THD SECURITY GROUP S.A.

S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com

0x01 INTRODUCCION AL ETHICAL HACKING

Hacking ético… curiosas palabras que en el contexto coloquial se traduciría como piratear
sistemas de forma legal, aunque hacker, pirata y delincuente informático no son la misma
figura. (Ver el atacante informático capítulo 1 = http://www.itforensic-la.com/revistas/El-
Atacante-Informatico-Cp1.pdf

CONFIDENCIAL
 THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com

En el mundo de la seguridad informática, en el underground, representa la posibilidad de

mostrar a una víctima cuáles son sus debilidades y vulnerabilidades con una prueba visual, no
hay nada más impactante, se lo podemos asegurar.

Antes de entrar de lleno en la cuestión, es interesante definir un par de figuras que se

relacionan con el termino de hacking ético: los hackers son de sombrero blanco (White hat) y
sombrero negro (Black hat). Los hackers de sombrero negro son aquellos que intentan
provocar un daño explotando una vulnerabilidad existente en un determinado sistema. Los
hackers de sombrero blanco son aquellos que intentan mostrar el daño que causaría la
explotación de una determinada vulnerabilidad en un sistema.

Pongámonos en situación, tenemos un sistema Operating System 3000 corriendo en un

servidor y un potente ERP llamado MiERP en la maquina también. Al cabo de unas semanas
nos llega un correo electrónico de un tal SuperHacker en cuyo interior se encuentra un
documento confidencial que ha obtenido aprovechando una vulnerabilidad del sistema, y
además nos explica cuáles han sido los pasos y como solucionarlo. La pregunta es bien
sencilla: ¿denunciamos al SuperHacker por robo de información confidencial e intrusión no
autorizada? ¿O bien le contratamos como gestor de seguridad informática?

Este es el dilema del hacking ético desde el punto de vista de la empresa, puesto que cada uno
tenemos una opinión al respecto, que en muchas ocasiones se ve influenciada por factores
externos: fabricantes de software, organismos, stakeholders,.. Para que nos entendamos, las
preguntas básicas que se hace un directivo ante la circunstancia son: ¿Qué es mejor para el
negocio? ¿Denunciar a SuperHacker, contratarlo o tapar el hecho?

Ahora, vamos a mirar el hacking ético desde el punto de vista del hacker. No existe un único
perfil de hacker de sombrero blanco, puede ser un estudiante, un camarero, un profesional del
sector,…., cualquiera, puede ser la persona menos pensada que tenemos a nuestro lado, lo
único que tienen en común es la pasión por la informática y ganas de compartir los
conocimientos adquiridos tras incontables horas de método empírico. Si SuperHacker no
muestra a la empresa cuales son las vulnerabilidades de su sistema, el malvado
BlackSuperHacker podría usar dichas vulnerabilidades para su propio beneficio y causar

CONFIDENCIAL
 THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com

enormes daños en la empresa. Menuda situación para SuperHacker si encima recibe por su
aportación una denuncia…

Esta es la realidad del hacking ético, obviamente, la solución jurídica o moral a este dilema
tienen que decidirla las partes implicadas: empresa, reguladores y hackers, algo bastante
complicado cuando la tercera de las partes no tiene un órgano de representación debido a su
propia naturaleza.

Hacker ético – Como operan

En el artículo anterior veíamos una introducción al concepto del hacking ético, sus figuras y el
dilema que causa en las empresas. En este artículo vamos a ver cómo operan.

El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que
aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los
hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en
una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de
sombrero blanco o un hacker de sombrero negro.

Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se
corresponden con unos protocolos estándar:
 Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un
margen de 45 días, durante los cuales se le dará tiempo al fabricante del software de
generar un parche que solucione el problema. La vulnerabilidad es publicada aunque no
se haya generado el parche.
 Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La
colaboración del hacker con el fabricante del software para elaborar una solución es
opcional, el hacker no está obligado. El autor del hallazgo debe ser paciente con el
fabricante del software, y se espera que este recompense al hacker por identificar el
problema.
 Organización para la seguridad en internet (OIS). OIS es un conglomerado de varios
investigadores y empresas importantes con presencia en internet. Solamente personal
próximo a OIS tienen acceso a información confidencial. Establece toda una serie de
pasos: descubrimiento, notificación, validación e investigación, con sus aspectos
concretos.

El problema de estas políticas, es que están surgiendo empresas de investigadores

especializados en encontrar vulnerabilidades en nuevas aplicaciones, un trabajo que
posteriormente es reclamado a los fabricantes que abonan el importe del descubrimiento de la

CONFIDENCIAL
 THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com

vulnerabilidad, y Estableciendo, lamentablemente una duda razonable acerca de si se podría

considerad un chantaje esta práctica.

Tal es el caso de Utilizar a un tercero que lo que hace es “vender” la vulnerabilidad reportada,
uno de los ejemplos es ZDI, creo que es la más famosa para vender vulnerabilidades. Ellos te
pagan por la vulnerabilidad y se ponen en contacto con el fabricante.

Podemos ver las especificaciones aquí => http://www.zerodayinitiative.com/about/benefits/

Otro proyecto tiene que ver con https://hackerone.com/ , una plataforma que facilita la
comunicación entre el equipo de seguridad de una empresa con profesionales o con
principiantes en la seguridad informática también llamados hackers.

Hacker éticos - Divulgar vulnerabilidades

La divulgación de las vulnerabilidades de un sistema representa la culminación del trabajo de

un hacker ético, pero existe una opción confrontada ante este aspecto.

Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya
conocen la vulnerabilidad, ¿Por qué no publicarla? En caso contrario, estaríamos restringiendo
el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar
en peligro.

Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirían sin
que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a
los hackers éticos que a los hackers de sombrero negro. Esta es una premisa fundamental
derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la
concienciación.

Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación
completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento
público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que
solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad.
Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y
actos legales.
En su contexto ambas partes tienen la razón, pero lo que sí es cierto es que la concienciación
de la seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no
puede existir. Desde el punto de vista de la auditoria de seguridad informática, la identificación
y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el
primer paso para establecer una correcta política de seguridad informática.

CONFIDENCIAL