Hacking ético
Hacking ético es una forma de referirse al acto
de una persona usar sus conocimientos de informática y seguridad para
realizar pruebas en redes y encontrar vulnerabilidades, para luego
reportarlas y que se tomen medidas, sin hacer daño.
La idea es tener el conocimiento de cuales elementos dentro de una red son vulnerables y corregirlo antes que ocurra hurto de información, por ejemplo.
Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En español se conocen como "pruebas de penetración", en donde se intenta de múltiples formas burlar la seguridad de la red para robar información sensitiva de una organización, para luego reportarlo a dicha organización y asi mejorar su seguridad.
Se sugiere a empresas que vayan a contratar los servicios de una empresa que ofrezca el servicio de hacking ético, que la misma sea certificada por entidades u organizaciones con un buen grado de reconocimiento a nivel mundial.
Las personas que hacen estas pruebas pueden llegar a ver información confidencial, por lo que cierto grado de confianza con el consultor es recomendado. Más info. en la página de SOLUTECSA, empresa que hace hacking ético.
La idea es tener el conocimiento de cuales elementos dentro de una red son vulnerables y corregirlo antes que ocurra hurto de información, por ejemplo.
Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En español se conocen como "pruebas de penetración", en donde se intenta de múltiples formas burlar la seguridad de la red para robar información sensitiva de una organización, para luego reportarlo a dicha organización y asi mejorar su seguridad.
Se sugiere a empresas que vayan a contratar los servicios de una empresa que ofrezca el servicio de hacking ético, que la misma sea certificada por entidades u organizaciones con un buen grado de reconocimiento a nivel mundial.
Las personas que hacen estas pruebas pueden llegar a ver información confidencial, por lo que cierto grado de confianza con el consultor es recomendado. Más info. en la página de SOLUTECSA, empresa que hace hacking ético.
Glosario de Internet e informática
Si deseas contribuír con nuestro glosario con palabras nuevas, puedes mandar un email a traves de nuestro formulario. con la palabra y especificando que es para el glosario. Publicaremos la palabra y su significado en el glosario en caso que sea una palabra nueva y relacionado a internet, computadoras y algunas tecnologías de comunHacking ético: mitos y realidades
En
los últimos años, y con gran ímpetu, el llamado “hacking ético” ha
despertado innumerables puntos de vista a favor y en contra. La
combinación de dos palabras tan distantes, parece confundir a muchas
personas, pues la palabra “ético” siempre nos refiere a algo “bueno”,
mientras que “hacking” indica lo contrario.
Esta problemática se basa en el
desconocimiento de la labor que realizan los expertos en seguridad de la
información cuando aplican auditorías planeadas a los sistemas a través
de diversas metodologías, mediante ellas, evalúan los puntos
vulnerables a ataques informáticos en una organización.
Pero, ¿qué es el hacking ético?
El hacking ético es en sí una auditoría
efectuada por profesionales de seguridad de la información, quienes
reciben el nombre de “pentester”. A la actividad que realizan se le
conoce como “hacking ético” o “pruebas de penetración”.
Las pruebas de penetración surgieron
como respuesta a la presencia y realización de los primeros ataques
informáticos a las organizaciones, los cuales trajeron graves
consecuencias, como pérdidas monetarias y de reputación. Es aquí donde
interviene el trabajo de un “hacker ético”, ya que su labor es buscar
vulnerabilidades en los sistemas de la organización para,
posteriormente, poder mitigarlos y evitar fugas de información sensible.
Durante los últimos años, nuevas
técnicas de intrusión que atentan contra la seguridad de la información
se han sofisticado, por lo que organizaciones y empresas han
implementado al hacking ético, aunque combatir la idea de que esta
actividad es dañina, no ha sido tarea fácil.
El hacking ético, también es conocido
como prueba de intrusión o pentest, se define esencialmente como el
``arte´´ de comprobar la existencia de vulnerabilidades de seguridad en
una organización, para posteriormente a través de un informe, revelar
aquellos fallos de seguridad encontrados, mitigarlos a la brevedad
posible y evitar fugas de información y ataques informáticos.
Pese a su mala fama, no todos los
hackers son delincuentes cibernéticos, algunos ayudan a las
organizaciones a reforzar su seguridad. Por ello, para tratar de
diferenciar a un grupo de otro, se introdujeron los términos crackers y
hackers éticos. Los primeros identifican a aquéllos que realizan
técnicas de intrusión con fines maliciosos y lucrativos; mientras que
los segundos se refieren a quienes lo hacen con fines éticos y por el
bien de la organización que lo solicite.
Otra conceptualización que reciben es la de “sombrero negro o Black Hat” y “sombrero blanco o White Hat”.
Los hacker de sombrero negro, mejor
conocidos como “Black Hat”, tienen la cualidad de explotar
vulnerabilidades en los sistemas con la finalidad de demostrarse que lo
pudieron hacer burlando la seguridad del mismo. Ejemplo de ello lo
tenemos en el caso acontecido en febrero del 2008, cuando la página web
oficial de la Presidencia de la República fue afectada por un atacante
que se hacía llamar “H4t3 M3”; logró dejar como recordatorio una imagen
de lo más elocuente gracias a que esa página web tenía una
vulnerabilidad.
La información fue revelada en el foro de la Comunidad Underground Latinoamericana, en dónde el joven hacker advirtió que podía modificar desde la agenda presidencial hasta las noticias, pero que no lo haría.
Por su parte, los hackers de sombrero
blanco o “White Hat”, también conocidos como hackers éticos, pentesters y
expertos en seguridad; tienen la finalidad de realizar pruebas de
intrusión en organizaciones que así lo pidan, para posteriormente
rendirles un informe, en el que se detallan todos aquellos puntos
vulnerables encontrados para que, posteriormente, la empresa los mitigue
a la brevedad posible.
A continuación, se describe dicha clasificación en la siguiente ilustración:
Fig. 1 Clasificación de sujetos que realizan pruebas de intrusión
Fuente: Elaboración propia
Cuando en 1997, la cultura de la
seguridad informática comenzó a tomar fuerza, se pensó que los hackers
éticos podían ofrecer sus servicios a las empresas para ayudarlas a ser
menos vulnerables, y en 2001 arrancaron en forma este tipo de asesorías.
Convencer a las compañías de contratar
un hacker, por mucho que se llame ético, y conseguir el permiso para que
ingrese y juegue con sus sistemas no ha sido fácil. “No puedes llegar y
simplemente decir te ofrezco un hackeo ético, debes explicar muy bien
qué es esto y cuáles son los objetivos”, comenta Luis Alberto Cortés,
consultor en seguridad y hackeo ético
Así, el término poco a poco se ha ido
aceptando, ahora los hackers éticos empiezan a ser conocidos y buscan
sus servicios. Por otra parte, grandes empresas de seguridad, como Ernest & Young o PriceWaterhouse, han empezado a ofrecer servicios de hackeo ético, lo cual ayuda a generar mayor confianza en este tipo de asesorías.
Así mismo, se ha desarrollado,
alrededor de estas prácticas, una especie de código de honor y contratos
especiales, que se firman entre los hackers éticos y las compañías
usuarias, para mayor protección de estas últimas. En dicho contrato, se
conviene que la empresa da permiso para realizar la intrusión, marca un
lapso de duración, dispone las fechas para hacerlo y cómo se entregarán
los resultados, generalmente un reporte, donde se enumeran las
vulnerabilidades y fallas encontradas, así como las recomendaciones para
mitigarlas.
Generalmente, esos contratos incluyen
una cláusula de confidencialidad, donde se estipula que toda información
encontrada a raíz de las pruebas de penetración, no podrá ser divulgada
por el hacker a otra entidad que no sea la compañía que contrató sus
servicios, ni tampoco podrá quedarse con una copia del reporte final
generado para la empresa, esto con la finalidad de evitar sea revelado a
terceros. De no cumplir con ello, se haría acreedor a una demanda.
¿Qué evalúa un hacker ético?
Los servicios que con mayor frecuencia
ofrecen los hackers blancos (hackers éticos) a las empresas son las
pruebas de penetración, con la intención de analizar si la compañía está
preparada para soportar un ataque sofisticado perpetrado desde fuera,
es decir por un hacker externo o por un atacante interno con conexión a
la red.
Durante las pruebas de penetración,
según enumera Victor Chapela, se analizan tanto la red interna, como
Internet, aplicaciones expuestas, servidores, puertos y avenidas de
acceso, además se hacen pruebas de contraseñas. Al mismo tiempo, se
analiza la red inalámbrica, de ésta se revisa la configuración, se hace
sniffing[1] de tráfico y contraseñas, intentando penetrar y romper el cifrado.
Parte de la auditoría incluye también
revisar módems, VPN, página web, incluso se hace ingeniería social, es
decir se trabaja con el personal o con los asociados de la empresa para
ver si se dejarían engañar para proporcionar contraseñas o acceso a la
red.
De igual forma, se mide el nivel de
respuesta a incidentes internos, también se busca emular si un empleado
de bajos privilegios podría tener acceso a los estados financieros o a
la nómina de la compañía. Se consideran además los valores de los
activos, la criticidad de la vulnerabilidad y la probabilidad del
ataque, su impacto, la forma de corregirlo y el esfuerzo requerido para
esto.
Para evitar cualquier contratiempo o
daño a la infraestructura, o continuidad de negocio del cliente, las
pruebas siguen una metodología y manejan estándares, como el Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, por sus siglas en inglés) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).
Según el Mapa de Seguridad propuesto por el OSSTMM[2], las secciones a las cuales se aplican el hacking ético son las siguientes:
Fig. 2 Mapa de Seguridad
Fuente: Tomado del Manual de la Metodología Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM
A continuación, se describen brevemente dichas secciones.a. Seguridad física
Alude a las pruebas de seguridad
realizadas a un medio físico y no electrónico en la naturaleza.
Comprende el elemento tangible de la seguridad donde la interacción
requiere un esfuerzo físico o una transmisión de energía para que sea
manipulado. A considerar:
- Revisión del perímetro
- Revisión de monitoreo
- Evaluación de controles de acceso
- Revisión de respuestas de alarmas
- Revisión de ubicación y
- Revisión de entorno.
Comprende dos fases: Telecomunicaciones
y las redes de datos. La primera fase alude a todas las redes de
telecomunicación, sean digitales o analógicas, la otra, se refiere a
todos los sistemas electrónicos y redes de datos donde la interacción se
realiza a través de cables establecidos y cables de líneas de red.
c. Seguridad inalámbrica
Refiere a todas las comunicaciones
electrónicas, señales y emanaciones que se producen del conocido
espectro EM – Electromagnetic. Esto incluye ELSEC como comunicaciones
electrónicas, SIGSEC como señales, y EMSEC que son emanaciones sin
ataduras por los cables. Los módulos de verificación requeridos en el
hacking ético para dicho rubro son:
- Verificación de radiación electromagnética (EMR)
- Verificación de redes inalámbricas 802.11, Verificación de redes bluetooth
- Verificación de dispositivos de entrada inalámbricos
- Verificación de dispositivos móviles inalámbricos
- Verificación de comunicaciones sin cable
- Verificación de dispositivos de vigilancia inalámbricos
- Verificación de dispositivos de transacción inalámbricos
- Verificación de RFID y
- Verificación de sistemas Infrarrojos.
Se refiere a las pruebas de intrusión
efectuadas a las aplicaciones web, tales pruebas son esencialmente el
"arte" de comprobar una aplicación en ejecución remota o local, sin
saber el funcionamiento interno de la aplicación, para encontrar
vulnerabilidades de seguridad[3]. Los módulos de verificación requeridos en el hacking ético para dicho rubro son:
- Logística de Controles,
- Sondeo de Red,
- Identificación de los servicios de sistemas,
- Búsqueda de información competitiva,
- Revisión de privacidad,
- Obtención de Documentos,
- Búsqueda y verificación de vulnerabilidades,
- Testeo de aplicaciones de internet,
- Enrutamiento,
- Testeo de sistemas confiados,
- Testeo de control de acceso,
- Testeo de Sistema de Detección de Intruso IDS,
- Testeo de Medidas de Contingencia,
- Descifrado de contraseñas,
- Testeo de Negación de servicios y
- Evaluación de políticas de Seguridad.
Aborda los medios empleados para el almacenamiento adecuado de la información, va ligado con los controles empleados para su seguridad.
f. Seguridad de los proceso
Representa un método para lograr acceso
privilegiado a una organización y sus activos mediante la ayuda
involuntaria del personal de la organización, en especial con la ayuda
de aquellos que resguardan los puntos de accesos principales. Esto se
hace por medios de comunicación tales como el teléfono, e-mail, chat,
tablones de anuncios, etcétera, y se realiza de una manera fraudulenta
con la finalidad de obtener una posición "privilegiada
En este rubro la aplicación del hacking
ético se emplea por medio de la práctica de la ingeniería social, la
cual es una técnica especializada o empírica del uso de acciones
estudiadas o habilidosas que permiten manipular a las personas para que
voluntariamente realicen actos que normalmente no harían[4].
En conclusión, el hacking ético es una
técnica aplicada a distintos escenarios, por lo que es importante
hacerlo del conocimiento de la gente en beneficio de las organizaciones;
así la relación entre detección y explotación de vulnerabilidades
existentes podrá controlarse de la mejor manera posible.
Referencias:- Harris, S. et. al. “Hacking ético. Traducción de: Gray hat hacking” (2005). Madrid: Anaya Multimedia.
- Picouto, F. et. al. “Hacking práctico” (2004). España: Anaya Multimedia.
- Daltabuit, E. et. al. “Seguridad de la información” (2007). Noriega, México: Limusa
- Aceituno, V. “Seguridad de la información: Expectativas, riesgos y técnicas de protección “(2006). México: Limusa.
- Rodríguez, L. A. “Seguridad de la información en sistemas de cómputo” (1995). México D.F: Ventura.
- E-WORLD: Arm yourself against black hats, Anonymous. Businessline. Chennai: Jul 12, 2010.
- DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating Avoidable Exposure, Ronald I Raether Jr. Business Law Today. Chicago: Sep/Oct 2008. Tomo 18, No. 1; Pág. 55
- Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006. Pág. 8 (1 página)
- Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today. Medford: Sep 2005. Tomo 22, No. 8; Pág. 1 (2 páginas)
- IT takes a thief: Ethical hackers test your defenses Bill Coffin. Risk Management. New York: Jul 2003. Tomo 50, No. 7; Pág. 10).
- MITNICK, Kevin, “Controlling the Human Element of Security. The Art Of Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp.
[1]
Sniffing: Se trata de una técnica por la cual se puede "escuchar" todo
lo que circula por una red. Esto que en principio es propio de una red
interna o Intranet, también se puede dar en Internet.
[2] HERZOG, Peter, “OSSTMM 2.1 Manual de la Metodología Abierta de Testeo de Seguridad”. ISECOM Institute for Security and Open Methodologies.
[3] 6 OWASP Foundation. “Guía de pruebas OWASP versión 3.0”.
[4]
MITNICK, Kevin, “Controlling the Human Element of Security. The Art Of
Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp
