Professional Documents
Culture Documents
En los ltimos aos, y con gran mpetu, el llamado hacking tico ha despertado
innumerables puntos de vista a favor y en contra. La combinacin de dos palabras tan
distantes, parece confundir a muchas personas, pues la palabra tico siempre nos
refiere a algo bueno, mientras que hacking indica lo contrario.
Esta problemtica se basa en el desconocimiento de la labor que realizan los expertos
en seguridad de la informacin cuando aplican auditoras planeadas a los sistemas a
travs de diversas metodologas, mediante ellas, evalan los puntos vulnerables a
ataques informticos en una organizacin.
Pero, qu es el hacking tico?
El hacking tico es en s una auditora efectuada por profesionales de seguridad de la
informacin, quienes reciben el nombre de pentester. A la actividad que realizan se le
conoce como hacking tico o pruebas de penetracin.
Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin de
los primeros ataques informticos a las organizaciones, los cuales trajeron graves
consecuencias, como prdidas monetarias y de reputacin. Es aqu donde interviene el
trabajo de un hacker tico, ya que su labor es buscar vulnerabilidades en los
sistemas de la organizacin para, posteriormente, poder mitigarlos y evitar fugas de
informacin sensible.
Durante los ltimos aos, nuevas tcnicas de intrusin que atentan contra la seguridad
de la informacin se han sofisticado, por lo que organizaciones y empresas han
implementado al hacking tico, aunque combatir la idea de que esta actividad es
daina, no ha sido tarea fcil.
El hacking tico, tambin es conocido como prueba de intrusin o pentest, se define
esencialmente como el ``arte de comprobar la existencia de vulnerabilidades de
seguridad en una organizacin, para posteriormente a travs de un informe, revelar
aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar
fugas de informacin y ataques informticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos
ayudan a las organizaciones a reforzar su seguridad. Por ello, para tratar de
diferenciar a un grupo de otro, se introdujeron los trminos crackers y hackers ticos.
Los primeros identifican a aqullos que realizan tcnicas de intrusin con fines
maliciosos y lucrativos; mientras que los segundos se refieren a quienes lo hacen con
fines ticos y por el bien de la organizacin que lo solicite.
Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero
blanco o White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad
de explotar vulnerabilidades en los sistemas con la finalidad de demostrarse que lo
pudieron hacer burlando la seguridad del mismo. Ejemplo de ello lo tenemos en el
caso acontecido en febrero del 2008, cuando la pgina web oficial de la Presidencia de
la Repblica fue afectada por un atacante que se haca llamar H4t3 M3; logr dejar
como recordatorio una imagen de lo ms elocuente gracias a que esa pgina web
tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana ,
en dnde el joven hacker advirti que poda modificar desde la agenda presidencial
hasta las noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como
hackers ticos, pentesters y expertos en seguridad; tienen la finalidad de realizar
pruebas de intrusin en organizaciones que as lo pidan, para posteriormente rendirles
un informe, en el que se detallan todos aquellos puntos vulnerables encontrados para
que, posteriormente, la empresa los mitigue a la brevedad posible.
A continuacin, se describe dicha clasificacin en la siguiente ilustracin:
puedes llegar y simplemente decir te ofrezco un hackeo tico, debes explicar muy bien
qu es esto y cules son los objetivos, comenta Luis Alberto Corts, consultor en
seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a
ser conocidos y buscan sus servicios. Por otra parte, grandes empresas de seguridad,
como Ernest & Young oPriceWaterhouse, han empezado a ofrecer servicios de hackeo
tico, lo cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de
honor y contratos especiales, que se firman entre los hackers ticos y las compaas
usuarias, para mayor proteccin de estas ltimas. En dicho contrato, se conviene que
la empresa da permiso para realizar la intrusin, marca un lapso de duracin, dispone
las fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte,
donde se enumeran las vulnerabilidades y fallas encontradas, as como las
recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se
estipula que toda informacin encontrada a raz de las pruebas de penetracin, no
podr ser divulgada por el hacker a otra entidad que no sea la compaa que contrat
sus servicios, ni tampoco podr quedarse con una copia del reporte final generado
para la empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir
con ello, se hara acreedor a una demanda.
Qu evala un hacker tico?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a
las empresas son las pruebas de penetracin, con la intencin de analizar si la
compaa est preparada para soportar un ataque sofisticado perpetrado desde fuera,
es decir por un hacker externo o por un atacante interno con conexin a la red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto
la red interna, como Internet, aplicaciones expuestas, servidores, puertos y avenidas
de acceso, adems se hacen pruebas de contraseas. Al mismo tiempo, se analiza
la red inalmbrica, de sta se revisa la configuracin, se hace sniffing [1] de trfico y
contraseas, intentando penetrar y romper el cifrado.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se
hace ingeniera social, es decir se trabaja con el personal o con los asociados de la
empresa para ver si se dejaran engaar para proporcionar contraseas o acceso a la
red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca
emular si un empleado de bajos privilegios podra tener acceso a los estados
financieros o a la nmina de la compaa. Se consideran adems los valores de los
siglas
en
ingls)
el Proyecto
Abierto
de
Seguridad
de
Aplicaciones
Web (OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM[2] , las secciones a las cuales
se aplican el hacking tico son las siguientes:
Revisin de monitoreo
Revisin de ubicacin y
Revisin de entorno.
Verificacin de RFID y
Logstica de Controles,
Sondeo de Red,
Revisin de privacidad,
Obtencin de Documentos,
Enrutamiento,
Descifrado de contraseas,
habilidosas
que
permiten
manipular
las
personas
para
que
Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005).
Madrid: Anaya Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de
Pg. 8 (1 pgina)
Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today.
Management. New York: Jul 2003. Tomo 50, No. 7; Pg. 10).
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of
Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp.
[1] Sniffing: Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula
por una red. Esto que en principio es propio de una red interna o Intranet, tambin se
puede dar en Internet.
[2] HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de
Seguridad. ISECOM Institute for Security and Open Methodologies.
[3] 6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
[4] MITNICK, Kevin, Controlling the Human Element of Security. The Art Of
Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp