UNIVERSIDAD NACIONAL DE TRUJILLO

Facultad de Ciencias Físicas y Matemáticas

Escuela Profesional de Informática

ACTIVIDAD DE SEMANA 12

INTEGRANTES

Abanto León Kleydder Patrick

Escobedo Quevedo Cesar Yakov

Gamboa Valderrama Mirella

Gutiérrez Fernández Julio Joseph

Morales Esquivel Christian

Toledo Campos Marco Camilo

DOCENTE:

Dr. Quispe Varón Celestino Medardo

CURSO:

Ética para profesionales en Informática

Trujillo - Perú
2024
 Preguntas relacionadas al Hacking Ético

1. Considerando la lectura proporcionada ¿Que necesita saber un Hacker Ético para

evitar los ataques indeseados?

● Fundamentos de seguridad informática

Un hacker ético debe tener una comprensión sólida de los conceptos básicos de

seguridad informática, incluyendo las amenazas comunes, las vulnerabilidades y los métodos

de ataque utilizados por los hackers maliciosos.

● Sistemas operativos y redes

Debe tener un conocimiento profundo de los sistemas operativos y las redes, ya que

son los principales objetivos de los ataques informáticos. Esto incluye conocer la

configuración segura de sistemas operativos, la administración de redes y la detección de

anomalías en los registros de red.

● Programación y scripting

Es necesario tener habilidades de programación y scripting para poder analizar y

manipular el código fuente de aplicaciones y sistemas en busca de vulnerabilidades. También

puede ser útil para desarrollar herramientas personalizadas y automatizar tareas de seguridad.

● Criptografía

La criptografía es fundamental en la seguridad de la información. Un hacker ético

debe entender los principios de la criptografía, incluyendo algoritmos de cifrado, protocolos

seguros y técnicas de autenticación.

● Herramientas de seguridad

Debe conocer y utilizar una variedad de herramientas de seguridad, como escáneres

de vulnerabilidades, sniffers de red, firewalls y sistemas de detección de intrusiones. Estas

herramientas pueden ayudar a identificar y remediar las vulnerabilidades en sistemas y redes.

● Ética y leyes
 A diferencia de los hackers maliciosos, un hacker ético debe tener un sólido

entendimiento de las leyes y regulaciones relacionadas con la seguridad informática. Debe

operar dentro de los límites legales y éticos, obteniendo siempre el consentimiento adecuado

antes de realizar pruebas de penetración o evaluaciones de seguridad.

2. Interprete y comente el proceso de evaluación de la seguridad de la información.

El proceso de evaluación de la seguridad de la información es un conjunto de pasos

que se deben seguir para garantizar que una empresa u organización esté protegida contra

posibles ataques informáticos.

Este proceso consta de tres fases: preparación, gestión y conclusión.

● En la fase de preparación, se debe tener un contrato firmado por escrito que exonere al

hacker ético de toda responsabilidad como consecuencia de las pruebas que realice.

● En la fase de gestión, se realizan las pruebas de penetración y se recopila información

sobre las vulnerabilidades encontradas. Esta información se utiliza para preparar un

informe.

● En la fase de conclusión, se comunica a la empresa el informe y las posibles

soluciones para mitigar las vulnerabilidades encontradas.

3. Interprete y responda las pruebas que realiza el Hacker Ético indicando los

entregables y la importancia que tiene cada uno de ellos.

Cuando un hacker ético realiza pruebas, los archivos entregables pueden variar según

el tipo de prueba y las necesidades específicas del cliente. A continuación, se presentan

algunos ejemplos de archivos entregables comunes y su importancia:

● Informe de pruebas

Este es uno de los archivos entregables más importantes. El informe de pruebas

resume los resultados de las pruebas realizadas, incluyendo los hallazgos de vulnerabilidades,

debilidades identificadas y recomendaciones de seguridad. Proporciona una visión general de

la postura de seguridad del sistema o red evaluado y ayuda a los responsables de la seguridad

a comprender los riesgos y tomar medidas correctivas.

● Registro de actividades

Durante las pruebas, es importante mantener un registro detallado de todas las

actividades realizadas, incluyendo los comandos ejecutados, las herramientas utilizadas y los

resultados obtenidos. El registro de actividades puede ser entregado como un archivo de texto

o un archivo de registro, y es esencial para el análisis posterior y la documentación de las

pruebas realizadas.

● Capturas de pantalla o grabaciones de video

En algunas ocasiones, puede ser útil capturar imágenes o video de las acciones

realizadas durante las pruebas. Estos archivos entregables proporcionan evidencia visual de

las vulnerabilidades descubiertas o de las acciones específicas realizadas durante las pruebas.

También pueden ayudar a ilustrar los hallazgos y mejorar la comprensión de los resultados.

● Scripts o herramientas personalizadas

En ciertos casos, un hacker ético puede desarrollar scripts o herramientas

personalizadas para automatizar tareas de pruebas o demostrar la explotación de una

vulnerabilidad específica. Estos archivos entregables son importantes para mostrar la

metodología utilizada y pueden ser útiles para futuras pruebas o para mejorar las defensas del

sistema.

● Documentación de políticas y procedimientos

Además de los resultados específicos de las pruebas, un hacker ético puede entregar

documentación adicional relacionada con políticas de seguridad, procedimientos

recomendados y pautas de mitigación. Estos archivos entregables proporcionan orientación

adicional para mejorar la postura de seguridad en general y ayudan a las organizaciones a

implementar cambios duraderos.

4. Cuál es la función que debe realizar el Pentester para identificar las vulnerabilidades,

describir cada una de ellas.

La función principal del Pentester (también conocido como tester de penetración o

hacker ético) es identificar vulnerabilidades en sistemas, redes o aplicaciones para evaluar su

seguridad.

A continuación, se describen algunas de las funciones clave que un Pentester debe

realizar para identificar vulnerabilidades:

● Recopilación de información

Antes de comenzar las pruebas, el Pentester debe recopilar información relevante sobre el

sistema o la aplicación objetivo. Esto puede incluir detalles de la arquitectura, tecnologías

utilizadas, configuraciones conocidas y cualquier otra información que pueda ser útil para

identificar posibles vulnerabilidades.

● Análisis de la superficie de ataque:

El Pentester debe realizar un análisis exhaustivo de la superficie de ataque del sistema o la

red, identificando todos los puntos de entrada potenciales. Esto puede incluir servicios

expuestos, interfaces web, aplicaciones móviles, servidores de correo electrónico u otros

componentes que puedan ser accesibles desde el exterior.

● Escaneo de vulnerabilidades

Una vez identificados los puntos de entrada, el Pentester realiza un escaneo de

vulnerabilidades utilizando herramientas automatizadas. Estas herramientas buscan

vulnerabilidades conocidas, como configuraciones incorrectas, versiones de software

desactualizadas o fallas de seguridad conocidas. El objetivo es identificar rápidamente

posibles puntos débiles que podrían ser explotados.

● Pruebas de penetración
 Esta es una de las funciones clave del Pentester. Consiste en realizar pruebas

manuales utilizando técnicas y herramientas especializadas para simular ataques reales. El

Pentester intentará explotar las vulnerabilidades identificadas y obtener acceso no autorizado

al sistema o la aplicación. Esto puede incluir pruebas de inyección SQL, ataques de fuerza

bruta, explotación de fallos de autenticación, entre otros.

● Análisis de código

En el caso de aplicaciones web o software personalizado, el Pentester también puede

realizar un análisis de código para identificar vulnerabilidades de seguridad. Esto implica

revisar el código fuente en busca de errores comunes, como la falta de validación de entradas,

problemas de manejo de sesiones o inyección de código.

● Explotación y escalada de privilegios

Si el Pentester logra explotar una vulnerabilidad y obtener acceso al sistema o la

aplicación, puede intentar escalar sus privilegios para obtener un mayor nivel de control o

acceso a datos confidenciales. Esto implica aprovechar las debilidades del sistema para

aumentar el nivel de privilegios y evaluar hasta qué punto un atacante podría llegar si

explotara la vulnerabilidad.

● Documentación y reporte

Finalmente, el Pentester debe documentar todos los hallazgos, incluyendo las

vulnerabilidades identificadas, los métodos utilizados y las recomendaciones para mitigar los

riesgos. Esto se presenta en un informe detallado que proporciona una visión clara de las

vulnerabilidades descubiertas y acciones recomendadas para mejorar la seguridad.