Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En el siguiente resumen se hablará sobre los puntos más importantes del texto introducción al hacking etico, esto desde el
punto de vista de un consultor o pentester que pretende actuar como un cracker para lograr encontrar vulnerabilidades en los
equipos que son objeto de prueba, cabe recalcar que todo esto se hace en un ambiente controlado por parte del consultor.
Para este círculo es necesario seguir una metodología para lograr optimizar el tiempo en la fase de explotación
El cracker sigue una serie de fases:
1. Reconocimiento
2. Escaneo
3. Obtener acceso
4. Mantener acceso
5. Borrar huellas
Estas fases se representan en un ciclo llamado circulo de hacking, esto debido a que el cracker después podrá borrar sus
huellas y así poder realizar este el proceso una y otra vez, aunque el auditor que ejecute estas fases puede realizar ciertas
modificaciones.
1. Reconocimiento
2. Escaneo
3. Obtener acceso
4. Escribir informe
5. Presentar informe
En estas fases modificadas el hacker etico se detiene en la fase 3 para poder reportar sus hallazgos y hacer los cambios
necesarios de acuerdo con sus objetivos.
TIPOS DE HACKING
Para efectuar un hacking etico hay que establecer un alcance y de esta forma poder realizar un cronograma y lograr el
desarrollo de la mejor propuesta para el cliente.
Para determinar este alcance se requiere conocer 3 elementos básicos:
1. Tipo de hacking
2. Modalidad del hacking
3. Servicios adicionales que desea el cliente
Entrados en este punto es necesario conocer que un hacking puede ser externo o interno
Hacking ético externo:
Se realiza desde internet y sobre la infraestructura de red que posee del cliente, más claramente sobre los equipos de la
organización que tienen acceso a internet, tales como: enrutadores, servidores web, servidores de correo, servidor de
nombres, etc.
Estos servicios adicionales corresponden a un plus que pueden tomar los tipos de hacking.
Entre los servicios adicionales más populares se encuentran:
Ingeniería social:
Este consta de obtención de informacion a través de la manipulación de las personas.
Wardialing:
Es un programa que se encarga de hacer la marcación de números consecutivos en base al valor inicial que se le diera y
registrar los casos en los que respondía un modem y no una persona.
Wardriving:
Este se aplica a redes inalámbricas, teniendo como objetivo captar redes del cliente y buscar vulnerabilidades en ella.
Equipo robado:
Este consta de una simulación por parte del auditor, en donde su cliente entrega un pc y el auditor usa distintas formas para
conseguir la informacion de este pc y de esta manera verificar si la empresa está tomando las medidas necesarias para
proteger su informacion como un activo importante.