ETHICAL HACKING

FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje

 GESTIÓN Y MANEJO DE LA INFORMACIÓN

INTRODUCCIÓN
Desde hace varias décadas han aparecido nuevas modalidades de delitos
informáticos dentro de los que se encuentran los ataques por crackers
o hackers capaces de comprometer la seguridad de la información, bien
sea para sustraerla o para modificarla, causando estragos en diferentes
niveles. Debido a esto se hace imprescindible para cualquier tipo de
organización determinar si la seguridad implementada en sus sistemas
informáticos es suficiente para garantizar la protección de sus redes de
datos frente a accesos no autorizados.

Para contrarrestar estas situaciones se han definido una serie de

estrategias denominadas “pruebas de penetración” que no son más que
otra denominación para el análisis de vulnerabilidad, evaluación de la
seguridad o auditoria.

Una de estas pruebas es conocida como Ethical Hacking donde las

inspecciones a los sistemas se hacen para poder detectar fallas en los
protocolos seguridad informática que se estén usando. Asumiendo que
una vulnerabilidad es algo que incrementa la probabilidad de que una
amenaza se producirá; y un control es algo que va a mejorar la situación,
mediante la prevención, detección o reducir de otra manera el impacto de
una amenaza.

El presente documento pretende dar una visión general sobre este tipo de
técnicas para análisis de vulnerabilidad del sistema.

2
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

ESTRUCTURA DE CONTENIDOS

INTRODUCCIÓN.............................................................................2

1. INTRODUCCIÓN A LAS PRUEBAS DE PENETRACIÓN..................4

2. HACKING ÉTICO..................................................................5

2.1 Objetivos............................................................................5

2.2. Características del Hacker ético..............................................6

2.3 Etapas en un proceso de hacking malicioso..............................7

2.4 Tipos de Ethical hacking........................................................8

2.5 Informe del proceso.............................................................9

Bibliografía..................................................................................58

Glosario......................................................................................59

Control de Documentos.................................................................62

Creativee Commons y Marca Registrada.......................................... 62

3
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

1. INTRODUCCIÓN A LAS PRUEBAS DE PENETRACIÓN

Una prueba de penetración permitirá generar una lista de las vulnerabilidades
de un Sistema, que permitirán a planificar y priorizar las mejoras en la
forma de procesar y almacenar los datos, y de ese modo reducir el riesgo
de la organización. Sin embargo, aunque esto es valioso en sí mismo,
se puede demostrar compromiso con los procesos de aseguramiento de
la información y generar confianza con los clientes, socios y organismos
reguladores.

Para algunas organizaciones puede ser opcional optar por tener una prueba
de penetración. Sin embargo, para otras organizaciones se convierte en
un requisito obligatorio, debido a una de las siguientes razones:

• Algunas industrias y tipos de datos son regulados y deben ser

manejados con seguridad (como el sector financiero, o el gobier-
no, datos médicos, personal o de tarjeta de crédito). En este caso
el ente regulador va a insistir en ver los resultados de las pruebas
como parte de un proceso de certificación.
• Para las organizaciones que manejen una certificación de calidad,
como ISO 27001, se requerirá hacer periódicamente pruebas de
seguridad para mantener la certificación.
• Para proveedores de productos y servicios.

4
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

Son muchos los elementos a ser probados, los sistemas, los sitios donde
se almacena la información, los canales de comunicación, los procesos y el
personal que los manejan. Los ejemplos de las áreas que son comúnmente
probados son:

• Hardware: servidores, teléfonos inteligentes, firewalls y routers,

etc.
• Desarrollo de software a medida, como los sitios web, aplicaciones
móviles y juegos, etc.
• Equipos de telefonía como conmutadores, smartphones, VOIP y
servidores de fax, etc.
• Los sistemas inalámbricos como las redes WIFI, tarjetas RFID.
• Protección física como CCTV, sistemas de entrada de puertas y
cerraduras mecánicas, etc.

Estás pruebas no solo se realizan de forma manual, también se utilizan

herramientas automatizadas, como el análisis estático y el análisis
dinámico. Lo importante es que se realicen bajo circunstancias controladas
y de acuerdo con los requerimientos definidos por la organización. Todo
esto para mejorar las prácticas de seguridad adoptadas

2. HACKING ÉTICO.
2.1 Objetivos
El objetivo fundamental del Ethical Hacking (hackeo ético) es determinar
las vulnerabilidades existentes en un sistema informático a través de
pruebas de intrusión, que verifican y evalúan la seguridad no sólo de los
Sistemas de Información, sino además de los canales de comunicación y
servidores. Otra denominación que se le da es White-Hat Hacking.

Al poder acceder con éxito al sistema es posible determinar las

vulnerabilidades del sistema, lo cual permite tomar las medidas preventivas
en contra de posibles ataques malintencionados. Por tanto, esta técnica
consiste en la simulación de posibles escenarios donde se reproducen
ataques de manera controlada, así como de las acciones propias de los
hackers. Al identificar el nivel de vulnerabilidad de la organización es
posible definir estrategias para mejorar el sistema de seguridad actual
sobre la información.

5
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

2.2. Características del Hacker ético

Para la realización de estos procesos se requiere de un experto en
computadores, plataformas y redes de datos, su función es atacar
los sistemas de seguridad, con la intención de buscar y encontrar
vulnerabilidades que de otra forma podrían ser explotados de manera
maliciosa.

Los hackers éticos también son conocidos como Pen-Tester, ya que realizan
“Pruebas de Penetración”. Aunque en general utilizan las mismas técnicas
que los hackers tradicionales, su deber es reportar las fallas, más que el
aprovechamiento de eso. Otra denominación que se da a estos expertos
es la de White-Hat hackers, haciendo alusión a las películas del viejo
oeste donde el “bueno” llevaba sombrero blanco.

Login
¿Qué puede hacer con
esa información?
Password
¿Qué información
tienen los intrusos?

¿Qué puede detectar

en un intento de ataque?

Un hacker ético debe realizar su trabajo de la mejor manera posible,

guardando la confidencialidad que corresponde, presentará informes
de sus hallazgos y recomendaciones al equipo técnico, no manipulará

6
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

la información y realizará su trabajo de manera responsable utilizando

adecuadamente los recursos de manera eficiente.

Dentro de las características predominantes de un hacker se encuentran

el desarrollo de la lógica aplicada más allá del uso de técnicas y
herramientas, ya que al requerir simular un ataque, no solo debe contar
con sus conocimientos, sino además tener capacidad de deducción y
análisis para determinar las acciones a realizar, determinar patrones de
conducta, interpretar código, codificar y usar cifrado de datos y tomar
decisiones sobre la marcha al ir descubriendo vulnerabilidades.

2.3 Etapas en un proceso de hacking malicioso

Generalmente un proceso de hacking malicioso cuenta con cinco pasos
esenciales:

Reconocimiento

Borrado de
Escaneo
Huellas

Mantener Acceso
acceso

Durante la etapa de Reconocimiento, se debe poseer información sobre

el objetivo y se utiliza un reconocimiento pasivo con herramientas como
Google hacking, ingeniería Social y Monitorización de redes de datos

En la etapa de Escaneo se rastrea la red con los datos previamente

obtenidos, y se detectan puntos de entrada, a través del Reconocimiento
activo con herramientas para detectar hosts accesibles, puertos abiertos,
ubicación de routers y detalles de sistemas operativos y servicios.

En la tercera etapa se obtiene Acceso, es decir que se realiza el ataque

y se realizan las acciones objetivo, tales como obtención de datos,

7
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

manipulación de recursos, denegación de servicios, etc.

En la cuarta etapa el hacker debe Mantener el acceso, es decir, tratar

de retener los privilegios obtenidos, en ocasiones se debe proteger el
sistema contra otros posibles hacker, asegurando sus puertas traseras,
rootKits y Troyanos.

En la quinta etapa se debe realizar un Borrado de huellas, ya que se

intenta no ser descubierto. Dependiendo de la técnica utilizada y previendo
un posible análisis forense.

2.4 Tipos de Ethical hacking

Red de servidores

Análisis de
vulnerabilidades
Análisis de activos
en la red interna
Análisis de red

Análisis de puertos
Atacante externo Atacante interno
abiertos

Análisis de
vulnerabilidades

Dependiendo de los objetivos a alcanzar se pueden clasificar las pruebas

de penetración en las siguientes:

• Prueba con objetivo: se buscan las vulnerabilidades en partes es-

pecíficas de los sistemas que se consideran críticos para la organi-
zación.
• Prueba sin objetivo: consisten en examinar la totalidad de los
componentes de los sistemas, lo cual conduce a labores más ex-
haustivas y dispendiosas.
• Prueba a ciegas: en este tipo de pruebas sólo se dispone de la in-
formación pública de la organización.

8
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

• Prueba interna: para simular ataques realizados por personal de

la organización se utiliza información privada, otorgada por la or-
ganización acerca de sus sistemas informáticos, también permite
validar políticas de seguridad.
• Prueba externa: se realizan para evaluar los mecanismos perime-
trales de seguridad informática, se accede desde lugares externos
a las instalaciones de la organización.

Adicionalmente se puede determinar su realización con el conocimiento o

no del personal informático, lo que se denomina:

• Red Teaming, cuando es una prueba que solo es conocida por un

grupo limitado de personas, haciendo que sus resultados sean
más confiables.
• Blue Teaming, se realizan con el conocimiento del personal de
sistemas, para evitar que los posibles incidentes generen pánico o
fallas en la continuidad del servicio.

2.5 Informe del proceso

Una vez finalizado el proceso se debe generar el “Ethical Hacking Report”,
este reporte debe presentar los detalles de los resultados de las actividades
y pruebas de hacking realizadas.

Se presentan en él un resumen ejecutivo para la fácil apreciación de

personal no técnico, las vulnerabilidades encontradas clasificadas de
acuerdo con su grado de criticidad, el detalle de las vulnerabilidades
detectadas, incluyendo configuraciones no adecuadas, fallos en las
actualizaciones y deficiencias en las políticas de seguridad establecidas.

Además se deben presentar las recomendaciones para subsanar los fallos

de seguridad, aplicar medidas correctivas o preventivas, buenas prácticas
e incluso la adopción de herramientas o estándares de seguridad.

• boradores (al estilo Google Docs). (EDUTEKA, 2000-2014)

9
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

GLOSARIO

Amenaza: Una amenaza informática es toda circunstancia, evento o

persona que tiene el potencial de causar daño a un sistema en forma
de robo, destrucción, divulgación, modificación de datos o negación de
servicio (DoS).

Cracker: Un cracker es alguien que viola la seguridad de un sistema

informático de forma similar a como lo haría un hacker, sólo que a diferencia
de este último, el cracker realiza la intrusión con fines de beneficio personal
o para hacer daño a su objetivo.

Exploits o Programas intrusos: Los programas intrusos son técnicas

que aprovechan las vulnerabilidades del software y que pueden utilizarse
para evadir la seguridad o atacar un equipo en la red.

Google Hacking: Es una técnica en informática que utiliza operadores

para filtrar información en el buscador de Google. Además podemos
encontrar otras aplicaciones de agujeros de seguridad en la configuración
y el código informático que se utilizan en las páginas web.

Hacker: Neologismo utilizado para referirse a un experto (Gurú) en varias

o alguna rama técnica relacionada con las tecnologías de la información y
las telecomunicaciones: programación, redes, sistemas operativos.

Ingeniería Social: Método utilizado por los atacantes para engañar a

los usuarios informáticos, para que realicen una acción que normalmente
producirá consecuencias negativas, como la descarga de malware o
la divulgación de información personal. Los ataques de phishing con
frecuencia aprovechan las tácticas de ingeniería social.

Pharming: Método de ataque que tiene como objetivo redirigir el tráfico

de un sitio Web a otro sitio falso, generalmente diseñado para imitar el
sitio legítimo.

Phishing: El software de seguridad de bloqueo de comportamiento

se integra al sistema operativo de un equipo anfitrión y supervisa el
comportamiento de los programas en tiempo real en busca de acciones
maliciosas.

10
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

Rootkit: Es un conjunto de herramientas usadas frecuentemente por los

intrusos informáticos o crackers con el objetivo de acceder ilícitamente a
un sistema informático

Riesgo: Código o técnica que una amenaza utiliza para tomar ventaja
sobre una vulnerabilidad.

Vulnerabilidad: Una falla que alguien podría explotar para causar daño.

11
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

BIBLIOGRAFÍA
Symantec (2014) Glosario de Seguridad. Recuperado de http://www.sy-
mantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

Reyes Plata, Alejandro.(2011). Ethical Hacking. UNAM-CERT. Recuperado

de http://www.seguridad.unam.mx/documento/?id=7

Tori, Carlos. (2008). Hacking Ético. Rosario Argentina. Recuperado de

http://www.tic.udc.es/~nino/blog/lsi/documentos/hacking-etico.pdf

12
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
 GESTIÓN Y MANEJO DE LA INFORMACIÓN

Control de documento
Construcción Objeto de Aprendizaje

Objeto de Aprendizaje Ethical Hacking

Desarrollador de contenido
Experto temático Ana Yaqueline Chavarro

Asesor pedagógico Rafael Neftali Lizcano Reyes

Producción Multimedia Luis Fernando Botero Mendoza

Programador Daniel Eduardo Martínez Díaz

Líder línea de producción Santiago Lozada Garcés

Creative Commons
Atribución, no comercial, compartir igual
Este material puede ser distribuido, copiado y
exhibido por terceros si se muestra en los
créditos. No se puede obtener ningún beneficio
comercial y las obras derivadas tienen que
estar bajo los mismos términos de licencia que
el trabajo original

13
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje