mx)
Inicio > Hacking tico: mitos y realidades
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos ayudan a las
organizaciones a reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo de otro, se
introdujeron los trminos crackers y hackers ticos. Los primeros identifican a aqullos que
realizan tcnicas de intrusin con fines maliciosos y lucrativos; mientras que los segundos se
refieren a quienes lo hacen con fines ticos y por el bien de la organizacin que lo solicite.
Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero blanco o
White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad de explotar
vulnerabilidades en los sistemas con la finalidad de demostrarse que lo pudieron hacer burlando
la seguridad del mismo. Ejemplo de ello lo tenemos en el caso acontecido en febrero del 2008,
cuando la pgina web oficial de la Presidencia de la Repblica fue afectada por un atacante que
se haca llamar H4t3 M3; logr dejar como recordatorio una imagen de lo ms elocuente
gracias a que esa pgina web tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana [7], en
dnde el joven hacker advirti que poda modificar desde la agenda presidencial hasta las
noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como hackers
ticos, pentesters y expertos en seguridad; tienen la finalidad de realizar pruebas de intrusin en
organizaciones que as lo pidan, para posteriormente rendirles un informe, en el que se detallan
todos aquellos puntos vulnerables encontrados para que, posteriormente, la empresa los mitigue
a la brevedad posible.
A continuacin, se describe dicha clasificacin en la siguiente ilustracin:
Cuando en 1997, la cultura de la seguridad informtica comenz a tomar fuerza, se pens que
los hackers ticos podan ofrecer sus servicios a las empresas para ayudarlas a ser menos
vulnerables, y en 2001 arrancaron en forma este tipo de asesoras.
Convencer a las compaas de contratar un hacker, por mucho que se llame tico, y conseguir el
permiso para que ingrese y juegue con sus sistemas no ha sido fcil. No puedes llegar y
simplemente decir te ofrezco un hackeo tico, debes explicar muy bien qu es esto y cules son
los objetivos, comenta Luis Alberto Corts, consultor en seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a ser
conocidos y buscan sus servicios. Por otra parte, grandes empresas de seguridad, como Ernest
& Young o PriceWaterhouse, han empezado a ofrecer servicios de hackeo tico, lo cual ayuda a
generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de honor y
contratos especiales, que se firman entre los hackers ticos y las compaas usuarias, para
mayor proteccin de estas ltimas. En dicho contrato, se conviene que la empresa da permiso
para realizar la intrusin, marca un lapso de duracin, dispone las fechas para hacerlo y cmo
se entregarn los resultados, generalmente un reporte, donde se enumeran las vulnerabilidades
y fallas encontradas, as como las recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se estipula que
toda informacin encontrada a raz de las pruebas de penetracin, no podr ser divulgada por el
hacker a otra entidad que no sea la compaa que contrat sus servicios, ni tampoco podr
quedarse con una copia del reporte final generado para la empresa, esto con la finalidad de
evitar sea revelado a terceros. De no cumplir con ello, se hara acreedor a una demanda.
Qu evala un hacker tico?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a las
empresas son las pruebas de penetracin, con la intencin de analizar si la compaa est
preparada para soportar un ataque sofisticado perpetrado desde fuera, es decir por un hacker
externo o por un atacante interno con conexin a la red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto la red
interna, como Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso,
adems se hacen pruebas de contraseas. Al mismo tiempo, se analiza la red inalmbrica, de
sta se revisa la configuracin, se hace sniffing[1] [8] de trfico y contraseas, intentando
penetrar y romper el cifrado.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se hace
ingeniera social, es decir se trabaja con el personal o con los asociados de la empresa para ver
si se dejaran engaar para proporcionar contraseas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca emular si
un empleado de bajos privilegios podra tener acceso a los estados financieros o a la nmina de
la compaa. Se consideran adems los valores de los activos, la criticidad de la vulnerabilidad y
la probabilidad del ataque, su impacto, la forma de corregirlo y el esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de negocio del
cliente, las pruebas siguen una metodologa y manejan estndares, como el Manual de la
Metodologa Abierta de Comprobacin de la Seguridad (OSSTMM, por sus siglas en ingls) o el
Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM[2]
aplican el hacking tico son las siguientes:
[9]
Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM
Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005). Madrid: Anaya
Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico: Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de proteccin
(2006). Mxico: Limusa.
Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995). Mxico
D.F: Ventura.
E-WORLD: Arm yourself against black hats, Anonymous. Businessline. Chennai: Jul 12,
2010.
DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating Avoidable
Exposure, Ronald I Raether Jr. Business Law Today. Chicago: Sep/Oct 2008. Tomo 18,
No. 1; Pg. 55
Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006. Pg. 8 (1
pgina)
Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today. Medford: Sep
2005. Tomo 22, No. 8; Pg. 1 (2 pginas)
IT takes a thief: Ethical hackers test your defenses Bill Coffin. Risk Management. New
York: Jul 2003. Tomo 50, No. 7; Pg. 10).
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed.
John Wiley & Sons Australia, USA, 2002, 577 pp.
[1] [12] Sniffing: Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por
una red. Esto que en principio es propio de una red interna o Intranet, tambin se puede dar en
Internet.
[2] [13] HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de
Seguridad. ISECOM Institute for Security and Open Methodologies.
[3] [14] 6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
[4] [15] MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed.
John Wiley & Sons Australia, USA, 2002, 577 pp.
Anaid Guevara Soriano [16]
numero-12 tica hacker hacking pentest
Universidad Nacional Autnoma de Mxico
Universidad Nacional Autnoma de Mxico
Directorio
Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin
Direccin General de Cmputo y de
Tecnologas de Informacin y Comunicacin
SSI / UNAMCERT
SSI / UNAMCERT
[ CONTACTO ]
Se prohbe la reproduccin total o parcial
de los artculos sin la autorizacin por escrito de los autores
URL del envo: http://revista.seguridad.unam.mx/numero-12/hacking-%C3%A9tico-mitos-y-realidades
Enlaces:
[1] http://revista.seguridad.unam.mx/category/revistas/numero-12-0
[2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/%C3%A9tica
[3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacker
[4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacking
[5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/pentest
[6] http://twitter.com/share
[7] http://www.hackeruna.com/
[8]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[9]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[10]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[11]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[12]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[13]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[14]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[15]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Para
[16] http://revista.seguridad.unam.mx/autores/anaid-guevara-soriano