Está en la página 1de 3

Ethical Hacking

Qu es el Ethical Hacking?
Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o hackers capaces de
comprometer los sistemas informticos y robar informacin valiosa, o bien borrar una gran parte de ella. Esta
situacin hace imprescindible conocer si estos sistemas y redes de datos estn protegidos de cualquier tipo de
intrusiones.
Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es explotar las vulnerabilidades existentes
en el sistema de "inters" valindose de test de intrusin, que verifican y evalan la seguridad fsica y lgica de
los sistemas de informacin, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la
intencin de ganar acceso y "demostrar" que un sistema es vulnerable, esta informacin es de gran ayuda a las
organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados.
Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de posibles escenarios donde se
reproducen ataques de manera controlada, as como actividades propias de los delincuentes cibernticos, esta
forma de actuar tiene su justificacin en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
Para garantizar la seguridad informtica se requiere de un conjunto de sistemas, mtodos y herramientas
destinados a proteger la informacin, es aqu donde entran los servicios del Ethical Hacking , la cual es una
disciplina de la seguridad informtica que hecha mano de una gran variedad de mtodos para realizar sus
pruebas, estos mtodos incluyen tcticas de ingeniera social, uso de herramientas de hacking , uso de
Metasploits que explotan vulnerabilidades conocidas, en fin son vlidas todas las tcticas que conlleven a
vulnerar la seguridad y entrar a las reas crticas de las organizaciones.

Quines son los Ethical Hackers?


Los hackers ticos tambin conocidos como Pen-Tester, como su nombre lo dice, realizan "Pruebas de
Penetracin". Un hacker tico es un experto en computadoras y redes de datos, su funcin es atacar los sistemas
de seguridad en nombre de sus dueos, con la intencin de buscar y encontrar vulnerabilidades que un hacker
malicioso podra explotar. Para probar los sistemas de seguridad, los Ethical Hackers (hackers ticos) utilizan los
mismos mtodos que sus homlogos, pero se limitan nicamente a reportarlos en lugar de sacar ventaja de ellos.
El Ethical Hacking tambin es conocido como penetration testing (pruebas de penetracin) o i ntrusin testing
(pruebas de intrusin). Los individuos que realizan estas actividades a veces son denominados "hackers de
sombrero blanco", este trmino proviene de las antiguas pelculas del Oeste, en donde el "bueno" siempre
llevaba un sombrero blanco y el "malo" un sombrero negro.

Por qu hacer un Ethical Hacking?


A travs del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los sistemas de
informacin de una organizacin, esto se logra determinando el grado de acceso que tendra un atacante con
intenciones maliciosas a los sistemas informticos con informacin crtica.
Las pruebas de penetracin son un paso previo a los anlisis de fallas de seguridad o riesgos para una
organizacin. La diferencia con un anlisis de vulnerabilidades, es que las pruebas de penetracin se enfocan en
comprobar y clasificar vulnerabilidades y no tanto en el impacto que stas tengan sobre la organizacin.
Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos no
autorizados y ajenos a la informacin como: crackers, hackers, ladrones, ex-empleados, empleados actuales
disgustados, competidores, etc. Las pruebas de penetracin, estn totalmente relacionadas con el tipo de
informacin que cada organizacin maneja, por tanto segn la informacin que se desee proteger, se determina la

estructura y las herramientas de seguridad pero nunca a la inversa.


Estas pruebas de penetracin permiten:
Evaluar vulnerabilidades a travs de la identificacin de debilidades provocadas por una mala configuracin
de las aplicaciones.
Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de que la
amenaza se convierta en realidad.
Proveer recomendaciones en base a las prioridades de la organizacin para mitigar y eliminar las
vulnerabilidades y as reducir el riesgo de ocurrencia de un evento desfavorable.
La realizacin de las pruebas de penetracin est basada en las siguientes fases.

1. 1. Recopilacin de informacin
2. 2. Descripcin de la red
3. 3. Exploracin de los sistemas
4. 4. Extraccin de informacin
5. 5. Acceso no autorizado a informacin sensible o crtica
6. 6. Auditora de las aplicaciones web
7. 7. Elaboracin de informes
8. 8. Informe final

Tipos de Ethical Hacking


Las pruebas de penetracin se enfocan principalmente en las siguientes perspectivas:
Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes especficas de los sistemas
informticos crticos de la organizacin.
Pruebas de penetracin sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas
informticos pertenecientes a la organizacin. Este tipo de pruebas suelen ser las ms laboriosas.
Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la informacin pblica disponible sobre la
organizacin.
Pruebas de penetracin informadas: aqu se utiliza la informacin privada, otorgada por la organizacin acerca
de sus sistemas informticos. En este tipo de pruebas se trata de simular ataques realizados por individuos
internos de la organizacin que tienen determinado acceso a informacin privilegiada.
Pruebas de penetracin externas: son realizas desde lugares externos a las instalaciones de la organizacin. Su
objetivo es evaluar los mecanismos perimetrales de seguridad informtica de la organizacin.
Pruebas de penetracin internas: son realizadas dentro de las instalaciones de la organizacin con el objetivo
de evaluar las polticas y mecanismos internos de seguridad de la organizacin.
A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades dependiendo si el
desarrollo de las pruebas es de conocimiento del personal informtico o no.
Red Teaming : Es una prueba encubierta, es decir que slo un grupo selecto de ejecutivos sabe de ella. En esta
modalidad son vlidas las tcnicas de "Ingeniera Social" para obtener informacin que permita realizar
ataque. sta obviamente es ms real y evita se realicen cambios de ltima hora que hagan pensar que hay un
mayor nivel de seguridad en la organizacin.
Blue Teaming : El personal de informtica conoce sobre las pruebas. Esta modalidad se aplica cuando las
medidas tomadas por el personal de seguridad de las organizaciones ante un evento considerado como incidente,
repercuten en la continuidad de las operaciones crticas de la organizacin, por ello es conveniente alertar al

personal para evitar situaciones de pnico y fallas en la continuidad del negocio.

Cules son los beneficios de un Ethical hacking ?


Al finalizar el Ethical Hacking se entrega el resultado al cliente mediante un documento que contiene a grandes
rasgos una lista detallada de las vulnerabilidades encontradas y verificables. Tambin se provee una lista de
recomendaciones para que sean aplicadas por los responsables de seguridad en la organizacin. Este documento
se compone de un informe tcnico y uno ejecutivo para que los empleados tcnicos y administrativos puedan
entender y apreciar los riesgos potenciales sobre el negocio.
Los beneficios que las organizaciones adquieren con la realizacin de un Ethical Hacking son muchos, de
manera muy general los ms importantes son:
Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de informacin, lo cual es de
gran ayuda al momento de aplicar medidas correctivas.
Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los sistemas (equipos de
cmputo, switches, routers, firewalls) que pudieran desencadenar problemas de seguridad en las organizaciones.
Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.
Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la organizacin.

Los beneficios no slo se ven reflejados en la parte tcnica y operacional de la organizacin, sino en
organizaciones o empresas donde sus actividades repercuten de forma directa en el cliente, los beneficios
reflejan una buena imagen y reputacin corporativa que en ocasiones es ms valiosa que las mismas prdidas
econmicas, por ejemplo los bancos, a quienes les importa demasiado la imagen que ofrecen al cliente, en
consecuencia invierten mucho dinero en mecanismos de seguridad para minimizar las perdidas financieras.
Es muy importante tener en cuenta los aspectos legales en la realizacin de un Ethical hacking, los cuales deben
tenerse muy presentes tanto por las organizaciones que prestan el servicio como por quienes lo contratan.
Estos aspectos abarcan la confidencialidad, es decir que a la informacin que los "Pen tester" encuentren no se le
d un mal manejo o uso ms all de los fines previstos por las pruebas. Se deben indicar claramente en el
contrato los objetivos especficos de las pruebas de penetracin para evitar futuros malos entendidos.
En lo que respeta a la organizacin que contrata el servicio, sta debe garantizar que la informacin que se
provee al "Pen Tester" es fidedigna para que los resultados sean congruentes y certeros. Sin embargo dada la
naturaleza de las pruebas de penetracin es limitada la posibilidad de probar toda la gama de tcnicas y
mecanismos que los crackers o hackers pudieran emplear para vulnerar un sistema informtico y en ocasiones
obtener "falsos positivos", es decir resultados que indiquen una vulnerabilidad que realmente no es explotable.