Servicios > Hacking Ético

Nuestros servicios consisten en descubrir las deficiencias relativas a seguridad y

las vulnerabilidades de los sistemas informáticos, analizarlas, calibrar su grado de
riesgo y peligrosidad, y recomendar las soluciones más apropiadas para cada una
de ellas.

Un proyecto de Hacking Ético consiste en una penetración controlada en los

sistemas informáticos de una empresa, de la misma forma que lo haría un hacker
o pirata informático pero de forma ética, previa autorización por escrito. El
resultado es un informe donde se identifican los sistemas en los que se ha logrado
penetrar y la información confidencial y/o secreta conseguida.

Cada proyecto se estudia individualmente y se realiza una propuesta de servicios

que puede combinar diversos ámbitos de auditoría (interna, externa, de sistemas,
de aplicaciones web, etc) en función de las necesidades específicas de cada
cliente.

Las distintas modalidades son los siguientes:

Hacking Ético Externo Caja Blanca

Se nos facilita información para poder realizar la intrusión (normalmente las

direcciones IP a testar). Se analizan en profundidad y extensión todas las posibles
brechas de seguridad al alcance de un atacante de los sistemas de
comunicaciones sometidos a estudio. Opcionalmente, el ámbito de actuación se
puede ampliar a máquinas no perimetrales. El resultado es un informe amplio y
detallado de las vulnerabilidades, así como las recomendaciones para solventar
cada una de ellas.

Hacking Ético Externo Caja Negra

Es esencialmente lo mismo que en el de Caja Blanca con la dificultad añadida de

que no se nos facilita ningún tipo de información inicial.

Hacking Ético Interno

El ámbito de esta auditoría es la red interna de la empresa, para hacer frente a la
amenaza de intento de intrusión, bien por un empleado que pueda realizar un uso
indebido o una persona con acceso a los sistemas o un hacker que hubiera
conseguido penetrar en la red. Para este servicio se hace necesaria la presencia
de nuestros especialistas en las instalaciones de la empresa que se va a auditar.
El resultado es un informe amplio y detallado de las vulnerabilidades, así como las
recomendaciones para solventar cada una de ellas.

Hacking Ético de Aplicaciones Web

Se simulan los intentos de ataque reales a las vulnerabilidades de una o varias

aplicaciones determinadas, como pueden ser: sistemas de comercio electrónico,
de información, o de acceso a bases de datos. No es necesaria la entrega del
código fuente de la aplicación. El resultado es un informe amplio y detallado de las
vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético de Sistemas de Comunicaciones

En esta auditoría se analiza la seguridad de las comunicaciones tales como: redes

de datos, hardware de red, comunicaciones de voz, fraude en telecomunicaciones
(uso fraudulento de centralitas, telefonía pública, acceso no autorizado a Internet,
redes de transmisión de datos por radio, etc.) principalmente para estudiar la
disponibilidad de los sistemas, la posibilidad de una interceptación o introducción
no autorizada de información. El resultado es un informe amplio y detallado de las
vulnerabilidades, así como las recomendaciones para solventar cada una de ellas.

Hacking Ético VoIP

Las empresas que están migrando su telefonía tradicional a VoIP por las múltiples
ventajas que ofrece no deberían ignorar los riesgos de seguridad que aparecen
cuando convergen las redes de voz y datos. Los ataques que pueden sufrir los
sistemas VoIP son múltiples: robo de servicio, interceptación de comunicaciones,
denegación de comunicaciones telefónicas, etc. Al mismo tiempo, al modificar
nuestras redes de datos para permitir el uso de VoIP podemos estar abriendo
inadvertidamente vías de ataque a nuestros sistemas informáticos. A través de
nuestro servicio de Hacking Ético VoIP es posible identificar los puntos débiles en
su infraestructura de comunicaciones para minimizar estos riesgos.

Test de Denegación de Servicio (DoS)

Este test refleja el grado de solidez o resistencia de un servicio ante la agresión de
un atacante local o remoto que intente deshabilitarlo. En nuestro informe final se
indican los resultados obtenidos y una descripción de las situaciones específicas
en las que se haya conseguido dicha denegación, si fuera el caso.

CyberAggressor
Se trata de un servicio de hacking ético con metodología propia de ESA Security
dirigido a aquellas empresas e Instituciones con misiones críticas en sectores
como: Defensa, Fuerzas y Cuerpos de Seguridad del Estado, elecomunicaciones,
Producción de Energía, Banca, etc. y en general todos aquellos sectores en los
que la confidencialidad y seguridad de sus sistemas de Tecnologías de la
Información tienen una importancia crítica.

Esta auditoría simula de la forma más realista posible la amenaza de intrusión por
parte de adversarios tales como Hackers o Hacktivistas e intrusiones informáticas
de espionaje industrial. Para ello un equipo de expertos de ESA Security, formado
por personas con habilidades multidisciplinares (en auditoría de seguridad
informática, test de intrusión, programación de exploits, seguridad en
comunicaciones y técnicas avanzadas de hacking), realiza ataques controlados
usando la misma metodología, tácticas, herramientas, etc. que las usadas por la
amenaza potencial.

ESA Security ha diseñado y desarrollado el servicio CyberAggressor para

participar en el ejercicio JWID (Joint Warrior Interoperability Demonstration). Los
Cuarteles Generales y el EMACON han seleccionado este servicio para ser
utilizado en los ejercicios que realizan anualmente las fuerzas de la OTAN para
demostrar la validez de las nuevas tecnologías en los sistemas de defensa,
patrocinados sucesivamente por uno de los ejércitos americanos, y con
participación desde 1996 de países de la OTAN, entre ellos, España.

Beneficios
• Conocimiento del grado de vulnerabilidad de los sistemas de información, que es
imprescindible para aplicar las medidas correctoras.
• Reducción de aquellos riesgos que, en caso de materializarse las amenazas que
les originan, pueden representar pérdidas ingentes de capital, bien por facturación
fallida, por reposición de los daños causados, por pérdida de oportunidad de
negocio, por reclamación de clientes, por sanciones legales etc.
• Ahorro de tiempo y dinero al afrontar y corregir situaciones nefastas antes de que
ocurran y nos obliguen a resolverlas con prisas y a cualquier precio.
• Mejora de la imagen y revalorización de la confianza en la empresa de los
accionistas, inversores, empleados, proveedores y clientes al mostrarles que se
toman medidas diarias para garantizar la continuidad del negocio.

Sobre ESA Security

ESA Security es una consultora especializada únicamente en la Seguridad de la
Información que ha realizado con éxito la preparación de empresas para que
consigan su Certificación ISO 27001, además de haber obtenido su propia
certificación en gestión de Seguridad de la Información. Sus profesionales están
altamente cualificados, incluyendo certificaciones CISA y CISM, y lo más
importante: con la experiencia práctica de haber conseguido Certificaciones ISO y
haber realizado en múltiples ocasiones Planes Directores de Seguridad, Planes de
Continuidad de Negocio, Análisis y Gestión de Riesgos, Proyectos de Hacking
Ético, Formación en Seguridad, Adecuaciones y Auditorías LOPD y servicios
relativos a la Seguridad de la Información en general.

La Ética hacker es una nueva ética surgida de y aplicada a las comunidades

virtuales o cibercomunidades, aunque no exclusivamente. Uno de sus grandes
mentores ha sido el finés Pekka Himanen.

Himanen, en su obra La ética del hacker y el espíritu de la era de la información

(que contiene un prólogo de Linus Torvalds y un epílogo de Manuel Castells),
comienza por rescatar una de las acepciones originales del término 'hacker'.
Según Himanen, un hacker no es un delincuente, vándalo o pirata informático con
altos conocimientos técnicos, a los que prefiere llamar crackers), sino que hacker
es todo aquel que trabaja con gran pasión y entusiasmo por lo que hace. De ahí
que el término 'hacker' pueda y deba extrapolarse a otros ámbitos como ser, por
ejemplo, el científico. Así Himanen escribe, "en el centro de nuestra era
tecnológica se hallan unas personas que se autodenominan hackers. Se definen a
sí mismos como personas que se dedican a programar de manera apasionada y
creen que es un deber para ellos compartir la información y elaborar software libre.
No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo
es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un
entusiasta de cualquier tipo que puede dedicarse o no a la informática. ".

Según Himanen la ética hacker es una nueva moral que desafía "La ética
protestante y el espíritu del capitalismo", (obra escrita hace un siglo por Max
Weber) y que está fundada "en la laboriosidad diligente, la aceptación de la rutina,
el valor del dinero y la preocupación por la cuenta de resultados. Ante la moral
presentada por Weber, la ética del trabajo para el hacker se funda en el valor de la
creatividad, y consiste en combinar la pasión con la libertad. El dinero deja de ser
un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre
acceso, la transparencia y la franqueza".

La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una
determinada serie de valores. Himanen rescata algunos fundamentales, a saber:

 Pasión
  Libertad
 Conciencia social
 Verdad
 Anti-Fascismo
 Anti-Corrupción
 Lucha contra la alienación del hombre
 Igualdad social
 Libre acceso a la información (conocimiento libre)
 Valor social (reconocimiento entre semejantes)
 Accesibilidad
 Actividad
 Preocupación responsable
 Creatividad

También cabe consultar el estudio escrito por Pau Contreras Me llamo Kohfam,
identidad hacker: una aproximación antropológica, III Premio de Ensayo Eusebi
Colomer de la Fundación EPSON, Barcelona, 2004. Según Contreras, las
agrupaciones hackers dan lugar a unas configuraciones sociales en red que se
caracterizan por su capacidad de generar conocimiento e innovación. Estas
configuraciones en red, llamadas "inteligencias-red" presentan unas propiedades
sociales basadas en la meritocracia, la concepción pública del conocimiento
generado y la redistribución de éste entre los miembros del grupo. Según el autor,
la organización social de los grupos hacker es muy similar a la utilizada en las
sociedades primitivas, con liderazgos no coercitivos y sistemas de reputación
entre pares basados en la ética hacker como características fundamentales.

Otros aspectos que resaltan de esta ética, es una palabra muy sonada, y muy
maravillosa: "Ningún problema debería resolverse 2 veces", aludiendo a que el
tiempo de los demás es muy valioso, y cuando resuelvas algo comunicalo a todos
tus compañeros hackers para que puedan resolver otros problemas, aumentando
la productividad.

Bibliografia

http://es.wikipedia.org/wiki/%C3%89tica_hacker

http://gradha.sdf-eu.org/textos/hacker_ethic.es.html

http://www.esa-security.com/web/servicios/hacking.htm
Servicios > ISO 27001 · Certificación de la Gestión de la Seguridad de la
Información · Implantación SGSI

Situación Actual

Para la mayoría de las empresas e instituciones, sus sistemas de información son

los activos por excelencia, imprescindibles para su propia existencia y
supervivencia.

Tanto las pymes como las multinacionales, reconocen el grado de criticidad que
los sistemas de información representan para su funcionamiento y supervivencia y
el alto grado de vulnerabilidad inherente a la propia naturaleza de estos sistemas.
Y lo que es más grave, la insuficiencia de las políticas y normas de seguridad
implantadas a la fecha.

Con frecuencia somos testigos y/o víctimas de ataques de virus, de hackers, e

incluso de empleados o usuarios maliciosos que acceden a información
confidencial y la utilizan de forma perjudicial para la empresa. En muchas
ocasiones somos conscientes de los daños causados cuando es demasiado tarde
o quizá nunca.

Otras situaciones reflejan retrasos o ineficiencias en los casos de fallos de

aplicaciones, ausencias de personal cualificado, sistemas de respaldo incompletos
ineficientes que repercuten en un menor nivel de servicio, costes excesivos o baja
rentabilidad.

Situación Deseada

Los Directores desean que sus negocios funcionen sin interrupción y contar con
un grado de riesgo que represente una baja probabilidad de que dichas
interrupciones se materialicen. Además quieren que el trabajo que realiza su
personal sea eficaz en tiempos y costes.

Cada interrupción puede significar una cantidad ingente de dinero que se deja de
ingresar, o retrasos en la facturación y/o pérdidas de imagen ante accionistas,
inversores, empleados, proveedores o clientes.

La situación deseada es aquella en la que la continuidad del negocio se encuentra

dentro de los límites asumibles por la Dirección. El logro de este objetivo lleva
consigo una labor de gestión para la mitigación de los riesgos relativos a los
sistemas de información que dan vida a la empresa

Estándares Internacionales El objetivo de conseguir y mantener la situación

deseada tiene un carácter universal. Es decir, puede aplicar a cualquier empresa u
organización de cualquier parte del mundo.
Por ello, la Organización ISO ha venido publicando distintas normas hasta la
publicación de la Norma ISO 17799 en el año 2005 (ISO 27002), que es un Código
de Buenas Prácticas orientadas a reducir los riesgos y a aproximarse a una
continuidad del negocio derivada de la adecuada Gestión de la Seguridad de la
Información. Es un marco unificado de control de seguridad interno que recorre
toda la compañía, desde la Dirección hasta los activos pasando por la seguridad
física, la lógica, el cumplimiento legal, etc.

Sobre la base de la Norma ISO 17799:2005 se aprobó igualmente la Norma ISO

27001, que permite a las empresas certificar su Sistema de Gestión de la
Seguridad de la Información (SGSI).

De esta manera, existe una referencia oficial orientada a que los usuarios de los
servicios no sufran las consecuencias de la falta de continuidad del servicio de las
empresas o instituciones que los ofrecen o de sentir la incertidumbre de si el futuro
servicio es fiable o no.

La empresa que ostente este Certificado está diciendo a sus accionistas, clientes,
empleados y proveedores que ha tomado y toma medidas preventivas diarias para
asegurar la Gestión de la Seguridad de su Información, teniendo en consideración
la continuidad de su servicio, a través de uno de los puntos generales de esta
Norma, o lo que es lo mismo, para no dejarles en ningún momento desatendidos.
Y lo más importante: que se optimizan y aseguran los procesos que generan un
servicio con garantías de fiabilidad y de continuidad.

Preparación para la Certificación La preparación de una empresa o institución para

conseguir el certificado de su SGSI es un trabajo de especialistas que requiere
amplios conocimientos de organización, gestión de los sistemas de información y
de la tecnología actual relativa a la seguridad de la información.

Si una empresa o institución está interesada en este Certificado y no dispone de

especialistas, la opción más económica, práctica y rápida es contratar una
consultora especializada en la Seguridad de la Información para llevar a cabo esta
preparación. La función de esta consultora para que la empresa pase la auditoría
de la Entidad de Certificación, es similar a la de un taller de automóviles para que
un automóvil pase la ITV.

Qué supone implantar un SGSI Asumir y hacer parte intrínseca de la organización

determinados procesos, comportamientos y acciones para mejorar dicha
organización.

Establecer y/o reordenar la gestión de la Seguridad de la información de una

organización, en concordancia con sus Planes Estratégicos y su negocio.
Una Gestión eficaz de la Seguridad permite garantizar la Confidencialidad, la
Integridad y la Disponibilidad de la información.

Se trata de ejercer el control interno sobre nuestros principales activos mediante

un ciclo de mejora continua (Plan - Do - Check - Act):

Plan: Definir la política de seguridad. Establecer el

alcance del SGSI. Realizar análisis de riesgos.
Seleccionar los controles.

Do: Implantar el plan de gestión de riesgos. Implantar el

SGSI. Implantar los controles.

Check: Revisar internamente el SGSI. Realizar

auditorías internas del SGSI.

Act: Adoptar las acciones correctivas. Adoptar las

acciones preventivas.

Fases del proyecto

01. Delimitación del Alcance
02. Análisis de Riesgos
03. Gestión de Riesgos
04 Declaración de Aplicabilidad
05. Políticas y Procedimientos
06. Plan Director de Seguridad
07. Plan de Continuidad de Negocio
08. Plan de Formación
09. Gestión de Incidencias
10. Desarrollo del SGSI
11. Auditoría Interna
12. Certificación.

Beneficios
• Reducción de aquellos riesgos que, en caso de materializarse las amenazas que
les originan, pueden representar pérdidas ingentes de capital, bien por facturación
fallida, por reposición de los daños causados, por pérdida de oportunidad de
negocio, por reclamación de clientes, por sanciones legales etc.
• Ahorro de tiempo y dinero al afrontar y corregir situaciones nefastas antes de que
ocurran y nos obliguen a resolverlas con prisas y a cualquier precio.
• Mejora de la imagen y revalorización de la confianza en la empresa de los
accionistas, inversores, empleados, proveedores y clientes al mostrarles que se
toman medidas diarias para garantizar la continuidad del negocio.
Sobre ESA Security ESA Security es una consultora especializada únicamente en
la Seguridad de la Información que ha realizado con éxito la preparación de
empresas para que consigan su Certificación ISO 27001, además de haber
obtenido su propia certificación en gestión de Seguridad de la Información.

Sus profesionales están altamente cualificados, incluyendo certificaciones CISA y

CISM, y lo más importante: con la experiencia práctica de haber conseguido
Certificaciones ISO y haber realizado en múltiples ocasiones Planes Directores de
Seguridad, Planes de Continuidad de Negocio, Análisis y Gestión de Riesgos,
Proyectos de Hacking Ético, Formación en Seguridad, Adecuaciones y Auditorías
LOPD y servicios relativos a la Seguridad de la Información en general.

Bibliografia

http://www.esa-security.com/web/servicios/index.htm
La esteganografía es la disciplina en la que se estudian y aplican técnicas que
permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados
portadores, de modo que no se perciba su existencia. Es una mezcla de artes y
técnicas que se combinan para conformar la práctica de ocultar y enviar
información sensible en un portador que pueda pasar desapercibido.

Si bien la esteganografía suele confundirse con la criptografía, por ser ambas

parte de los procesos de protección de la información, son disciplinas bastante
distintas, tanto en su forma de implementar como en su objetivo mismo. Mientras
que la criptografía se utiliza para cifrar o codificar información de manera que sea
ininteligible para un probable intruso, a pesar del conocimiento de su existencia, la
esteganografía oculta la información en un portador de modo que no sea advertida
el hecho mismo de su existencia y envío. De esta última forma, un probable
intruso ni siquiera sabrá que se está transmitiendo información sensible.

Sin embargo, la criptografía y la esteganografía pueden complementarse, dando

un nivel de seguridad extra a la información, es decir, es muy común (aunque no
imprescindible) que el mensaje a esteganografiar sea previamente cifrado, de tal
modo que a un eventual intruso no sólo le costará advertir la presencia misma de
la mensajería oculta, sino que si la llegara a obtener, la encontraría cifrada.

La esteganografía es el arte de transmitir información de modo que la presencia

de la misma pase inadvertida, típicamente escondida dentro un texto o una
imagen. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito),
literalmente escrito cubierto, en el sentido de escondido.

A diferencia de la criptografía en la que el mensaje se ve que está cifrado e induce

a sospecha, aquí la información está inmersa sutilmente en un vehículo, sea texto,
imagen o sonido, aparentemente normales. La información que contiene sólo
puede revelarse aplicando un procedimiento apropiado.

La esteganografía ha dejado su escondite para mucha gente a raíz de los hechos

del 11 de septiembre y la posibilidad de que la red de Al Qaeda esté usando
algunas de estas técnicas para transmitir mensajes a través de imágenes y/o
bandas de sonido presentes en la web.

Bibliografía

http://es.wikipedia.org/wiki/Esteganograf%C3%ADa

http://www.infovis.net/printMag.php?num=101&lang=1

http://www.kriptopolis.org/esteganografia
http://www.vsantivirus.com/esteganografia.htm