Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Asset es cualquier dato, dispositivo u otro componente del entorno que soporta
información relacionada con el negocio y que debe ser protegida
(lectura/manipulación).
• Vulnerabilidad es una debilidad que puede ser explotada por un atacante para ganar
acceso no autorizado dentro de un ordenador o de la red. Las vulnerabilidades se
pueden clasificar en:
o Una mala configuración en los parámetros de configuración de las aplicaciones o
servicios.
o Instalación por defecto. En ocasiones, la instalación predeterminada de
aplicaciones o servicios utiliza parámetros por defecto y lugares de
almacenamiento por defecto, dando lugar a posibles vulnerabilidades.
o Desbordamiento de buffer son fallas en ejecución que permiten al atacante
aprovechar una mala codificación.
o No actualizar el sistema da lugar a abrir posibles vulnerabilidades en nuestro
sistema. Muchos parches y actualizaciones mejoran el funcionamiento del sistema
y evitan posibles fallas de seguridad.
o Fallas de diseño. Estas son fallas universales a todos los sistemas operativos
(encriptación, validación de datos, etc.)
o Fallas de sistemas operativos. A diferencia de las anteriores, estás fallas son
especificas al sistema operativo y sus versiones (Windows, Linux…).
o Fallas de aplicación. Son fallas que afectan a la programación y al funcionamiento
de la aplicación.
o Servicios abiertos. Son servicios que no están siendo usados en el sistema, pero
que permanecen abiertos. Estos servicios abiertos pueden ser aprovechados por el
atacante para conseguir acceso al sistema.
o Contraseñas por defecto. Dejar contraseñas por defecto es una forma de abrir su
sistema a posibles accesos no deseados.
• Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la
seguridad de un sistema de información.
• Riesgo: Es la relación entre la probabilidad de que la amenaza ocurra y el impacto que esa
amenaza tendría en nuestra organización.
1. Definir el alcance. Es decir, indicar que áreas van a ser el foco de estudio.
2. Identificar los activos. Se deben identificar los activos más importantes que entran
dentro del alcance definido en el paso 1. Para realiza esto se suele usar un listado
donde se indican los siguientes datos de cada uno de los activos identificados:
o Identificador del activo. Se le asigna un identificador único
o Nombre del activo.
o Descripción del activo.
o Responsable
o Tipo de activo. Puede ser un servidor, un router, etc.
o Ubicación del activo.
o Si es crítico o no
3. Identificar y seleccionar las amenazas. Una vez que se han identificado cada uno de
los activos, es necesario identificar y seleccionar las amenazas a las que están
expuestos dichos activos.
4. Identificar vulnerabilidades y salvaguardas. En esta fase se estudian las características
de los activos identificados. Por ejemplo, en el caso de servidores, software no
actualizado o una mala configuración. También se recogen las medidas de seguridad
que, en ese momento, están implantadas en la organización.
Una vez estás fases han sido ejecutadas, se procede a la fase de análisis de riesgos de cada
uno de los pares activo-amenaza, es decir se calculará la probabilidad de que la amenaza se
materialice y el impacto sobre el negocio que esto produciría. Este cálculo puede hacerse
cuantitativamente o cualitativamente:
• Cualitativamente. En este caso se utiliza lo que se llama una matriz de riesgo, figura 2.
Una vez tengamos definido el riesgo debemos pasar a la fase de tratamiento del riesgo que
consiste en tratar aquellos riesgo que superen el límite establecido por el encargado de la
seguridad del sistema.
Durante esta sección hemos hablado de las salvaguardas y los controles de seguridad que ya
están implantadas en una empresa o que se deberían implementar para minimizar dicho
riesgo. Como comentario adicional, se puede añadir que estos controles de seguridad se
pueden clasificar según el área de control y según su funcionalidad.
Otro aspecto fundamental es analizar el comportamiento de los usuarios para, por ejemplo,
poder aplicar esos análisis a sistemas de detección e intrusos.
De forma sencilla, una política de seguridad se puede definir como: “una serie de normas que
deben cumplir todas las personas que tengan acceso a cualquier información y/o tecnología de
una organización”. Es decir, La política de seguridad de una organización es algo así como las
normas, reglas o leyes (escritas, cuanto más públicas, mejor) que rigen la vida de la
organización en cuanto a qué se puede hacer y qué no se puede hacer.
Para poder definir una buena política de seguridad, esta, debe cumplir unas normas generales:
• Debe poderse implantar. Como consecuencia de ella, se deben tener unas normas de
comportamiento para los usuarios y administradores.
• Debe entenderse. Es decir, debería de explicarse a todo el personal de la organización
el alcance de no cumplirla, así como el significado técnico y legal de una serie de
conceptos como confidencialidad, integridad, identificación, autenticación, etc.
• Debe hacerse cumplir. Debe contemplar una serie de procedimientos de auditoría,
para comprobar que no es «papel mojado», sino que está, realmente, cumpliéndose.
Debe contemplar, igualmente, sanciones adecuadas a cada una de las posibles
infracciones. En este sentido, es muy importante señalar que debe estar respaldada
completamente por la dirección de la organización, sin tal apoyo nunca se puede llevar
a cabo.
• Debe definir responsabilidades. No puede ser igual el papel de un usuario que el de un
administrador de una gran red, en el sentido de las distintas responsabilidades.
• Debe permitir que siga realizándose el trabajo normal. Si no fuera así, se estaría en la
aproximación militar: no se permite un nuevo servicio, hasta que sea completamente
seguro. Debe ofrecerse seguridad, pero no al precio de que no funcione la
organización. Debe implicar un análisis de riesgos, teniendo en cuenta el precio de la
seguridad frente a la probabilidad de pérdida.
• Debe ser exhaustiva. Debe tener en cuenta todos los componentes del sistema, es
decir, debe incluir como objetivos asegurar:
o Componentes físicos.
o Sistemas informáticos (ordenadores personales, portátiles, servidores, hosts,
dispositivos móviles, etc.) y su software.
o Aplicaciones en red de los sistemas.
o Dispositivos de red (encaminadores, conmutadores, etc.) y su software.
o Sistemas de gestión de red.
o Organizaciones humanas, individuos, departamentos, divisiones,
colaboradores externos, clientes, etc.
• Debe incluir mecanismos de respuesta. Habrá que tener en cuenta qué se debe hacer
al sufrir un ataque, cómo pararlo, cómo identificar al atacante y cómo responder al
ataque.
• Debe tener mecanismos de actualización. Esto es, simplemente, por el principio
enunciado de que la seguridad es un proceso. Al descubrir mediante una auditoria, por
ejemplo, un fallo en el sistema de seguridad no contemplado en la política, hay que
poder hacer una nueva versión de la misma e implementarla. En la figura podemos ver
el proceso de seguridad completo.
• Debe cumplir la legislación. Por ejemplo, debería definir qué información hay que
registrar y guardar, especialmente la que tenga, según la legislación de cada país,
capacidad probatoria.
• Políticas de control de acceso. Identifica los recursos que necesitan protección y las
herramientas y/o normas para controlar su acceso.
• Políticas de seguridad de la información. Identifica que sistemas de la organización
pueden ser utilizados por los empleados, cuales no y las consecuencias de no cumplir
dichas normas.
• Políticas de protección de la información. Define los niveles de sensibilidad de los
datos o información y quien puede acceder a ellos. También indica como los datos
deben ser tratados a la hora de ser almacenados, enviados y borrados.
• Políticas de contraseña. Donde se define la longitud de la contraseña, complejidad,
tiempo en el que caduca la contraseña, etc.
• Política de seguridad de correo electrónico. La organización define el uso correcto y
seguro del correo electrónico por parte de sus empleados. Por ejemplo, el instituto
nacional de ciberseguridad (Incibe) establece 10 pasos básicos para el uso correcto del
correo electrónico en cualquier organización (https://www.incibe.es/protege-tu-
empresa/blog/seguridad-el-correo-electronico-si-tan-solo-10-pasos), Algunos de estos
son:
o Identificación del remitente. El empleado debe ser precavido a la hora de abrir
correos de remitentes desconocidos y ser consciente de los riesgos de abrir
ficheros adjuntos.
o Inspeccionar enlaces. Es importante antes de pulsar en un enlace situarse
encima de el y revisarlo. Comprobar que no hay elementos sospechosos, por
ejemplo, el número 0 en lugar de la letra o.
o Instalar antimalware y antispam.
o Utilizar la copia oculta (BBC o CCo). Cuando un mensaje vaya a varios
destinatarios, deberías mandártelo a ti mismo y el resto de los destinatarios
deberían ir en copia oculta. Así se evita que cualquiera pueda conseguir
direcciones de correo válidas a las que luego pueda enviar spam o mensajes
fraudulentos.
En el capítulo de footprinting veremos que hay herramientas para trazarel uso
del correo electrónico.
• Política de auditoria de la información. Define el proceso seguro para auditar la
información. Indicando, el cuándo, donde, la periodicidad e incluso quien es el
encargado de realizar esas auditorias.
Existen otros muchos tipos de política de seguridad como las de acceso remoto, de
cuentas de usuario, etc. Todas estás políticas no son excluyentes unas de otras, sino todo
lo contrario. Por ejemplo, una política de seguridad de correo electrónica va ligada a una
buena política de seguridad de contraseñas.
• Los hackers de sombrero blanco. Estos son los hackers éticos que son contratados por
un cliente con el objeto de probar y mejorar la seguridad de un sistema o para
cualquier otro propósito defensivo. Es importante recalcar que los hackers de
sombrero blanco no usaran sus conocimientos ni habilidades sin un consentimiento
previo.
• Los hackers de sobrero negro. Usan sus habilidades de forma ilegal para su beneficio
personal o con malos propósitos, por ejemplo, robo de información, destrucción de
datos, etc.
• Los hackers de sombrero gris. Estos pueden dividirse en dos tipos:
o Personas que tienen curiosidad sobre herramientas y técnicas de hackeo
o Personas que sienten como su deber, con o sin autorización de un cliente,
demostrar fallas de seguridad de un sistema. Es importante indicar que
hackear un sistema sin permiso de un cliente, normalmente, es ilegal.
• Ataques de sistemas operativos. El objetivo de estos ataques son los errores comunes
que muchas personas cometen al instalar sistemas operativos. Por ejemplo, aceptando
o dejando las opciones por defecto, dejando cuentas de administrador sin
contraseñas, dejar todos los puertos abiertos o posibles vulnerabilidades de versión.
• Ataques a nivel de aplicación. Son ataques sobre la lógica de programación y del
software. En ocasiones es sorpréndete ver como la mayoría de la gente desconoce las
aplicaciones que se están ejecutando en sus sistemas operativos y red.
• Ataques de código shrink warp. El objetivo de estos ataques es el código y scripts de la
mayoría de las aplicaciones comerciales. En ocasiones las aplicaciones vienen con
scripts o partes de código de instalación o administración que pueden ser vulnerables.
• Ataques debidos a una mala configuración. El objeto de estos ataques son sistema que
no han sido configurados correctamente.
Para realizar estos ataques y hackear el sistema. El hacker (ético o no), normalmente, seguirá
los siguientes pasos:
Nota: Normalmente, el trabajo del hacker ético que realiza un pen test tiene como objetivo
detectar fallas y documentar los pasos seguidos. Pero no la de arreglar dichas fallas.
Existen varios tipos de pen tests. En esta sección vamos a enumerar algunos de los más
conocidos:
Una vez enumerados las pruebas de penetración más conocidas, es importante conocer las
categorías dentro de las que se enmarcan estás pruebas:
• Pruebas de caja negra. Estas pruebas tienen como objetivo replicar el trabajo que un
hacker externo haría para intentar hackear los sistemas de nuestra organización. En
este caso, la organización le da al hacker ético información básica, equivalente a la que
el hacker externo haya podido recopilar en las primeras fases de hackeo.
• Pruebas de caja blanca. En estas pruebas el hacker ético dispone de toda la
información de la infraestructura de la empresa, tales como redes, sistemas, software
instalado, etc. El diseño de estas pruebas va orientado a ataques internos donde el
hacker conoce muy bien la organización.
• Pruebas de caja gris. En estas pruebas se tiene un conocimiento parcial de la
organización. Por ejemplo, la organización puede proporcionar los nombres de la
aplicación que se ejecuta detrás de una IP; sin embargo, no revela la versión exacta de
los servicios en ejecución. En el caso de una prueba de penetración de aplicaciones
web, se proporciona información adicional, como cuentas de prueba, servidor de
fondo y bases de datos.
Nota: Los test realizados en las pruebas de penetración suele ser de los tipos vistos en el
apartado 1.6
1. Ambas partes tanto cliente como pen tester deben firmar un permiso para “hackear” y
un acuerdo de “no divulgación”.
2. Se debe definir el ámbito de las pruebas y que parte de la organización va a ser
probada.
3. La duración del proyecto, incluyendo la fecha de inicio y fin.
4. La metodología que va a ser utilizada. Actualmente existen un buen número de ellas.
Algunas de las más conocidas son:
o OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad). En este
manual se explica la forma de llevar a cabo la auditoria de seguridad e incluye
las pruebas de personal, físicas, inalámbricas, de telecomunicaciones y de
datos.
Es posible certificarse y acreditarse en OSSTMM mediante una serie de cursos
(http://www.isecom.org/certification/opst.html)
o El Instituto Nacional de Estándares y Tecnología EE. UU (NIST) lanzó el
proyecto en el año 2013 con el objeto de mejorar la seguridad cibernética en
infraestructuras críticas; y ha ido actualizándose con el tiempo. El documento
define una infraestructura crítica como “sistemas y activos, ya sean físicos o
virtuales, tan vitales para los Estados Unidos que la incapacidad o destrucción
de dichos sistemas y activos tendría un impacto debilitador en la seguridad de
la nación, la seguridad económica nacional, la salud y seguridad pública, o
cualquier combinación de estos mismos”
Por último, conviene destacar que esta metodología describe cinco funciones
básicas:
Identificar. Es decir, entender como funciona la organización para
poder administrar el riesgo de seguridad cibernética para sistemas,
personas, activos, datos y capacidades.
Proteger. Desarrollar e implementar medidas de seguridad adecuadas
para garantizar la entrega de servicios críticos.
Detectar. Desarrollar e implementar actividades apropiadas para
identificar la ocurrencia de un evento de seguridad cibernética.
Responder. Desarrollar e implementar actividades apropiadas para
tomar medidas con respecto a un incidente detectado de seguridad
cibernética.
Recuperar – Desarrollar e implementar actividades apropiadas para
mantener los planes de resiliencia y restablecer cualquier capacidad o
servicio que se haya visto afectado debido a un incidente de seguridad
cibernética.
o OWASP. Se centra en como realizar un test de penetración y en las
herramientas disponibles para llevar a cabo las fases de recolección de datos,
análisis de vulnerabilidades, explotación y documentación.
5. Definir claramente los objetivos de la prueba o test de penetración
6. Decidir qué técnicas están o no permitidas. Por ejemplo, decidir si las pruebas de
denegación de servicio se deben utilizarse.
7. Las responsabilidades de cada una de las personas implicadas en la prueba de
penetración y sus posibles consecuencias.
Es importante indicar que todas estas pruebas deben hacerse desde la legalidad y siempre a
través de contratos legales.
Para realizar un buen informe de pruebas de penetración se deberían cumplir las siguientes
características:
• Debe ser claro, sencillo y comprehensible para cada uno de los perfiles a los que va
destinado. En este caso, un informe de penetración suele ir destinado a ejecutivos,
administradores y técnicos.
• La presentación del informe de informe es importante. Se debe mantener una
uniformidad en las cabeceras, tipos de letra, pies de las tablas e imágenes, etc.
• Debería estar bien organizado. Para ello debería disponer de:
o Portada. En ella debería aparecer los datos de la empresa que realiza la prueba
de penetración, el logo y una breve descripción de la prueba realizada.
o Tabla de contenidos. Esta permitirá al lector y a las secciones que le interesan
sin tener que recorrer todo el documento.
o Resumen ejecutivo. Es la sección que se dirige específicamente a los ejecutivos
como el CEO o el CIO de la empresa. Por tanto, deben evitarse tecnicismo y
utilizarse conceptos sencillos y claros que puedan dar al ejecutivo una idea de
lo realizado y encontrado en las pruebas, de las posibles debilidades y
vulnerabilidades del sistema y de los riesgos de no solucionar dichas
vulnerabilidades.
o Recomendaciones. En esta sección se especifican las recomendaciones que la
organización debería implementar para que su organización fuera más segura.
o Resumen de evaluación de las vulnerabilidades. En esta sección se indican las
vulnerabilidades encontradas. En esta sección se aconseja usar imágenes o
gráficos que muestren las debilidades y fuerzas de las vulnerabilidades
encontradas,
o Evaluación del riesgo. Esta sección se indica la intensidad del daño que las
vulnerabilidades pueden causar; Del mismo modo, los ejecutivos de seguridad
también querrían saber si su equipo está cualificado y formado para hacer
frente a ese riesgo. Un elemento fundamental en esta sección son las matrices
de evaluación del riesgo.
o Metodología. El informe debe indicar la metodología que se ha utilizado para
realizar la prueba de penetración.
o Resultados detallados. Esta sección va dirigida a los administradores de
seguridad y a los desarrolladores de la empresa. En ella se describen de forma
detallada las vulnerabilidades encontradas:
Descripción de la vulnerabilidad
Explicación. Indica donde fue encontrada la vulnerabilidad, como fue
encontrada, la causa de la vulnerabilidad y una prueba de su
existencia.
Riesgo. Es decir, el impacto que esa vulnerabilidad en la empresa u
organización.
Recomendación. Se indica a los desarrolladores y administradores
algunas recomendaciones para resolver o minimizar la vulnerabilidad.
Así, sin ir más lejos, en el código penal podemos encontrar bastantes artículos relacionados
con el trabajo de un hacker ético. Algunos de estos son:
2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique,
en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen
registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro
tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar
autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio
del titular de los datos o de un tercero.
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros
los datos o hechos descubiertos o las imágenes captadas a que se refieren los números
anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses,
el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento,
realizare la conducta descrita en el párrafo anterior.
4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de
prisión de tres a cinco años cuando:
Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las
penas en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de
carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual,
o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial
protección, se impondrán las penas previstas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente
previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a
datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de
cuatro a siete años.
7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses
el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o
grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o
en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona.
La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el
cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad,
aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada
de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa.”
Aunque hay muchísimas leyes implicadas en el hacking ético y que dependen de los países, es
necesario conocerlas.
Otro aspecto a conocer por los hackers éticos son los estándares o normas relacionadas con la
seguridad de los sistemas de información. Existe un gran número de estos, algunos de los más
relevantes son:
• CEH Certified Ethical Hacker All-in-one Exam Guide. Matt Wlaker. Ed. Mcgraw-Hill
Osborne Media (1900). ISBN-10: 0071772294. ISBN-13: 978-0071772297
• CEH v10 Certified Ethical Hacker Study Guide. Ric Messier. Ed. John Wiley & Sons Inc.
ISBN-10: 1119533198. ISBN-13: 978-1119533191.
• Ethical Hacking and Penetration Testing Guide. Rafay Baloch. Ed. Routledge. ISBN-10:
1482231611. ISBN-13: 978-1482231618-