RELATORÍA: EL HACKING ÉTICO Y LA INCIDENCIA EN EL SOFTWARE

CONTABLE

ESTUDIANTE: Paula Catalina Palacios Cortes

Auditoría de sistemas – Contaduría Pública
Universidad Pedagógica y Tecnológica de Colombia – Facultad Seccional Chiquinquirá.

INTRODUCCIÓN  
La presente relatoría tiene como objetivo investigar a través de varios artículos el hacking ético y la
incidencia en el software contable, por medio de revistas, libros digitales extraemos la siguiente
información. A través de los años las organizaciones informatizadas se dieron cuenta de que una de
las mejores formas de evaluar la amenaza de intrusión sería tener profesionales independientes de
seguridad informática intentando entrar en sus sistemas. Estos "hackers éticos" emplean las mismas
herramientas y técnicas que los intrusos, pero sin dañar el sistema de destino ni robar información.
En su lugar, permiten evaluar la seguridad de los sistemas e informar a los propietarios sobre las
vulnerabilidades encontradas junto con las instrucciones de cómo remediarlos. Este proceso debe
ser planificado con antelación. Todos los aspectos técnicos, de gestión y estratégicos deben estar
sumamente cuidados. Estas etapas deben realizarse en un marco de control, gestión y supervisión
constante.
Cabe aclarar que hacking es un conjunto de técnicas para acceder a un sistema informático sin
autorización. Existe autorización cuando se dispone de un control de acceso mediante el uso de
identificadores de usuario y passwords.
Es un término tradicionalmente ligado a la libertad de Información de Internet. En sus códigos está
el respetar la vida privada, pero eso después de aprender cómo funcionan los sistemas y dónde están
los datos. Entre sus medios destacan los Sniffers o escaneadores de puertos, programas que buscan
claves, passwords y puertos abiertos. [ De Miguel, 2007]

MÉTODO DE INCLUSIÓN DE HACKING ÉTICO EN EL PROCESO DE TESTING DE

SOFTWARE
Como ocurre con la mayoría de los avances tecnológicos, el crecimiento explosivo de Internet tiene
un lado oscuro: los hackers. La escalada natural de amenazas ofensivas contra las medidas
defensivas ha demostrado una y otra vez que no existen sistemas prácticos que se puedan construir
que sean invulnerables a los ataques. Las organizaciones informatizadas se dieron cuenta de que
una de las mejores formas de evaluar la amenaza de intrusión sería tener profesionales
independientes de seguridad informática intentando entrar en sus sistemas. Estos "hackers éticos"
emplean las mismas herramientas y técnicas que los intrusos, pero sin dañar el sistema de destino ni
robar información. En su lugar, permiten evaluar la seguridad de los sistemas e informar a los
propietarios sobre las vulnerabilidades encontradas junto con las instrucciones de cómo
remediarlos. Este proceso debe ser planificado con antelación. Todos los aspectos técnicos, de
gestión y estratégicos deben estar sumamente cuidados. Estas etapas deben realizarse en un marco
de control, gestión y supervisión constante. Es allí donde apunta este proyecto, poder incluir de
manera segura y metódica la fase de revisión por hacking ético dentro del proceso de Testing de
software.
Las políticas de seguridad de la información o los controles por sí solos no garantizan la protección
total de la información, ni de los sistemas de información, servicios o redes. Después de los
controles que se implementan, vulnerabilidades residuales probablemente permanezcan haciendo
ineficaz la seguridad de la información y por lo tanto los incidentes son aún más posibles. Esto
puede llegar a tener efectos negativos tanto directos e indirectos sobre las operaciones de negocio
de una organización.
Además, es inevitable que se produzcan nuevos casos de amenazas no identificadas previamente.
Una preparación insuficiente por una organización para hacer frente a este tipo de incidentes hará
cualquier respuesta menos efectiva, y aumentar así el grado de impacto comercial potencial
adverso. [ISO/IEC 27035:2011]
La planificación es importante para cualesquiera todas las pruebas, ya sea desde un simple análisis
de contraseña a una prueba de penetración completa en una aplicación web [Mayorga Jácome et al,
2015; Santos Castañeda, 2016; Onofa Calvopiña et al, 2016; López Vallejo, 2017]. El resguardo de
datos debe garantizarse, de lo contrario la prueba puede volverse en contra si alguien afirma que
nunca se autorizaron las pruebas. Por lo tanto, un alcance bien definido implica la siguiente
información:
 Sistemas específicos para probar.
 Estimar los riesgos que están involucrados.
 Tiempo que llevara la prueba y evaluación del calendario general.
 Recoger y explorar el conocimiento de los sistemas que tenemos antes de la prueba.
 Entrega de informes específicos incluyendo informes de evaluación de la seguridad y un
informe de nivel superior describiendo las vulnerabilidades generales que deben abordarse,
junto con las medidas correctivas que se deben implementar

Revisiones Sistemáticas
Las revisiones sistemáticas [Argimón, 2004] de artículos científicos siguen un método explícito
para resumir la información sobre determinado tema o problema. Se diferencia de las revisiones
narrativas en que provienen de una pregunta estructurada y de un protocolo previamente realizado.

PRUEBAS DE PENETRACIÓN EN APLICACIONES WEB USANDO HACKEO ÉTICO

Seguridad en Aplicaciones Web Fig. 1. Robo de información A. Bases de Seguridad Autenticación:
se refiere a la pregunta: ¿quién es usted? Es el proceso de identificación única de aplicaciones y
servicios de los clientes. Autorización: se refiere a la pregunta: ¿qué se puede El crecimiento y la
evolución de Internet ha impactado de manera significativa la forma en que nos comunicamos y
realizamos operaciones, lo que genera una gran cantidad de información sensible. Por ejemplo, la
incorporación de números privados en sitios de comercio electrónico, servicios web, bancos y redes
sociales, entre otros; esto causa que la información pueda ser robada o alterada si estos no tienen las
medidas de seguridad necesarias para el manejo de la misma. Los ordenadores en todo el mundo
son susceptibles al ataque de hackers o crackers capaces de comprometer los sistemas informáticos
y robar o eliminar información valiosa. Por esta razón, es esencial saber si estas redes y sistemas
informáticos están protegidos de cualquier tipo de intrusiones. [8] Comúnmente se cree que los
fallos o vulnerabilidades se encuentran en servidores web o en el desarrollo de software de la misma
aplicación; sin embargo, se ha logrado detectar que la mayoría de fallas están dadas por las malas
prácticas de los desarrolladores. Por lo tanto, es importante entender que las aplicaciones web no
sólo deben ser diseñadas y desarrolladas para cumplir con los objetivos específicos para los que se
crean, sino que también deben tener cuidado de cada uno de los datos y la información generada en
ellas.
A. Bases de Seguridad
Autenticación: se refiere a la pregunta: ¿quién es usted? Es el proceso de identificación única
de aplicaciones y servicios de los clientes.
Autorización: se refiere a la pregunta: ¿qué se puede hacer? Es el proceso que rige los recursos
y las operaciones a las que el cliente autenticado tiene acceso.
Revisión de Contabilidad: auditoría efectiva y el registro de claves para evitar la no-
repudiación. La no-repudiación asegura que un usuario no puede negarse a realizar una
operación o el inicio de una transacción.
Aviso: también conocida como la privacidad. Es el proceso de asegurar que los datos se
mantienen como privados y confidenciales y no pueden ser vistos por usuarios no autorizados o
intrusos que controlan el flujo de tráfico a través de una red. El cifrado se utiliza a menudo para
hacer cumplir la confidencialidad.
Integridad: es la garantía de que los datos están protegidos contra posibles modificaciones
accidentales o deliberadas (malicioso).
Disponibilidad: Desde una perspectiva de seguridad, disponibilidad significa que los sistemas
permanecen disponibles para los usuarios legítimos.
B. Ataques Comunes
En la actualidad existen numerosos ataques a aplicaciones web tales como.
 URL de tipo semántico.
 Cross-Site Scripting.
 Cross-Site Request Forgery.
 Peticiones HTTP falsificadas

C. Ataques a través de Bases de Datos

La mayoría de las aplicaciones web hoy en día se encuentran transportando, generando y
mostrando una gran cantidad de información proveniente de bases de datos, por lo que
mantener la integridad y fiabilidad de la misma se vuelve un tema importante cuando se habla
de seguridad. El siguiente listado muestra los principales ataques sobre las bases de datos.
 Exhibition Access Credentials
 SQL Injection
 Exposure data
se conoce como caja estructural de vidrio, caja clara y las pruebas de caja abierta.
 Pruebas de Penetración Grey Box:
En este tipo de pruebas, un tester generalmente proporciona información parcial o limitada con
los detalles internos de un sistema. Puede ser considerado como un ataque de un hacker externo
que habían tenido acceso ilegítimo a los documentos de infraestructura de red de una
organización
Bibliografía
MACÍAS PICO, B. M. (2021). APLICACIÓN DE HACKING ÉTICO PARA LA DETERMINACIÓN DE
AMENAZAS, RIESGOS Y VULNERABILIDADES EN LA RED WIFI DE LA UNIVERSIDAD
ESTATAL DEL SUR DE MANABÍ (Bachelor's thesis, Jipijapa. UNESUM).