Título Del Artículo En Español:

CIBERSEGURIDAD, INGENIERÍA SOCIAL Y ANÁLISIS ÉTICO SOBRE LAS

TÉCNICAS PARA VALIDAR LA SEGURIDAD EMPRESARIAL (Black White
Hacking)

Título Del Artículo En Inglés:

CYBER SECURITY, SOCIAL ENGINEERING AND ETHICAL ANALYSIS ON
TECHNIQUES TO VALIDATE BUSINESS SECURITY (Black White Hacking)

Nombre de autor(a):
Saúl Eduardo Pérez Aguilar (0910-17-9168)

1. Introducción

Existe una desinformación sobre los hackers que existen actualmente, ya que por una gran
parte de la sociedad todos los hackers son considerados como ciberdelincuentes que utilizan
sus conocimientos y programas para estafar a la gente, así como obtener información sin
previa autorización y lucrarse con el uso de la misma, sin embargo en los siguientes puntos
podremos observar cual es la diferencia entre el hacker de sombrero blanco y de sombrero
negro evidenciando que ser hacker no necesariamente es sinónimo de ciberdelincuente y se
pueden utilizar dichos conocimientos para obtener resultados fructíferos para una seguridad
informática eficaz.
Para tener una mejor definición de Hacker, citaremos una definición que nos comparte el Ing.
Amílcar de León <<Hacker, no es una persona buena o mala, es una persona que tiene
muchos conocimientos>> como podemos observar hace referencia a que se poseen diversos
conocimientos independientemente de ser tecnológicos o no, ya que ser hacker abarca más
que manipular sistemas, hacen uso de la Ingeniería Social para poder manipular a las
personas y así obtener la información necesaria para hackear un sistema, empresa o incluso a
una persona. La ingeniería Social representa un gran riesgo para todas las personas, sin
embargo a pesar de todos los riesgos que existen se encuentran ciertas prácticas de mejora
tanto para las personas, procedimientos y para la tecnología, de los cuales debemos
informarnos.
 2. Hackers en el Entorno Digital de la Actualidad

Actualmente se tienen únicamente dos términos aceptados para los hackers, de sombrero
blanco y de sombrero negro, se han intentado justificar ciertas acciones denominando un
“nuevo” tipo de hacker como podrían ser sombrero gris, sombrero azul, hackers activistas
(Hacktivists), entre otros, sin embargo no han sido aceptados por lo cual únicamente se tienen
definidos dos tipos de hackers ya mencionados.
Ser hacker es un rol de alta importancia, ya que puede ser de beneficio para fortalecer la
seguridad informática dentro de una empresa o bien representar una amenaza para la
seguridad e integridad de la información de ciertos individuos, grupos o instituciones. Por lo
que cada vez se buscan mejores prácticas para poder mantener resguardada la información a
pesar de que se tiene conocimiento que cualquier software o red puede ser corrompida con las
herramientas y conocimientos correctos.

2.1. Black Hat

Los Hackers de sombrero Negro (Black Hat) son personas con un amplio conocimiento de
los sistemas, su funcionamiento y como corromperlos, estos hackers son considerados
ciberdelincuentes ya que se introducen a las redes informáticas y sistemas de cómputo para
obtener información y así obtener un beneficio personal o de cierto grupo de personas.

2.2. White Hat

Los hackers de sombrero Blanco (White Hat) son personas con mucha experiencia en el
desarrollo y funcionamiento de los software así como de las redes y todos los programas que
se relacionen entre sí, a diferencia de los hackers de sombrero negro, no buscan un beneficio
personal, son personas que se dedican a buscar vulnerabilidades dentro de una empresa que
realizó la contratación de sus servicios previamente, para poder identificar los puntos de
mejora y fallas de seguridad que se deban corregir.

2.3. Tipos de Ataques

Los hackers poseen diversos métodos o tipos de ataques, se puede pensar que los hackers
únicamente hacen uso de programas o software para corromper alguna computadora y así
obtener información. Sin embargo ser hacker abarca mucho más que poseer conocimientos de
software, ya que utilizan como herramienta la Ingeniería Social para poder obtener los datos
necesarios para hackear a una persona o sistema, utilizando herramientas tecnológicas,
conversaciones, observaciones, comportamientos, entre otros.
Actualmente los ataques informáticos más frecuentes o comunes son conocidos como
Phishing, Vishing, SMishing, Intrusión física, Malware, Ransomware, el más reciente Cripto
Hacking, entre otros.

3. Ingeniería Social

Las computadoras y softwares pueden ser hackeados, pero los humanos por lo general son
considerados el eslabón más débil y suelen ser víctimas de manipulación y a esto se le
conoce como ingeniería social. Muchos hackers han desarrollado muchas técnicas para tener
acceso a información confidencial, redes de datos, dinero, etc. Se trata de un engaño en donde
se gana la confianza de la víctima para que acceda a la información confidencial, ya que a
menudo estos ataques pueden aparecer en un simple mensaje de correo electrónico el cual
aparenta ser una fuente inofensiva e incluso muchas víctimas no se dan cuenta de que están
siendo manipuladas hasta que es demasiado tarde y el delincuente ya accedió a la
información confidencial que buscaba.
Existen varios tipos de ataques de ingeniería social y por eso es muy importante entender su
definición para poder detectar estos ataques, a continuación se indican los más recurrentes en
la actualidad.
● Phising: Este consiste en enviar un correo electrónico o de texto en donde el hacker
finge ser una fuente fiable y segura en donde solicita información. Por ejemplo, un
ciberdelincuente puede pasarse por un miembro de la empresa en el área de
informática y solicitar a los empleados que proporcionen sus datos como nombre de
usuario y contraseña, engañándolos para que divulguen su información.
● Spam en el correo electrónico: Su objetivo principal es esparcir un software
malicioso para obtener datos personales. Se debe prestar atención a todo correo que se
reciba y asegurarse que sea una fuente confiable antes de abrir cualquier link dentro
de este.
● Pretexting: Los hackers se hacen pasar por otra persona y utilizan un pretexto para
llamar la atención de la víctima o crear una historia creíble para lograr engañarla para
poder obtener su información. Por ejemplo, puede ser una llamada telefónica en
donde se simula ser determinada persona o con cierta autoridad para poder recopilar
información y datos confidenciales.
 4. Pirámide de la Ingeniería Social

Existen medidas para combatir a los hackers de sombrero negro y muchas veces las
empresas contratan a profesionales para poder probar su seguridad, otorgándoles el permiso
de poder realizar pruebas a sus empleados. Con estos resultados definen las debilidades y
recomendaciones para mejorar los puntos débiles y para lograr un hacker exitoso se debe
llevar a cabo diferentes fases:

4.1. OSINT
En su sus siglas en inglés Open source Intelligence que traducido significa Inteligencia de
Fuentes Abiertas. En esta fase se refiere a las diferentes técnicas o herramientas que se
pueden utilizar para recopilar información pública de las víctimas, en otras palabras, buscar
en internet toda la información como por ejemplo, donde vive, quienes son su familia, etc. Y
con esta información el atacante puede usarla en contra de la víctima.
Buscar información en internet no es algo ilegal, ya que la información ya sea de una
empresa, una persona u otra cosa sobre la que se quiere hacer una investigación, se coloca en
las redes sociales, blog, foros o sitios web y que puede ser vista por el público.

4.2. Desarrollo del “Pretexto”

Una vez se tiene toda la información de la víctima se determina el tema con el cual se
atacará a la víctima o víctimas. Puede ser una historia inventada con el fin de atrapar a las
víctimas y hacer que renuncien a su información valiosa como su información bancaria o
acceso a algún servicio.

4.3. Plan de Ataque

Los hackers se pueden comunicar con la víctima con cualquier forma de comunicación, ya
sea por correo electrónico, mensaje de textos y llamadas telefónicas. Y antes de realizar el
ataque se debe definir qué tipo de tecnología se utilizará, ya que hay diferentes tipos de
ataque, si el ataque será por medio de correo electrónico entonces se necesitará un servidor
que envíe correos, o incluso si se realizara por persona como un repartidor de pizza porque
con la información obtenida se sabe que la empresa pide los viernes en la tarde pizza y
entonces para poder pasarse por esa persona se debe conseguir el uniforme de la empresa.
4.4. Ejecución de Ataque
Para su ejecución, todo debe tener un plan estructurado. La improvisación es un elemento
indispensable, porque no sabemos cuál será la respuesta de la víctima pero no será lo mismo
improvisar sin tener ninguna información a haber investigado y tener toda la información
necesaria de la víctima. Inclusive hay ocasiones en donde se debe tener conocimientos
psicológicos para saber qué tipo de personalidad tiene la víctima, si en dado caso el ataque es
cara a cara y así poder conocer su perfil.

4.5. Reportes
En toda prueba de seguridad se debe realizar un reporte, en donde se documenta la
información obtenida y con indicadores que demuestran los resultados. A base los resultados
buscan demostrarle al cliente como un hacker de sombrero negro podría hacer el ataque y que
información obtendría. Con las estadísticas le sirve a la organización conocer sus puntos
débiles y que áreas mejorar, porque no importa si solamente un 1% falló en la prueba, con
una sola persona el ataque puede ser muy sofisticado y el hacker puede acceder a toda la
información.
Los hackers de sombrero negro siguen el mismo flujo a excepción del reporte, pero
investigan mucho a sus víctimas antes de realizar el ataque. Puede llevarles días, semanas o
incluso meses para llegar a tener la información adecuada y saber que decir en las
conversaciones ya que normalmente solo tienen una posibilidad y con mayor información
tengan, mayor probabilidad de éxito tendrán.

5. Análisis Forense

Cuando se investiga las causas de un ataque recibido o que fue realizado para una
empresa, se utilizan las técnicas de un Análisis Forense en el cual se indaga cuál fue el
motivo por el cual se atacó a la empresa y por qué medios lograron acceder para robar la
información, también las vulnerabilidades que se deben corregir y de ser posible un rastro del
atacante. Se deben analizar todos los sistemas que hayan dejado un registro o almacenen un
histórico para poder corroborar cuáles fueron las causas que brindaron una oportunidad al
atacante de acceder a los sistemas y cometer el altercado.
 6. Amenazas en la Sociedad

Actualmente existen diversos factores que han impulsado los actos delictivos a través de la
tecnología lo cual genera una preocupación por la falta de material de concientización y la
desinformación que existe hoy en día. Algunos de los factores que afectan dentro de la
sociedad e impulsan los actos delictivos virtuales pueden ser: Sextear, Cyberbullying,
Cibersuicidio, Ciberacoso, Pornografía, Drogas auditivas, entre otras.
Como podemos observar actualmente existe una mayor cantidad de aspectos negativos que se
deben corregir dentro de la sociedad y lo cual aborda diversos aspectos tanto humanos como
tecnológicos los cuales son:

6.1. Personas
Como hemos mencionado el ser humano es el eslabón más débil dentro de la
ciberseguridad y en este caso podemos intentar corregir y disminuir estos riesgos con
programas de concientización, capacitación constante sobre los riesgos de la Ingeniería Social
y realizar pruebas de corroboración para asegurarnos que el personal está capacitado para
mitigar estos riesgos.

6.2. Procesos
Para mitigar estos riesgos dentro de los procesos de cada empresa o institución podemos
alinearnos a las mejores prácticas que se encuentren estandarizadas algunos ejemplos podrían
ser: ISO 27001, JM 102/42, Gestión de vulnerabilidades, Hardening, Auditoría de
cumplimiento constante, Ethical Hacking, Pentesting, DFIR, las cuales pueden ser las
mejores opciones para mitigar los riesgos dentro de los procesos que se ejecuten dentro de
cada departamento o bien de manera individual.

6.3. Tecnología
Existen diversas herramientas que podemos utilizar para mejorar la seguridad dentro de
las computadoras, servidores, celulares y diversos dispositivos electrónicos que se usen para
almacenar o manipular información, algunos ejemplos son: IPS/IDS, Antivirus, EDR, DLP,
MDM, SIFM, SOC, Gestor de contraseñas, etc.