Ethical Hacking

Ethical
Hacking y
Ciberseguridad

Introducción al Hacking ético

¡Hola!

Te damos la bienvenida a esta lectura titulada: Introducción al Hacking ético. La cual intro-
ducirá términos y conceptos necesarios para tu experiencia de aprendizaje en esta sesión. Se
recomienda leer con detenimiento este PDF, ya que será de vital importancia para concluir de
forma exitosa las evaluaciones de esta sesión.

¡Sigue avanzando!
 Ethical Hacking

Introducción al Hacking ético

¿Qué es Hacking ético?

El Hacking ético o Ethical Hacking es un proceso de evaluación de seguridad

formalmente autorizado, que consiste en simular ser un atacante real para
identificar amenazas de ciberseguridad, vulnerabilidades en los sistemas de
información y recomendaciones para corregir las mismas.

Este proceso de evaluación es realizado por personas expertas en ciberseguridad que

utilizan sus conocimientos con fines defensivos y con la debida autorización de la orga-
nización a la cual evalúan.

A las personas que realizan este proceso también se les llama hacker
ético, hacker de sombrero blanco o penetration tester.

Certificaciones internacionales

El principal respaldo de un hacker ético es su trayectoria profesional y la experiencia en

el campo de ciberseguridad.

Otro punto a favor para un hacker ético es tener certificaciones relacionadas con ciberse-
guridad y Ethical Hacking.

En el siguiente listado encontrarás ins- (ISC)² .

tituciones internacionales de prestigio ISACA.
que pueden brindarte certificaciones en
SANS.
ciberseguridad y Ethical Hacking:
EC-Council.
CompTIA.
Offensive Security.
Mile2.

·2·
 Ethical Hacking

Certificaciones de (ISC)²

El Consorcio internacional de Certificación de Seguridad de Sistemas de Información o

(ISC)² (del inglés International Information Systems Security Certification Consortium), es
una organización sin ánimo de lucro que educa y certifica a los profesionales de la segu-
ridad de la información y tiene más de 150 mil miembros alrededor del mundo.

• Certificaciones ofrecidas: CISSP, SSCP, CCSP, CAP, CSSLP y HCISPP. La mayoría de

sus certificaciones reúnen los requisitos del Departamento de Defensa de Estados
Unidos (DoD) especificados en la Directiva 8570.1.
• CISSP – Certified Information Systems Security Professional: es ideal para profe-
sionales, gerentes y ejecutivos de seguridad con experiencia interesados en demos-
trar su conocimiento en una amplia gama de prácticas y principios de seguridad,
incluidos aquellos en los siguientes puestos: Director de seguridad de la información
(CISO), Gerente de TI, Especialista en ciberseguridad, Analista de seguridad, Auditor
de seguridad, Arquitecto de seguridad, Consultor de seguridad y Arquitecto de red.
• SSCP – Systems Security Certified Practitioner: es ideal para administradores de TI,
gerentes, directores y profesionales de seguridad de redes responsables de la segu-
ridad operativa práctica de los activos críticos de su organización.
• CCSP – Certified Cloud Security Professional: es ideal para los líderes de TI y seguri-
dad de la información responsables de aplicar las mejores prácticas a la arquitectura,
el diseño, las operaciones y la organización de servicios de seguridad en la nube.
• CAP – Certified Authorization Professional: es ideal para profesionales y contratis-
tas de TI, seguridad de la información y aseguramiento de la información que utili-
zan el RMF (Marco de Gestión de Riesgos es una política y estándares del Gobierno
Federal de Estados Unidos).
• CSSLP – Certified Secure Software Lifecycle Professional: es ideal para los profe-
sionales de seguridad y desarrollo de software responsables de aplicar las mejores
prácticas en cada fase del SDLC, desde el diseño y la implementación del software
hasta las pruebas y la implementación.
• HCISPP – HealthCare Information Security and Privacy Practitioner: es ideal para los
profesionales de seguridad de la información encargados de proteger la Información
Médica Protegida (PHI).
• Sitio web oficial: https://www.isc2.org/

·3·
 Ethical Hacking

Certificaciones de ISACA

La Asociación de Auditoría y Control de Sistemas de Información (ISACA, del inglés

Information Systems Audit and Control Association) es una asociación internacional que
apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de información y cuenta con más de 145
mil miembros alrededor del mundo.

• Certificaciones ofrecidas: CISA, CRISC, CISM, CGEIT, CSX-P, CDPSE, COBIT, CCAK y
Cybersecurity Audit.
• CISA — Certified Information Systems Auditor: es mundialmente reconocido como el
estándar de logro para quienes auditan, controlan, monitorean y evalúan la tecno-
logía de la información y los sistemas comerciales de una organización.
• CRISC — Certified in Risk and Information Systems Control: la certificación indica
experiencia en la identificación y gestión de riesgos de TI empresarial e implementa-
ción y mantenimiento de controles de sistemas de información.
• CISM — Certified Information Security Manager: la certificación indica experiencia
en gobernanza de seguridad de la información, desarrollo y gestión de programas,
gestión de incidentes y gestión de riesgos.
• CGEIT — Certified in the Governance of Enterprise IT: es un marco independiente
para el gobierno de TI que puede brindarle la mentalidad para evaluar, diseñar,
implementar y administrar sistemas de gobierno de TI empresariales alineados con
los objetivos comerciales generales.
• CSX-P — Cybersecurity Practitioner Certification: requiere que los candidatos
demuestren habilidades críticas de ciberseguridad en un entorno virtual supervi-
sado en vivo que evalúe su capacidad analítica para identificar activos y resolver
problemas de ciberseguridad de la red y del host mediante la aplicación del conoci-
miento y las habilidades fundamentales de ciberseguridad.
• CDPSE — Certified Data Privacy Solutions Engineer: certificación relacionada a la
privacidad y proporciona una guía como los profesionales deben asociarse con
desarrolladores de software, ingenieros de sistemas y redes, administradores de
aplicaciones y bases de datos y gerentes de proyectos para incorporar medidas de
protección y privacidad de datos en entornos tecnológicos nuevos y existentes.

·4·
 Ethical Hacking

• COBIT Certificates: tiene como propósito entender la necesidad de un marco de

trabajo de gobierno y gestión de TI y cómo COBIT (Control Objectives of Informa-
tion and Related Technology) resuelve esta necesidad a través de la provisión de un
marco de gobierno y gestión de tecnología de información aceptado globalmente.
• CCAK - Certificate in Cloud Auditing Knowledge: elaborador por el Cloud Security
Alliance (CSA), esta certificación no se enfoca a un proveedor en la nube en parti-
cular, educación técnica para profesionales de auditoría, seguridad y riesgos de TI
para comprender la terminología, los desafíos y las soluciones únicos de la nube.
• Sitio web oficial: https://www.isaca.org/

Certificaciones de SANS

El Instituto SANS (por sus siglas en inglés SysAdmin Audit, Networking and Security Insti-
tute) es una institución que agrupa a más 165 mil profesionales de ciberseguridad.

• SANS brinda capacitación intensiva de inmersión diseñada para ayudarlo a usted

y a su personal a dominar los pasos prácticos necesarios para defender sistemas y
redes contra las amenazas más peligrosas, las que se explotan activamente.
• Global Information Assurance Certification (GIAC) es una entidad de certificación
de seguridad de la información, fundada por SANS, que se especializa en certifica-
ciones técnicas y prácticas.
• Certificaciones ofrecidas:
• Sitio web oficial: https://www.sans.org/

GIAC Certified Incident Handler (GCIH).

GIAC Security Essentials (GSEC).
GIAC Certified Forensic Analyst (GCFA).
GIAC Penetration Tester (GPEN).
GIAC Certified Forensic Examiner (GCFE).
GIAC Network Forensic Analyst (GNFA).
GIAC Security Leadership (GSLC).

·5·
 Ethical Hacking

GIAC Web Application Penetration Tester (GWAPT).

GIAC Certified Intrusion Analyst (GCIA).
GIAC Reverse Engineering Malware (GREM).
Global Industrial Cyber Security Professional (GICSP).
GIAC Cyber Threat Intelligence (GCTI).
GIAC Cloud Security Automation (GCSA).

Certificaciones de EC-Council

El Consejo Internacional de Consultores de Comercio Electrónico (EC-Council, acrónimo

en inglés de International Council of E-Commerce Consultants) es una organización que
ofrece certificación, educación, capacitación y servicios de ciberseguridad en diversas
habilidades de ciberseguridad y ha certificado a más de 200 mil profesionales a nivel
mundial.

• Certificaciones ofrecidas:
• Sitio web oficial: https://www.eccouncil.org/

Certified Ethical Hacker (CEH).

EC-Council Certified Security Analyst (ECSA).
Certified Penetration Testing Professional (CPENT).
Licensed Penetration Tester – LPT (Master).
Certified Chief Information Security Officer (CCISO).
Certified Network Defender (CND).
Computer Hacking Forensic Investigator (CHFI).
Disaster Recovery Professional (EDRP).
Certified Encryption Specialist (ECES).
Certified Incident Handler (ECIH).
Certified SOC Analyst (CSA).

·6·
 Ethical Hacking

Certified Threat Intelligence Analyst (CTIA).

Certified Application Security Engineer (CASE).
EC-Council Certified Security Specialist (ECSS).

Certificaciones de CompTIA

La Asociación de la industria de tecnología de la computación o CompTIA (acrónimo en

inglés de Computing Technology Industry Association) es una organización sin ánimo de
lucro dedicada a la certificación de aptitudes profesionales para la industria de tecno-
logías de información.

Certificaciones ofrecidas relacionadas a ciberseguridad:

• CompTIA Security +: proporciona un punto de referencia global para las mejores

prácticas en redes de TI y seguridad operativa, uno de los campos de más rápido
crecimiento en TI.
• Cybersecurity Analyst (CySA +): aplica análisis de comportamiento al campo de la
seguridad de TI para mejorar el estado general de la seguridad de TI.
• CompTIA CASP +: es una certificación avanzada que valida el pensamiento crítico y
el juicio en un espectro de disciplinas de seguridad en entornos complejos.
• CompTIA PenTest+: es para profesionales de ciberseguridad de nivel intermedio que
tienen la tarea de realizar pruebas de penetración para administrar vulnerabilida-
des en una red.
• Sitio web oficial: https://www.comptia.org/

Certificaciones de Offensive Security

Es una empresa internacional que trabaja en seguridad de la información, pruebas de

penetración y análisis forense digital.

La empresa es conocida por sus cursos avanzados de seguridad y la distribución Kali Linux.

·7·
 Ethical Hacking

• Certificaciones ofrecidas:
• Sitio web oficial: https://www.offensive-security.com/

OSCP - Offensive Security Certified Professional.

OSWP - Offensive Security Wireless Professional.
OSEP - Offensive Security Experienced Penetration Tester.
OSWE - Offensive Security Web Expert.
OSED - Offensive Security Exploit Developer.
OSEE - Offensive Security Exploitation Expert.
OSCE - Offensive Security Certified Expert.

Certificaciones de Mile2

Es una empresa que desarrolla y proporciona certificaciones de ciberseguridad.

Sus certificaciones están acreditadas por la NICCS (Iniciativa Nacional para Carreras y
Estudios de Ciberseguridad de Estados Unidos - https://niccs.cisa.gov/).

• Certificaciones ofrecidas:
• Sitio web oficial: https://www.mile2.com/

C)PTC - Certified Penetration Testing Consultant.

C)PTE - Certified Penetration Testing Engineer.
C)SWAE - Certified Secure Web Application Engineer.
C)ISSO - Certified Information Systems Security Officer.
C)ISRM - Certified Information Systems Risk Manager.
C)ISSM - Certified Information Systems Security Manager.
C)NFE - Certified Network Forensics Examiner.

·8·
 Ethical Hacking

C)PEH - Certified Professional Ethical Hacker.

C)VA - Certified Vulnerability Assessor.
C)VME - Certified Virtual Machine Engineer.
C)WSE - Certified Wireless Security Engineer.
C)DFE - Certified Digital Forensics Examiner.
C)DRE - Certified Disaster Recovery Engineer.
C)IHE - Certified Incident Handling Engineer.

·9·
 Ethical Hacking

Bibliografía:

ISACA. (2015). Guía de Estudio de Fundamentos de la Ciberseguridad. ISBN

978-1-60420-663-0.

IPSpecialist LTD. (2018). Certified Ethical Hacker v10. https://ipspecialist.net/

NIST. (2018). Marco para la mejora de la seguridad cibernética en infraestructuras

críticas. Versión 1.1. Recuperado de: https://www.nist.gov/system/files/docu-
ments/2018/12/10/frameworkesmellrev_20181102mn_clean.pdf

Sagar, R. (2016). Certified Ethical Hacker (CEH) Foundation Guide. ISBN-13

978-1-4842-2324-6.

· 10 ·
Ethical Hacking y
Ciberseguridad
Ethical Hackin

Introducción al Hacking ético