• se define a través de lo que hacen los profesionales que se dedican a ello, es
decir, los piratas informáticos éticos. Estas personas son contratadas para hackear un sistema e identificar y reparar posibles vulnerabilidades, lo que previene eficazmente la explotación por hackers maliciosos. Son expertos que se especializan en las pruebas de penetración de sistemas informáticos y de software con el fin de evaluar, fortalecer y mejorar la seguridad. • Este tipo de pirata informático a menudo se denomina como hacker de ‘sombrero blanco’ (White hat), con el fin de diferenciarlos de los piratas informáticos criminales, que se conocen como hackers de ‘sombrero negro’. • Una de las armas más poderosas en la lucha contra los ciberdelincuentes ha sido la de los piratas informáticos. Los profesionales con un profundo conocimiento de cómo penetrar en la seguridad de una infraestructura en línea se implementan comúnmente para encontrar vulnerabilidades. ORIGENES • Existen múltiples teorías respecto al origen de la palabra “Hacker”, no obstante la mayoría relaciona la aparición de esta palabra con uno de los inventos que ha permitido la existencia de lo que actualmente conocemos como Internet: el teléfono. Adicionalmente, este término ha sido relacionado continuamente con el Instituto Tecnológico de Massachusetts (MIT) enfocándose en las décadas de 1950 y 1960. • La enorme cantidad de teorías existentes, destacan particularmente tres de ellas que describen una de las características fundamentales del hacking: el espíritu, Pasión ,Libertad ,Anti-corrupción y igualda social . • La primer teoría describe que durante dichas épocas, en el MIT era utilizada la palabra “hack” para definir una solución simple • Otra de las teorías se enfoca nuevamente en el MIT, específicamente en el club de maquetas de trenes. • Finalmente, la tercer teoría se enfoca en la compañía AT&T, la cual en 1878, durante los primeros años de la telefonía contrató a un grupo de adolescentes para fungir como operadores telefónicos del sistema Bell ALCANCE • El test de intrusión interno intenta a su vez emular las condiciones de un ataque desde uno o varios puntos de la red interna de la organización partiendo de una cuenta sin privilegios de administrador y con un conocimiento superficial de la estructura interna de la red de la organización (Análisis Tipo Caja Gris). • El test de intrusión externo emula las condiciones reales de un ataque por parte de un atacante que no posee información previa de la empresa (Análisis Tipo Caja Negra), partiendo solamente de las direcciones IP públicas que se definan dentro del alcance del proyecto. • El análisis de la seguridad Wireless trata de emular un ataque por parte de un intruso con acceso al perímetro de la organización, tratando de vulnerar la seguridad de la red inalámbrica. El análisis incluye la revisión de los siguientes aspectos: -Estudio del alcance físico de la red inalámbrica de la organización -Descubrimiento de puntos de acceso inalámbricos no autorizados -Análisis de la configuración de los elementos inalámbricos (routers, switches) -Análisis de la configuración del cifrado (WEP, WPA, etc.) y de la autenticación de la red (802.1x, PKI, etc.) -Vulnerabilidad del servicio a Ataques de Denegación de Servicio • Revisión Aplicativos web • La revisión de aplicativos web trata de evaluar la exposición de una aplicación publicada en Internet de manera exhaustiva. La revisión se basa en la metodología OWASP v4.0:
-Vulnerabilidades de inyección SQL
-Vulnerabilidades XSS -Falsificación de peticiones cross-site (CSRF) -Ejecución de código -Gestión de autenticación y sesiones -Búsqueda de puertas traseras y accesos de administración mal configurados -Vulnerabilidades de directorio transversal • La auditoría interna de seguridad profundiza en una revisión global de una organización, para ello se parte de una información completa de la estructura integra de la red y aplicaciones de la organización (Análisis Tipo Caja Blanca). • -Revisión de políticas de dominio, actualizaciones, antivirus, etc. -Revisión profunda de la seguridad en los S.O., BBDD y aplicaciones más relevantes. -Revisión de protocolos circulantes por la red interna. -Revisión de privilegios de cuentas de usuarios y segregación de tareas. -Técnicas de ingeniería social para comprobar la concienciación de los empleados OBJETIVOS • Evaluar la seguridad informática e identificar vulnerabilidades en sistemas, redes o infraestructuras de sistemas. • Corregir vulnerabilidades de los sistemas. • Burlar las diferentes vallas de seguridad que tiene la red para diferentes organizaciones, con la única intención de probar su efectividad, o por el contrario, demostrar la vulnerabilidad de aquel sistema. • Descubrir direcciones IP´S • Descubrir los servicios ejecutándose y presentes en el sistema. • Detectar sistemas vivos en la red Aspectos legales • La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. (www.secreteriasenado.gov.co, 2020)
• Hacking ético es el término inicialmente usado por
los profesionales para hacer el sistema más seguro y confiable. Una persona es llamada como un hacker ético cuando no destruye la seguridad en los sistemas, tiene cuidado con la seguridad y salvaguardara el sistema desde el punto de vista del Hacker. • Los riesgos legales de los hackers éticos derivan de la divulgación de información personal o confidencial sin autorización. Beneficios Riesgos • El hacking ético constituye una • Conocer los riesgos asociados a la herramienta moderna de prevención y ciberdelincuencia e identificar las buenas protección de datos, para evitar fugas prácticas para enfrentarlos fortalece el de información y por consiguiente, el avance de la cultura de la seguridad de la riesgo de afectar la reputación y información además de elevar la credibilidad de la organización. confianza digital de las empresas y los ciudadanos.
• El principal beneficio de las empresas por medio del hacking ético es que podrán adelantarse a posibles delitos cada vez más habituales en la actualidad.