Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hacking Ético
Introducción al hacking
ético
Índice
Esquema 3
Ideas clave 4
1.1. Introducción y objetivos 4
1.2. Fases del hacking ético 6
1.3. Tipos de auditorías 9
© Universidad Internacional de La Rioja (UNIR)
A fondo 17
Test 18
© Universidad Internacional de La Rioja (UNIR)
Tema 1. Esquema
Esquema
Hacking Ético
3
Ideas clave
Hoy en día, vivimos en un mundo interconectado que nos hace ser cada vez más
vulnerables, debido a la sobreexposición en la que nos encontramos. Por este motivo,
la mayoría de las empresas dotan a sus sistemas de la robustez necesaria para poder
enfrentarse a las nuevas amenazas tecnológicas del momento. En este tema
conoceremos qué procedimientos se siguen a la hora de ejecutar las actividades de
pentesting y podremos entender los diferentes tipos de auditorías existentes. Con
toda esta información, seremos capaces de entender el proceso que siguen los
vectores de ataque más frecuentes.
Hacking Ético
4
Tema 1. Ideas clave
Terminología:
Hacking Ético
5
Tema 1. Ideas clave
1.2. Fases del hacking ético
Una vez se han detectado los fallos de seguridad, será la compañía afectada la que
deberá decidir si dichos riesgos los previene, los corrige, los acepta o los mitiga. Por
parte del auditor técnico, o pentester, recaerá la importante labor de redactar un
informe en el que queden constatadas las evidencias y pruebas que se llevaron a
cabo para explotar dicha vulnerabilidad.
Existe una gran polarización respecto a cómo se conoce a las personas que llevan a
© Universidad Internacional de La Rioja (UNIR)
Hacking Ético
6
Tema 1. Ideas clave
Cracker. Personas con conocimientos informáticos que vulneran o corrompen los
sistemas de seguridad de las compañías. Su motivación está principalmente
asociada con fines de lucro, protesta o desafío. También pueden conocerse como
usuarios maliciosos, piratas informáticos o ciberdelincuentes.
Black-Hat Hackers. Son personas que no cumplen con la ley en sus acciones. Son
los que comúnmente se conocen como ciberdelincuentes.
© Universidad Internacional de La Rioja (UNIR)
Hacking Ético
7
Tema 1. Ideas clave
Suicide Hackers. Al igual que los anteriores, no cumplen con ningún tipo de ley y
sus acciones van más allá, ya que suelen intentar mostrar sus conocimientos de
manera pública y, en muchos casos, no les preocupa ser detenidos.
Una vez que conocemos los tipos de personas que pueden llevar a cabo la explotación
de vulnerabilidades, vamos a ver en qué consiste un pentest y sus fases. Un pentest
es la actividad y pasos que se siguen para encontrar y detectar vulnerabilidades en
los sistemas. Para ello, los profesionales se apoyan en diferentes metodologías para
realizar estos trabajos de una manera esquematizada y sistemática. Entre ellas,
podemos destacar las siguientes:
Hacking Ético
8
Tema 1. Ideas clave
1. Recolección de información. En esta fase, se llevarán a cabo todas las acciones de
obtención y análisis de información, tanto pública como privada, con el objetivo
de poder conocer posibles malas configuraciones o versiones obsoletas de
sistemas. En esta fase, se pretende conocer todo lo posible del objetivo para poder
realizar la siguiente fase.
Hacking Ético
9
Tema 1. Ideas clave
Una vez se tiene acordada la realización de este tipo de auditorías, se deberán
conocer y acordar, a su vez, la modalidad de auditoría que se desea realizar.
Podemos distinguir entre las siguientes:
Hacking Ético
10
Tema 1. Ideas clave
1.4. Equipos de trabajo
Red Team
Los miembros del Red Team (seguridad ofensiva) se confunden habitualmente con
los pentesters, pero no son lo mismo. Aunque hay una cierta superposición entre las
funciones y habilidades de unos y otros.
Los Red Teams emulan a los atacantes utilizando sus mismas herramientas o
similares, explotando las vulnerabilidades de seguridad de los sistemas y/o
aplicaciones (exploits), técnicas de pivoting (saltar de una máquina a otra) y objetivos
(sistemas y/o aplicaciones) de la organización.
Por lo tanto, el Red Team es un entrenamiento para el Blue Team, donde se evalúa
la capacidad real que tiene una organización para proteger sus activos críticos y sus
capacidades de detección y respuesta considerando tanto el plano tecnológico, como
Hacking Ético
11
Tema 1. Ideas clave
el de procesos y el humano. ¿Qué aporta más valor, un informe de vulnerabilidades
o que el Blue Team sepa cómo reaccionar ante un ataque?
Blue Team
Por lo tanto, el principal objetivo del Blue Team es realizar evaluaciones de las
distintas amenazas que puedan afectar a las organizaciones, monitorizar (red,
sistemas, etc.) y recomendar planes de actuación para mitigar los riesgos. Además,
en casos de incidentes, realizan las tareas de respuesta, incluyendo análisis de
forense de las máquinas afectadas, trazabilidad de los vectores de ataque, propuesta
de soluciones y establecimiento de medidas de detección para futuros casos.
Purple Team
© Universidad Internacional de La Rioja (UNIR)
Los equipos morados (Purple Team) existen para asegurar y maximizar la efectividad
de los equipos rojo y azul. Lo hacen integrando las tácticas y controles defensivos
del Blue Team con las amenazas y vulnerabilidades encontradas por el Red Team.
Hacking Ético
12
Tema 1. Ideas clave
Idealmente, no debería ser un equipo, sino una dinámica de cooperación entre los
equipos rojo y azul.
1.5. APTs
En 2007, Estonia sufrió un ciberataque sin precedentes, que dejó inoperativos los
servicios de intercomunicación de todo el país durante horas, lo que impidió, entre
otras cosas, la realización de transacciones bancarias. La envergadura del ataque, que
además se relacionó con una protesta política, pone de manifiesto la vulnerabilidad
de los estados frente a ataques informáticos (lo que motiva la instalación del CCDCOE
de la OTAN en Tallin), y arroja un nuevo término que servirá en adelante para
© Universidad Internacional de La Rioja (UNIR)
Se conocen como APT aquellas amenazas que, por las capacidades que demuestran
tener (uso de exploits avanzados, realización de esfuerzos costosos en términos de
Hacking Ético
13
Tema 1. Ideas clave
tiempo, etc.), solo pueden ser atribuidas a grupos con grandes recursos, como
mafias o incluso estados. Suelen tener como objetivo sistemas críticos, aunque
también pueden tener presencia en sistemas comunes buscando atacar la cadena de
suministro de los primeros. Mitre mantiene un catálogo con todos los grupos
considerados como APT, dentro del framework ATT&CK (MITRE ATT&CK, s. f.). Estos
grupos no se pueden definir a ciencia cierta, sino que son fruto de una atribución
basada en indicadores de compromiso, objetivos, y tácticas.
Así, por ejemplo, se asocian incidentes como Stuxnet (Wikipedia, 2021) a servicios
israelíes o estadounidenses, porque buscaba frenar el plan nuclear de Irán; o Careto
a fuentes de España, por contener cadenas de texto en español dentro de su código.
Aunque quizá el incidente con mayor impacto en la última década haya sido el
sufrido por SolarWinds entre 2020 y 2021, conocido como Solorigate (Microsoft,
2021). Es un buen ejemplo para caracterizar las APT frente a otras amenazas:
El objetivo fue instalar esa puerta trasera para llegar a sus clientes, en lo que se
conoce como supply-chain attack. Los clientes de SolarWinds eran grandes
compañías, entre las que se encontraba el Departamento de Defensa de Estados
Unidos (tiene como objetivo sistemas críticos).
Hacking Ético
14
Tema 1. Ideas clave
Manteniendo la línea de esta última proposición, es muy difícil realizar una
atribución fiable y por eso es tan importante la agregación de la información
recolectada (indicadores de compromiso, técnicas, tácticas y procedimientos) en los
procesos de análisis y la generación de inteligencia sobre la misma. Algunos
elementos identificativos del actor UNC2452 también se asocian con otros ataques,
que acaban conformando el grupo de APT29 (MITRE ATT&CK, 2021) en la clasificación
de Mitre; pero si en algún momento se consiguiese desenmascarar a uno de los
actores detrás de estos ataques, se podría aclarar el origen de todos los demás. O,
posiblemente, no…
En este vídeo, titulado Red Team y Blue Team, los estudiantes van a entender, de una
manera más detallada, las diferencias entre los conceptos de Red Team y Blue Team,
indagando sobre el ciclo de vida de la brecha y sus fases.
Microsoft. (2021, enero 20). Deep dive into the Solorigate second-stage activation:
From SUNBURST to TEARDROP and Raindrop.
https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-
solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/
Hacking Ético
15
Tema 1. Ideas clave
MITRE ATT&CK. (2021, octubre 16). APT29. https://attack.mitre.org/groups/G0016/
Ottis, R. (s. f.). Analysis of the 2007 Cyber Attacks against Estonia from the
Information Warfare Perspective. Cooperative Cyber Defence Centre of Excellence.
https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformatio
nWarfarePerspective.pdf
Hacking Ético
16
Tema 1. Ideas clave
A fondo
Fases de un pentesting
HackIsOn. (2019, junio 25). Penetration testing tutorial - Different types of phases
[Vídeo]. YouTube. https://www.youtube.com/watch?v=uk7bHcfyHig
Se describe cómo se realiza un pentest con varias fases parecidas a las vistas en la
teoría.
Bachiller, J. (2021, octubre 27). Purple Team: ¿pero esto qué es? Security at work.
https://www.securityartwork.es/2021/10/27/purple-team-pero-esto-que-es-i/
Hackin Ético
17
Tema 1. A fondo
Test
1. El hacking ético consiste en…
A. Tener los conocimientos fundamentales para determinar qué actividad
informática es lícita y cuál no.
B. Ser capaces de ejecutar cualquier actividad que suponga la explotación de
un sistema con fines lucrativos.
C. Ejecutar diferentes pasos que logren darnos información acerca de las
vulnerabilidades de los sistemas con el beneplácito del atacado.
D. El conjunto de leyes que regulan las actividades informáticas fraudulentas.
vulnerabilidad potencial.
D. Todas las anteriores son ciertas.
Hacking Ético
18
Tema 1. Test
4. Un scriptkiddie es…
A. Una persona que se encarga de aprender nuevos conocimientos de
seguridad informática.
B. Usuarios sin pretensión de aprender sobre seguridad informática pero que
utiliza herramientas para explotar vulnerabilidades.
C. Personas con acceso limitado a herramientas de seguridad que ejecutan
manualmente vectores de ataque para explotar una vulnerabilidad.
D. Todas las anteriores son incorrectas.
7. Llamamos APT a:
A. Una Amenaza Persistente Avanzada.
B. Un protocolo de comunicación alternativo a TCP.
© Universidad Internacional de La Rioja (UNIR)
Hacking Ético
19
Tema 1. Test
8. Una de las tendencias actuales con respecto a APTs es:
A. Ataque a las cadenas de suministro.
B. Ataques de ransomware.
C. Atacar desde Rusia.
D. Tratar de posicionarse en el ranking de Mitre.
Hacking Ético
20
Tema 1. Test
11. La fase de explotación consiste en…
A. Escanear los puertos de las máquinas y ejecutar herramientas de análisis de
vulnerabilidades.
B. Averiguar qué máquinas objetivo tienen vulnerabilidades y generar un vector
de ataque.
C. Generar y ejecutar un vector de ataque que pueda evidenciar la
vulnerabilidad potencial.
D. Todas las anteriores son ciertas.
Hacking Ético
21
Tema 1. Test