema es vulnerable, esta informacin es de gran
ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques
malintencionados.
Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de posibles escenarios donde se
reproducen ataques de manera controlada, as como actividades propias de los delincuentes cibernticos, esta
forma de actuar tiene su justificacin en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
Para garantizar la seguridad informtica se requiere de un conjunto de sistemas, mtodos y herramientas
destinados a proteger la informacin, es aqu donde entran los servicios del Ethical Hacking , la cual es una
disciplina de la seguridad informtica que hecha mano de una gran variedad de mtodos para realizar sus
pruebas, estos mtodos incluyen tcticas de ingeniera social, uso de herramientas de hacking , uso de
Metasploits que explotan vulnerabilidades conocidas, en fin son vlidas todas las tcticas que conlleven a
vulnerar la seguridad y entrar a las reas crticas de las organizaciones.
Quines son los Ethical Hackers?
Los hackers ticos tambin conocidos como Pen-Tester, como su nombre lo dice, realizan "Pruebas de
Penetracin". Un hacker tico es un experto en computadoras y redes de datos, su funcin es atacar los
sistemas de seguridad en nombre de sus dueos, con la intencin de buscar y encontrar vulnerabilidades que
un hacker malicioso podra explotar. Para probar los sistemas de seguridad, los Ethical Hackers (hackers
ticos) utilizan los mismos mtodos que sus homlogos, pero se limitan nicamente a reportarlos en lugar de
sacar ventaja de ellos.
El Ethical Hacking tambin es conocido como penetration testing (pruebas de penetracin) o i ntrusin testing
(pruebas de intrusin). Los individuos que realizan estas actividades a veces son denominados "hackers de
sombrero blanco", este trmino proviene de las antiguas pelculas del Oeste, en donde el "bueno" siempre
llevaba un sombrero blanco y el "malo" un sombrero negro.
Por qu hacer un Ethical Hacking?
A travs del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los sistemas de
informacin de una organizacin, esto se logra determinando el grado de acceso que tendra un atacante con
intenciones maliciosas a los sistemas informticos con informacin crtica.
Las pruebas de penetracin son un paso previo a los anlisis de fallas de seguridad o riesgos para una
organizacin. La diferencia con un anlisis de vulnerabilidades, es que las pruebas de penetracin se enfocan
en comprobar y clasificar vulnerabilidades y no tanto en el impacto que stas tengan sobre la organizacin.
Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos no
autorizados y ajenos a la informacin como: crackers, hackers, ladrones, ex-empleados, empleados actuales
disgustados, competidores, etc. Las pruebas de penetracin, estn totalmente relacionadas con el tipo de
informacin que cada organizacin maneja, por tanto segn la informacin que se desee proteger, se
determina la estructura y las herramientas de seguridad pero nunca a la inversa.
Estas pruebas de penetracin permiten:
Evaluar vulnerabilidades a travs de la identificacin de debilidades provocadas por una mala
configuracin de las aplicaciones.

Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de
que la amenaza se convierta en realidad.

Proveer recomendaciones en base a las prioridades de la organizacin para mitigar y eliminar las
vulnerabilidades y as reducir el riesgo de ocurrencia de un evento desfavorable.

La realizacin de las pruebas de penetracin est basada en las siguientes fases.
1. Recopilacin de informacin 1.
2. Descripcin de la red 2.
3. Exploracin de los sistemas 3.
4. Extraccin de informacin 4.
5. Acceso no autorizado a informacin sensible o crtica 5.
6. Auditora de las aplicaciones web 6.
7. Elaboracin de informes 7.
8. Informe final 8.
Tipos de Ethical Hacking
Las pruebas de penetracin se enfocan principalmente en las siguientes perspectivas:
Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes especficas de los
sistemas informticos crticos de la organizacin.

Pruebas de penetracin sin objetivo: consisten en examinar la totalidad de los componentes de los
sistemas informticos pertenecientes a la organizacin. Este tipo de pruebas suelen ser las ms
laboriosas.

Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la informacin pblica disponible
sobre la organizacin.

Pruebas de penetracin informadas: aqu se utiliza la informacin privada, otorgada por la
organizacin acerca de sus sistemas informticos. En este tipo de pruebas se trata de simular ataques
realizados por individuos internos de la organizacin que tienen determinado acceso a informacin
privilegiada.

Pruebas de penetracin externas: son realizas desde lugares externos a las instalaciones de la
organizacin. Su objetivo es evaluar los mecanismos perimetrales de seguridad informtica de la
organizacin.

Pruebas de penetracin internas: son realizadas dentro de las instalaciones de la organizacin con el
objetivo de evaluar las polticas y mecanismos internos de seguridad de la organizacin.

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el
desarrollo de las pruebas es de conocimiento del personal informtico o no.
Red Teaming : Es una prueba encubierta, es decir que slo un grupo selecto de ejecutivos sabe de ella. En esta
modalidad son vlidas las tcnicas de "Ingeniera Social" para obtener informacin que permita realizar
ataque. sta obviamente es ms real y evita se realicen cambios de ltima hora que hagan pensar que hay un
mayor nivel de seguridad en la organizacin.
Blue Teaming : El personal de informtica conoce sobre las pruebas. Esta modalidad se aplica cuando las
medidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado como
incidente, repercuten en la continuidad de las operaciones crticas de la organizacin, por ello es conveniente
alertar al personal para evitar situaciones de pnico y fallas en la continuidad del negocio.
Cules son los beneficios de un Ethical hacking ?
Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un documento que contiene a
grandes rasgos una lista detallada de las vulnerabilidades encontradas y verificables. Tambin se provee una
lista de recomendaciones para que sean aplicadas por los responsables de seguridad en la organizacin. Este
documento se compone de un informe tcnico y uno ejecutivo para que los empleados tcnicos y
administrativos puedan entender y apreciar los riesgos potenciales sobre el negocio.
Los beneficios que las organizaciones adquieren con la realizacin de un Ethical Hacking son muchos, de
manera muy general los ms importantes son:
Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de informacin, lo cual
es de gran ayuda al momento de aplicar medidas correctivas.

Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas
(equipos de cmputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridad
en las organizaciones.

Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.
Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organizacin.
Los beneficios no slo se ven reflejados en la parte tcnica y operacional de la organizacin, sino en
organizaciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficios
reflejan una buena imagen y reputacin corporativa que en ocasiones es ms valiosa que las mismas prdidas
econmicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en
consecuencia invierten mucho dinero en mecanismos de seguridad para minimizar las perdidas financieras.
Es muy importante tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales
deben tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo
contratan.
Estos aspectos abarcan la confidencialidad, es decir que a la informacin que los "Pen tester" encuentren no se
le d un mal manejo o uso ms all de los fines previstos por las pruebas. Se deben indicar claramente en el
contrato los objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos.
En lo que respeta a la organizacin que contrata el servicio, sta debe garantizar que la informacin que se
provee al "Pen Tester" es fidedigna para que los resultados sean congruentes y certeros. Sin embargo dada la
naturaleza de las pruebas de penetracin es limitada la posibilidad de probar toda la gama de tcnicas y
mecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informtico y en ocasiones
obtener "falsos positivos", es decir resultados que indiquen una vulnerabilidad que realmente no es explotable.
Estndares
Existen una serie de buenas prcticas o normas generales en relacin con la seguridad de la informacin y de
forma particular para pruebas de penetracin y almacenamiento de ciertos tipos de datos. Cualquier individuo
que se dedique a realizar estas pruebas de penetracin, debe tener al menos un conocimiento prctico de estas
normas las cuales se pueden consultar ms a detalle en: h ttp://www.penetration-testing.com/ .
Referencias:
http://www.penetration-testing.com
http://www.penetration-testing.com/
Ethical hacking: Test de intrusin. Principales metodologas
http://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethical-hacking-test-intrusion-metodologias2.shtml
Cmo se realiza un Pentest?
http://www.dragonjar.org/como-realizar-un-pentest.xhtml
Revisin histrica
Liberacin original: 22-Oct-2010
ltima revisin: 25 de octubre de 2010
La Subdireccin de Seguridad de la Informacin/UNAM-CERT agradece el apoyo en la elaboracin y
revisin de este documento a:
Alejandro Reyes Plata
Galvy Cruz Valencia
Andrs Leonardo Hernndez Bermdez
Para mayor informacin acerca de ste documento de seguridad contactar a:
UNAM-CERT Equipo de Respuesta a Incidentes UNAM
Subdireccin de Seguridad de la Informacin
Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin
Universidad Nacinal Autnoma de Mxico
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43