MÁSTER UNIVERSITARIO EN CIBERSEGURIDAD

TEMA 1: Introducción a la seguridad y al hacking ético

 Tabla de contenido

TEMA 1: Introducción a la seguridad y al hacking ético ................................................................ 1

1.1 Introducción .................................................................................................................. 3
1.2 Los tres pilares básicos de la seguridad: ............................................................................. 3
1.3 Conceptos básicos de seguridad ......................................................................................... 3
1.4 Análisis de Riesgos y controles de seguridad ...................................................................... 4
1.5 Políticas de seguridad.......................................................................................................... 6
1.5.1 Los tipos más comunes de políticas de seguridad ....................................................... 7
1.6 Hacking y hacking ético ....................................................................................................... 8
1.7 Tipos de ataques ................................................................................................................. 9
1.8 Pruebas de penetración o Pen tests.................................................................................. 10
1.8.1 Reglas de compromiso de un test de penetración .................................................... 11
1.8.2 Importancia de los informes escritos de una prueba de penetración ....................... 12
1.9 Leyes y estándares de seguridad....................................................................................... 13
Bibliografía recomendada y utilizada para el documento ...................................................... 16
1.1 Introducción
En este tema se van a repasar algunos de los conceptos básicos de seguridad. Estos conceptos
de vulnerabilidad, riesgo, políticas de seguridad, etc. son esenciales para cualquier persona
que quiera dedicarse a la seguridad. Posteriormente, veremos cómo los hackers pueden ser
clasificados según sus propósitos y nos centraremos en los denominados hackers éticos. Estos
hackers suelen realizar pruebas de penetración y deben cumplir con las leyes establecidas en
el país o países donde van a desarrollar su actividad.

1.2 Los tres pilares básicos de la seguridad:

Existen tres pilares básicos en los que se asienta la seguridad de un sistema. Estos son la
confidencialidad, integridad y disponibilidad. A continuación, se describirá brevemente cada
uno de ellos:

• Confidencialidad. Esa propiedad está, principalmente, relacionado con la privacidad de

la información. Es decir, evitar que personas no autorizadas puedan acceder a
información o datos privados. Un mecanismo que tiene como finalidad proporcionar
confidencialidad es el uso de contraseñas.
Existe un gran número de ataques asociados a la suplantación de identidad, no solo de
un usuario, sino de un dispositivo del sistema. Por ejemplo, el ataque de mac address
spoofing tiene como objetivo suplantar la dirección MAC de un dispositivo permitido.
De esta forma, si el punto de acceso del sistema tiene configurada una lista de
direcciones macs permitidas, el atacante podrá tener acceso a todo el sistema o a
parte de él.
• Integridad. Es la propiedad de la información, por la que se garantiza la exactitud de
los datos transportados o almacenados, asegurando que no se ha producido su
alteración, pérdida o destrucción.
Un método para asegurarla integridad de la información es el uso de funciones hash.
Estas están completamente extendidas en informática, donde se pueden usan para
mecanismos de almacenamiento seguro de contraseñas de cuentas de acceso a
sistemas operativos o a redes, o como piezas imprescindibles en el mecanismo de la
firma digital.
• Disponibilidad. El sistema o los datos deben estar siempre disponibles para el personal
adecuado. Un ataque contra este pilar son los ataques de denegación de servio o DoS.
Para más información de este tipo de ataques, y su protección ante ellos, puede mirar
las páginas webs del INCIBE https://www.incibe-cert.es/blog/clasificacion-ataques-dos
o https://www.incibe-cert.es/blog/medidas-proteccion-frente-ataques-denegacion-
servicio-dos

1.3 Conceptos básicos de seguridad

Una vez que se ha comentado brevemente los pilares en los que se fundamenta una buena
seguridad. Es conveniente recordar algunos básicos de seguridad que nos serán útiles.

• Asset es cualquier dato, dispositivo u otro componente del entorno que soporta
información relacionada con el negocio y que debe ser protegida
(lectura/manipulación).
• Vulnerabilidad es una debilidad que puede ser explotada por un atacante para ganar
acceso no autorizado dentro de un ordenador o de la red. Las vulnerabilidades se
pueden clasificar en:
 o Una mala configuración en los parámetros de configuración de las aplicaciones o
servicios.
o Instalación por defecto. En ocasiones, la instalación predeterminada de
aplicaciones o servicios utiliza parámetros por defecto y lugares de
almacenamiento por defecto, dando lugar a posibles vulnerabilidades.
o Desbordamiento de buffer son fallas en ejecución que permiten al atacante
aprovechar una mala codificación.
o No actualizar el sistema da lugar a abrir posibles vulnerabilidades en nuestro
sistema. Muchos parches y actualizaciones mejoran el funcionamiento del sistema
y evitan posibles fallas de seguridad.
o Fallas de diseño. Estas son fallas universales a todos los sistemas operativos
(encriptación, validación de datos, etc.)
o Fallas de sistemas operativos. A diferencia de las anteriores, estás fallas son
especificas al sistema operativo y sus versiones (Windows, Linux…).
o Fallas de aplicación. Son fallas que afectan a la programación y al funcionamiento
de la aplicación.
o Servicios abiertos. Son servicios que no están siendo usados en el sistema, pero
que permanecen abiertos. Estos servicios abiertos pueden ser aprovechados por el
atacante para conseguir acceso al sistema.
o Contraseñas por defecto. Dejar contraseñas por defecto es una forma de abrir su
sistema a posibles accesos no deseados.

Existen algunas herramientas para detectar vulnerabilidades: www.tenable.com

www.qualys.com www.gfi.com https://cirt.net www.openvas.org www.beyondtrust.com

• Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la
seguridad de un sistema de información.
• Riesgo: Es la relación entre la probabilidad de que la amenaza ocurra y el impacto que esa
amenaza tendría en nuestra organización.

Nota: Es importante recordar que un sistema siempre va a tener vulnerabilidades. La relación

entre vulnerabilidad, riesgo, amenaza e impacto permiten decidir si esa vulnerabilidad es o no
aceptable.

1.4 Análisis de Riesgos y controles de seguridad

Una parte fundamental de un plan de seguridad es el análisis de riesgos. Pero antes de llegar a
esta fase se debería haber cubiertos otras fases como son:

1. Definir el alcance. Es decir, indicar que áreas van a ser el foco de estudio.
2. Identificar los activos. Se deben identificar los activos más importantes que entran
dentro del alcance definido en el paso 1. Para realiza esto se suele usar un listado
donde se indican los siguientes datos de cada uno de los activos identificados:
o Identificador del activo. Se le asigna un identificador único
o Nombre del activo.
o Descripción del activo.
o Responsable
o Tipo de activo. Puede ser un servidor, un router, etc.
o Ubicación del activo.
o Si es crítico o no
 3. Identificar y seleccionar las amenazas. Una vez que se han identificado cada uno de
los activos, es necesario identificar y seleccionar las amenazas a las que están
expuestos dichos activos.
4. Identificar vulnerabilidades y salvaguardas. En esta fase se estudian las características
de los activos identificados. Por ejemplo, en el caso de servidores, software no
actualizado o una mala configuración. También se recogen las medidas de seguridad
que, en ese momento, están implantadas en la organización.

Una vez estás fases han sido ejecutadas, se procede a la fase de análisis de riesgos de cada
uno de los pares activo-amenaza, es decir se calculará la probabilidad de que la amenaza se
materialice y el impacto sobre el negocio que esto produciría. Este cálculo puede hacerse
cuantitativamente o cualitativamente:

• Cuantitativamente. Se calcula mediante la fórmula de la figura 1 y se tiene en cuenta la

probabilidad de que la amenaza ocurra por el impacto.

Figura 1. Fórmula para calcular el riesgo

• Cualitativamente. En este caso se utiliza lo que se llama una matriz de riesgo, figura 2.

Figura 2. Matriz de análisis de riesgos

Una vez tengamos definido el riesgo debemos pasar a la fase de tratamiento del riesgo que
consiste en tratar aquellos riesgo que superen el límite establecido por el encargado de la
seguridad del sistema.

Durante esta sección hemos hablado de las salvaguardas y los controles de seguridad que ya
están implantadas en una empresa o que se deberían implementar para minimizar dicho
riesgo. Como comentario adicional, se puede añadir que estos controles de seguridad se
pueden clasificar según el área de control y según su funcionalidad.

• Según el área de control. Los controles de seguridad pueden ser:

o Físicos. Algunos ejemplos son: cámaras, biometría, guardias de seguridad.
o Técnicos. Por ejemplo, tarjetas inteligentes, listas de control de acceso.
 o Administrativos. Entrenamiento y conocimiento, estrategias de selección de
personal.
• Según su funcionalidad. Los controles pueden ser:
o Preventivo. Su objetivo es anticiparse a los eventos antes de que sucedan.
o Detectivos. Su objetivo es detectar los eventos o sucesos en el momento que
suceden o aparecen.
o Correctivos. Su objetivo es aplicar las medidas correctivas necesarias para
revertir el suceso o evento no deseado.

Otro aspecto fundamental es analizar el comportamiento de los usuarios para, por ejemplo,
poder aplicar esos análisis a sistemas de detección e intrusos.

1.5 Políticas de seguridad

Es muy importante recalcar la importancia de la política de seguridad en una organización. Las
organizaciones no deben amoldarse a una política de seguridad, sino que ésta debe ser
desarrollada para una determinada organización, servir de guía para un correcto sistema de
gestión de la seguridad de la organización y cumplir las disposiciones legales del país.

De forma sencilla, una política de seguridad se puede definir como: “una serie de normas que
deben cumplir todas las personas que tengan acceso a cualquier información y/o tecnología de
una organización”. Es decir, La política de seguridad de una organización es algo así como las
normas, reglas o leyes (escritas, cuanto más públicas, mejor) que rigen la vida de la
organización en cuanto a qué se puede hacer y qué no se puede hacer.

Para poder definir una buena política de seguridad, esta, debe cumplir unas normas generales:

• Debe poderse implantar. Como consecuencia de ella, se deben tener unas normas de
comportamiento para los usuarios y administradores.
• Debe entenderse. Es decir, debería de explicarse a todo el personal de la organización
el alcance de no cumplirla, así como el significado técnico y legal de una serie de
conceptos como confidencialidad, integridad, identificación, autenticación, etc.
• Debe hacerse cumplir. Debe contemplar una serie de procedimientos de auditoría,
para comprobar que no es «papel mojado», sino que está, realmente, cumpliéndose.
Debe contemplar, igualmente, sanciones adecuadas a cada una de las posibles
infracciones. En este sentido, es muy importante señalar que debe estar respaldada
completamente por la dirección de la organización, sin tal apoyo nunca se puede llevar
a cabo.
• Debe definir responsabilidades. No puede ser igual el papel de un usuario que el de un
administrador de una gran red, en el sentido de las distintas responsabilidades.
• Debe permitir que siga realizándose el trabajo normal. Si no fuera así, se estaría en la
aproximación militar: no se permite un nuevo servicio, hasta que sea completamente
seguro. Debe ofrecerse seguridad, pero no al precio de que no funcione la
organización. Debe implicar un análisis de riesgos, teniendo en cuenta el precio de la
seguridad frente a la probabilidad de pérdida.
• Debe ser exhaustiva. Debe tener en cuenta todos los componentes del sistema, es
decir, debe incluir como objetivos asegurar:
o Componentes físicos.
o Sistemas informáticos (ordenadores personales, portátiles, servidores, hosts,
dispositivos móviles, etc.) y su software.
o Aplicaciones en red de los sistemas.
 o Dispositivos de red (encaminadores, conmutadores, etc.) y su software.
o Sistemas de gestión de red.
o Organizaciones humanas, individuos, departamentos, divisiones,
colaboradores externos, clientes, etc.
• Debe incluir mecanismos de respuesta. Habrá que tener en cuenta qué se debe hacer
al sufrir un ataque, cómo pararlo, cómo identificar al atacante y cómo responder al
ataque.
• Debe tener mecanismos de actualización. Esto es, simplemente, por el principio
enunciado de que la seguridad es un proceso. Al descubrir mediante una auditoria, por
ejemplo, un fallo en el sistema de seguridad no contemplado en la política, hay que
poder hacer una nueva versión de la misma e implementarla. En la figura podemos ver
el proceso de seguridad completo.

• Debe cumplir la legislación. Por ejemplo, debería definir qué información hay que
registrar y guardar, especialmente la que tenga, según la legislación de cada país,
capacidad probatoria.

1.5.1 Los tipos más comunes de políticas de seguridad

Como se ha comentado anteriormente una política de seguridad es un documento, de
obligatorio cumplimiento, donde se define la forma en que una organización debe de asegurar
sus recursos sin entorpecer el funcionamiento de la empresa. Esta política va dirigida a
diferentes cuestiones, como son:

• Políticas de control de acceso. Identifica los recursos que necesitan protección y las
herramientas y/o normas para controlar su acceso.
• Políticas de seguridad de la información. Identifica que sistemas de la organización
pueden ser utilizados por los empleados, cuales no y las consecuencias de no cumplir
dichas normas.
 • Políticas de protección de la información. Define los niveles de sensibilidad de los
datos o información y quien puede acceder a ellos. También indica como los datos
deben ser tratados a la hora de ser almacenados, enviados y borrados.
• Políticas de contraseña. Donde se define la longitud de la contraseña, complejidad,
tiempo en el que caduca la contraseña, etc.
• Política de seguridad de correo electrónico. La organización define el uso correcto y
seguro del correo electrónico por parte de sus empleados. Por ejemplo, el instituto
nacional de ciberseguridad (Incibe) establece 10 pasos básicos para el uso correcto del
correo electrónico en cualquier organización (https://www.incibe.es/protege-tu-
empresa/blog/seguridad-el-correo-electronico-si-tan-solo-10-pasos), Algunos de estos
son:
o Identificación del remitente. El empleado debe ser precavido a la hora de abrir
correos de remitentes desconocidos y ser consciente de los riesgos de abrir
ficheros adjuntos.
o Inspeccionar enlaces. Es importante antes de pulsar en un enlace situarse
encima de el y revisarlo. Comprobar que no hay elementos sospechosos, por
ejemplo, el número 0 en lugar de la letra o.
o Instalar antimalware y antispam.
o Utilizar la copia oculta (BBC o CCo). Cuando un mensaje vaya a varios
destinatarios, deberías mandártelo a ti mismo y el resto de los destinatarios
deberían ir en copia oculta. Así se evita que cualquiera pueda conseguir
direcciones de correo válidas a las que luego pueda enviar spam o mensajes
fraudulentos.
En el capítulo de footprinting veremos que hay herramientas para trazarel uso
del correo electrónico.
• Política de auditoria de la información. Define el proceso seguro para auditar la
información. Indicando, el cuándo, donde, la periodicidad e incluso quien es el
encargado de realizar esas auditorias.

Existen otros muchos tipos de política de seguridad como las de acceso remoto, de
cuentas de usuario, etc. Todas estás políticas no son excluyentes unas de otras, sino todo
lo contrario. Por ejemplo, una política de seguridad de correo electrónica va ligada a una
buena política de seguridad de contraseñas.

1.6 Hacking y hacking ético

Podemos definir hacking como el conjunto de herramientas específicas, técnicas,
conocimientos y habilidades utilizadas para evitar las medidas de seguridad de un sistema y
permitir a alguien “hackear” un ordenador o red. El propósito para usar estas herramientas y
técnicas puede estar destinadas a:

• A sacar un beneficio personal

• O mejorar la seguridad de un sistema, encontrando las posibles fallas y
solucionarlas.

Teniendo en cuenta estos propósitos, podemos clasificar la comunidad de hacking en tres

categorías:

• Los hackers de sombrero blanco. Estos son los hackers éticos que son contratados por
un cliente con el objeto de probar y mejorar la seguridad de un sistema o para
cualquier otro propósito defensivo. Es importante recalcar que los hackers de
 sombrero blanco no usaran sus conocimientos ni habilidades sin un consentimiento
previo.
• Los hackers de sobrero negro. Usan sus habilidades de forma ilegal para su beneficio
personal o con malos propósitos, por ejemplo, robo de información, destrucción de
datos, etc.
• Los hackers de sombrero gris. Estos pueden dividirse en dos tipos:
o Personas que tienen curiosidad sobre herramientas y técnicas de hackeo
o Personas que sienten como su deber, con o sin autorización de un cliente,
demostrar fallas de seguridad de un sistema. Es importante indicar que
hackear un sistema sin permiso de un cliente, normalmente, es ilegal.

1.7 Tipos de ataques

EC-Council (The International Council of E-Commerce Consultants, https://www.eccouncil.org)
es una institución referente en ciberseguridad. Fue creada por Jay Bavisi con el objetivo de
crear programas de capacitación y certificación de seguridad. Esta define los siguientes tipos
de ataque:

• Ataques de sistemas operativos. El objetivo de estos ataques son los errores comunes
que muchas personas cometen al instalar sistemas operativos. Por ejemplo, aceptando
o dejando las opciones por defecto, dejando cuentas de administrador sin
contraseñas, dejar todos los puertos abiertos o posibles vulnerabilidades de versión.
• Ataques a nivel de aplicación. Son ataques sobre la lógica de programación y del
software. En ocasiones es sorpréndete ver como la mayoría de la gente desconoce las
aplicaciones que se están ejecutando en sus sistemas operativos y red.
• Ataques de código shrink warp. El objetivo de estos ataques es el código y scripts de la
mayoría de las aplicaciones comerciales. En ocasiones las aplicaciones vienen con
scripts o partes de código de instalación o administración que pueden ser vulnerables.
• Ataques debidos a una mala configuración. El objeto de estos ataques son sistema que
no han sido configurados correctamente.

Para realizar estos ataques y hackear el sistema. El hacker (ético o no), normalmente, seguirá
los siguientes pasos:

1. Fase de reconocimiento. En esta fase el hacker recopila información sobre el objetivo

que se quiere atacar. Este reconocimiento puede ser pasivo y activo.
a. El reconocimiento pasivo recopila información del objetivo sin su
conocimiento. Un ejemplo de esto es navegar por las redes sociales del
objetivo o dar una vuelta externa para ver la situación física del objetivo.
b. El reconocimiento activo recopila información mediante herramientas o
técnicas que pueden ser descubiertas por el objetivo.
2. Fase de escaneado y enumeración. Una vez acaba la fase de reconocimiento se
aplican herramientas para conseguir información mucho mas concreta. Por ejemplo,
escanear que puertos pueden estar abiertos en el sistema o ver que componentes
tiene la red.
3. Fase para obtener acceso. Una vez se dispone de toda esa información, el atacante
empieza a realizar verdaderos ataques sobre los objetivos vulnerables y enumerados
en las fases anteriores. Por ejemplo, intentando acceder a los puertos abiertos.
4. Fase para mantener el acceso. Una vez se consigue acceder al ordenador, red o
sistema, el atacante deja un “puerta abierta” para poder usar el sistema en un futuro.
 Es lo que se conoce como un zombie (una máquina que puede ser utilizada desde
fuera para ejecutar ataques).
5. Fase donde se cubren las pistas del proceso. Los atacantes para no ser detectados ni
dejar pistas de sus acciones borran las huellas de estas. Por ejemplo, borrar o alterar
los ficheros logs u ocultar ficheros o directorios con atributos de ocultación.

1.8 Pruebas de penetración o Pen tests

Las pruebas de penetración o pen tests son un conjunto de métodos y procedimientos usados
por un hacker ético que tienen como objetivo probar / proteger la seguridad de una
organización. Las pruebas de penetración resultan útiles para encontrar vulnerabilidades en
una organización y verificar si un atacante podrá explotarlas para obtener acceso no
autorizado a un activo.

Nota: Normalmente, el trabajo del hacker ético que realiza un pen test tiene como objetivo
detectar fallas y documentar los pasos seguidos. Pero no la de arreglar dichas fallas.

Existen varios tipos de pen tests. En esta sección vamos a enumerar algunos de los más
conocidos:

• Prueba de penetración de la red. Consiste en probar un entorno de red, con el objeto

de detectar posibles vulnerabilidades y amenazas de seguridad. Esta prueba se puede
dividir en dos subpruebas:
o Una prueba de penetración externa. Donde se hacen pruebas sobre las
direcciones IP públicas.
o Una prueba de penetración interna. Donde se prueba la red desde IP internas
de la organización. Dependiendo del acuerdo al que se llegue con el cliente, el
hecker ético tendrá acceso VPN a la red o tendrá que ir físicamente al entorno
de trabajo para realizar la prueba de penetración.
• Prueba de penetración de aplicaciones Web. Es una de las pruebas más comunes ya
que actualmente los datos utilizados en estas aplicaciones son críticos. Por ejemplo,
contraseñas, tarjetas de créditos, etc.
• Prueba de penetración de aplicaciones móviles. Un buen número de organizaciones
utilizan aplicaciones móviles basadas en Android e iOS para proporcionar servicios a
sus clientes. Por lo tanto, las organizaciones deben asegurarse de que sus aplicaciones
móviles sean lo suficientemente seguras para que los usuarios confíen al proporcionar
información personal al usar dichas aplicaciones.
• Prueba de penetración de ingeniería social. La organización puede pedir al pen hacker
éticos que ataque a sus usuarios. En estas pruebas se suelen utilizar ataques de
phishing y exploits de navegador para engañar al usuario. Y para que lleve a cabo cosas
que no tenía la intención de hacer.
• Prueba de penetración física. Se permite, al hacker ético, el acceso a físico a las
instalaciones de la organización para que pueda comprobar los controles de seguridad
física, como las cerraduras y los mecanismos RFID.

Una vez enumerados las pruebas de penetración más conocidas, es importante conocer las
categorías dentro de las que se enmarcan estás pruebas:

• Pruebas de caja negra. Estas pruebas tienen como objetivo replicar el trabajo que un
hacker externo haría para intentar hackear los sistemas de nuestra organización. En
 este caso, la organización le da al hacker ético información básica, equivalente a la que
el hacker externo haya podido recopilar en las primeras fases de hackeo.
• Pruebas de caja blanca. En estas pruebas el hacker ético dispone de toda la
información de la infraestructura de la empresa, tales como redes, sistemas, software
instalado, etc. El diseño de estas pruebas va orientado a ataques internos donde el
hacker conoce muy bien la organización.
• Pruebas de caja gris. En estas pruebas se tiene un conocimiento parcial de la
organización. Por ejemplo, la organización puede proporcionar los nombres de la
aplicación que se ejecuta detrás de una IP; sin embargo, no revela la versión exacta de
los servicios en ejecución. En el caso de una prueba de penetración de aplicaciones
web, se proporciona información adicional, como cuentas de prueba, servidor de
fondo y bases de datos.

Nota: Los test realizados en las pruebas de penetración suele ser de los tipos vistos en el
apartado 1.6

1.8.1 Reglas de compromiso de un test de penetración

Para realizar un test o prueba de penetración es necesario establecer unas reglas de
compromiso entre el cliente y el pen tester. Algunas de las más importantes son:

1. Ambas partes tanto cliente como pen tester deben firmar un permiso para “hackear” y
un acuerdo de “no divulgación”.
2. Se debe definir el ámbito de las pruebas y que parte de la organización va a ser
probada.
3. La duración del proyecto, incluyendo la fecha de inicio y fin.
4. La metodología que va a ser utilizada. Actualmente existen un buen número de ellas.
Algunas de las más conocidas son:
o OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad). En este
manual se explica la forma de llevar a cabo la auditoria de seguridad e incluye
las pruebas de personal, físicas, inalámbricas, de telecomunicaciones y de
datos.
Es posible certificarse y acreditarse en OSSTMM mediante una serie de cursos
(http://www.isecom.org/certification/opst.html)
o El Instituto Nacional de Estándares y Tecnología EE. UU (NIST) lanzó el
proyecto en el año 2013 con el objeto de mejorar la seguridad cibernética en
infraestructuras críticas; y ha ido actualizándose con el tiempo. El documento
define una infraestructura crítica como “sistemas y activos, ya sean físicos o
virtuales, tan vitales para los Estados Unidos que la incapacidad o destrucción
de dichos sistemas y activos tendría un impacto debilitador en la seguridad de
la nación, la seguridad económica nacional, la salud y seguridad pública, o
cualquier combinación de estos mismos”
Por último, conviene destacar que esta metodología describe cinco funciones
básicas:
 Identificar. Es decir, entender como funciona la organización para
poder administrar el riesgo de seguridad cibernética para sistemas,
personas, activos, datos y capacidades.
 Proteger. Desarrollar e implementar medidas de seguridad adecuadas
para garantizar la entrega de servicios críticos.
  Detectar. Desarrollar e implementar actividades apropiadas para
identificar la ocurrencia de un evento de seguridad cibernética.
 Responder. Desarrollar e implementar actividades apropiadas para
tomar medidas con respecto a un incidente detectado de seguridad
cibernética.
 Recuperar – Desarrollar e implementar actividades apropiadas para
mantener los planes de resiliencia y restablecer cualquier capacidad o
servicio que se haya visto afectado debido a un incidente de seguridad
cibernética.
o OWASP. Se centra en como realizar un test de penetración y en las
herramientas disponibles para llevar a cabo las fases de recolección de datos,
análisis de vulnerabilidades, explotación y documentación.
5. Definir claramente los objetivos de la prueba o test de penetración
6. Decidir qué técnicas están o no permitidas. Por ejemplo, decidir si las pruebas de
denegación de servicio se deben utilizarse.
7. Las responsabilidades de cada una de las personas implicadas en la prueba de
penetración y sus posibles consecuencias.

Es importante indicar que todas estas pruebas deben hacerse desde la legalidad y siempre a
través de contratos legales.

1.8.2 Importancia de los informes escritos de una prueba de penetración

Un aspecto fundamental en cualquier aplicación o proyecto informático es el desarrollo de una
buena documentación. Esto, también ocurre con las pruebas de penetración. Donde es un
factor clave para el éxito del proceso de seguridad.

Para realizar un buen informe de pruebas de penetración se deberían cumplir las siguientes
características:

• Debe ser claro, sencillo y comprehensible para cada uno de los perfiles a los que va
destinado. En este caso, un informe de penetración suele ir destinado a ejecutivos,
administradores y técnicos.
• La presentación del informe de informe es importante. Se debe mantener una
uniformidad en las cabeceras, tipos de letra, pies de las tablas e imágenes, etc.
• Debería estar bien organizado. Para ello debería disponer de:
o Portada. En ella debería aparecer los datos de la empresa que realiza la prueba
de penetración, el logo y una breve descripción de la prueba realizada.
o Tabla de contenidos. Esta permitirá al lector y a las secciones que le interesan
sin tener que recorrer todo el documento.
o Resumen ejecutivo. Es la sección que se dirige específicamente a los ejecutivos
como el CEO o el CIO de la empresa. Por tanto, deben evitarse tecnicismo y
utilizarse conceptos sencillos y claros que puedan dar al ejecutivo una idea de
lo realizado y encontrado en las pruebas, de las posibles debilidades y
vulnerabilidades del sistema y de los riesgos de no solucionar dichas
vulnerabilidades.
o Recomendaciones. En esta sección se especifican las recomendaciones que la
organización debería implementar para que su organización fuera más segura.
o Resumen de evaluación de las vulnerabilidades. En esta sección se indican las
vulnerabilidades encontradas. En esta sección se aconseja usar imágenes o
 gráficos que muestren las debilidades y fuerzas de las vulnerabilidades
encontradas,
o Evaluación del riesgo. Esta sección se indica la intensidad del daño que las
vulnerabilidades pueden causar; Del mismo modo, los ejecutivos de seguridad
también querrían saber si su equipo está cualificado y formado para hacer
frente a ese riesgo. Un elemento fundamental en esta sección son las matrices
de evaluación del riesgo.
o Metodología. El informe debe indicar la metodología que se ha utilizado para
realizar la prueba de penetración.
o Resultados detallados. Esta sección va dirigida a los administradores de
seguridad y a los desarrolladores de la empresa. En ella se describen de forma
detallada las vulnerabilidades encontradas:
 Descripción de la vulnerabilidad
 Explicación. Indica donde fue encontrada la vulnerabilidad, como fue
encontrada, la causa de la vulnerabilidad y una prueba de su
existencia.
 Riesgo. Es decir, el impacto que esa vulnerabilidad en la empresa u
organización.
 Recomendación. Se indica a los desarrolladores y administradores
algunas recomendaciones para resolver o minimizar la vulnerabilidad.

1.9 Leyes y estándares de seguridad

Difícilmente se llegará a ser un hacker ético si no se conocen y entienden las leyes y estándares
que regulan su trabajo. El conocimiento de estas leyes facilitará trabajo y evitará que se pueda
meter en problemas legales.

Así, sin ir más lejos, en el código penal podemos encontrar bastantes artículos relacionados
con el trabajo de un hacker ético. Algunos de estos son:

• Artículo 197 del código.

“1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se
apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros
documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos
de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier
otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y
multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique,
en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen
registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro
tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar
autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio
del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros
los datos o hechos descubiertos o las imágenes captadas a que se refieren los números
anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses,
el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento,
realizare la conducta descrita en el párrafo anterior.
 4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de
prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes

informáticos, electrónicos o telemáticos, archivos o registros; o
b) se lleven a cabo mediante la utilización no autorizada de datos personales de la
víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las
penas en su mitad superior.

5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de
carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual,
o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial
protección, se impondrán las penas previstas en su mitad superior.

6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente
previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a
datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de
cuatro a siete años.

7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses
el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o
grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o
en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona.

La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el
cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad,
aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada
de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa.”

• Artículo del código penal 197 bis.

“1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad
establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el
acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de
la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de
seis meses a dos años.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente
autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde,
hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los
mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce
meses.”
• Artículo del código penal 197 bis, apartado tercero.
“Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho
meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de
cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los
delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático, concebido o adaptado principalmente para cometer dichos
delitos; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan
acceder a la totalidad o a una parte de un sistema de información.”
• Artículo del código penal 197 bis, apartado cuarto.
“Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o
grupo criminal, se aplicarán respectivamente las penas superiores en grado.”
 • Artículo del código penal 248 que habla sobre fraude y/o estafa informática
• Del artículo del 263 al 267 y que se relaciona con el sabotaje informático.

Aunque hay muchísimas leyes implicadas en el hacking ético y que dependen de los países, es
necesario conocerlas.

Otro aspecto a conocer por los hackers éticos son los estándares o normas relacionadas con la
seguridad de los sistemas de información. Existe un gran número de estos, algunos de los más
relevantes son:

• El estándar de seguridad de datos de la industria de tarjetas de pago o PCI-DSS. Este

estándar enumera doce requisitos básicos para poder implementar un sistema seguro
pago. Y los encasilla en las siguientes categorías:
1. Desarrollar y mantener redes y sistemas seguros.
2. Proteger los datos del titular de la tarjeta.
3. Mantener un programa de administración de vulnerabilidad.
4. Implementar medidas sólidas de control de acceso.
5. Supervisar y evaluar las redes con regularidad.
6. Mantener una política de seguridad de información
Si desea más información puede acceder al sitio web que proporciona la norma
(https://es.pcisecuritystandards.org/minisite/env2/).
• El estándar ISO 27001 para los Sistemas Gestión de la Seguridad de la Información.
Este estándar permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos. Para ello establece 9 fases:
1. Análisis y evaluación de riesgos.
2. Implementación de controles
3. Definición de un plan de tratamiento de los riesgos o esquema de mejora
4. Alcance de la gestión
5. Contexto de organización
6. Partes interesadas
7. Fijación y medición de objetivos
8. Proceso documental
9. Auditorías internas y externas
Si desea más información puede acceder al sitio web que proporciona la norma
(https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/).
• El estándar para la ejecución de las pruebas de penetración. El cual define las
siguientes secciones, como elementos básicos para la ejecución de una prueba de
penetración:
1. Interacciones antes de la prueba de penetración. En esta fase se debe definir
el alcance del proyecto, es decir, que se va a probar, la forma en que se llevará
a cabo cada una de las pruebas, las reglas de participación y sus
responsabilidades, etc.
2. Reconocimiento inteligente. En esta fase se lleva a cabo el reconocimiento de
cada uno de los objetivos del sistema. Cuanta más información se obtenga de
cada objetivo, más vectores de ataque se podrán llevar a cabo.
3. Modelado de amenazas. No especifica un modelo determinado pero sí que
indica que el modelo que se utilice debe ser consistente en términos de su
representación de amenazas, sus capacidades, sus calificaciones y la capacidad
de aplicarse repetidamente a pruebas futuras con los mismos resultados.
 4. Análisis de vulnerabilidad. Es la fase donde se buscan fallas en el sistema y
aplicaciones y que pueden ser aprovechadas por un atacante.
5. Explotación. En esta fase se centra en establecer el acceso a un sistema o
recurso, evitando las restricciones de seguridad.
6. Post-explotación. Una vez se ha realizado la fase de explotación del sistema o
máquina. Se debe comprobar que datos (datos, accesos a redes que pueden
ser comprometidas) sensibles tiene la máquina explotada y como se puede
mantener el control de dicha máquina sin el conocimiento del propietario
usuario del sistema.
7. Informe. Debe documentarse los objetivos, métodos y resultados realizados en
la prueba de penetración (ver apartado 1.7.2).
Si desea más información puede acceder al sitio web que proporciona la norma
(http://www.pentest-standard.org/index.php/Main_Page).

Bibliografía recomendada y utilizada para el documento

Aunque el texto proporciona algunas urls para obtener más información. También se
recomiendan la siguiente bibliografía:

• CEH Certified Ethical Hacker All-in-one Exam Guide. Matt Wlaker. Ed. Mcgraw-Hill
Osborne Media (1900). ISBN-10: 0071772294. ISBN-13: 978-0071772297
• CEH v10 Certified Ethical Hacker Study Guide. Ric Messier. Ed. John Wiley & Sons Inc.
ISBN-10: 1119533198. ISBN-13: 978-1119533191.
• Ethical Hacking and Penetration Testing Guide. Rafay Baloch. Ed. Routledge. ISBN-10:
1482231611. ISBN-13: 978-1482231618-