Tests de intrusin ciega: se utiliza nicamente la informacin pblica disponible sobre

la empresa. Esta prueba de penetracin trata de simular los ataques de un ente ext
erno a la empresa.
*Tests de intrusin informada: se utiliza informacin privada, otorgada por la e
mpresa, sobre sus sistemas informticos. Esta prueba de penetracin trata de simular
ataques hechos por un ente interno a la empresa y con cierto grado de informacin
privilegiada.
*Tests de intrusin externa: se realiza de manera externa a las instalaciones
de la empresa. La motivacin de esta prueba es evaluar los mecanismos perimetrales
de seguridad informtica de la empresa.
*Tests de intrusin interna: es realizada dentro de las instalaciones de la em
presa con el motivo de probar las polticas y los mecanismos internos de seguridad
de la empresa.
El resultado de este servicio le brinda al cliente un documento con una lista de
tallada de las vulnerabilidades encontradas y certificadas (eliminacin de falsos
positivos). Adicionalmente el documento provee una lista de recomendaciones a ap
licar, sobre la cual los responsables de seguridad de la organizacin pueden apoya
r su programa de control.
2.2 A quin va dirigido este servicio?
A empresas con infraestructura de red propia con servicios accesibles desde el e
xterior, como por ejemplo, Internet (compaas que alojen su propia pgina web, Provee
dores de Servicios de Internet (ISP), empresas que permitan el acceso remoto a s
us trabajadores (VPN, RAS), etc.).
2.3 Por qu es importante realizar pruebas de penetracin peridicas?
La seguridad de una organizacin es un aspecto cambiante. Una empresa puede alcanz
ar un nivel de proteccin ptimo en un momento determinado y ser totalmente sensible
poco despus, tras cambios en la configuracin de un servidor o tras la instalacin d
e nuevos dispositivos de red. Al mismo tiempo, continuamente aparecen nuevos fal
los de seguridad en softwares existentes, que previamente se crean seguros.
Una poltica de realizacin de pruebas de penetracin peridicas mitiga, en gran medida,
el riesgo asociado a un entorno en constante cambio, tal como lo representan lo
s sistemas informticos de cualquier compaa.
2.4 Descripcin del servicio
Las empresas dedicadas a realizar pruebas de penetracin, generalmente, al comenza
r realizan un reconocimiento de la visibilidad de los sistemas desde el exterior
. Comenzando por recopilar informacin sobre el cliente (la organizacin a testear)
y sobre los sistemas informticos de los que este dispone. Para ello se emplean tcn
icas no intrusivas. Este anlisis permite conocer qu tipo de informacin muestra la o
rganizacin al exterior y puede ser accesible por cualquiera.
A continuacin se detalla que sistemas entrarn dentro del alcance del test y se pro
cede a iniciar el ataque. En este ataque se respetan los siguientes puntos, suje
tos a cambios en funcin de las necesidades del cliente:
*Se realiza desde una mquina remota, cuya direccin IP pblica se pondr en conocim
iento del cliente antes de iniciar la intrusin.
*Se tienen en cuenta las metodologas OSSTMM, ISSAF y OWASP durante todo el pr
oceso, aunque el equipo auditor podr hacer chequeos adicionales no contemplados e

n estas metodologas fruto de experiencias previas.

*Durante el test no se realizarn pruebas de Denegacin de Servicio o Ingeniera S
ocial si no es solicitado expresamente por parte del cliente.
La realizacin del test est regida por las siguientes fases. Cada una brinda inform
acin til para proteger en el futuro los sistemas del cliente y para continuar anal
izando la red en fases posteriores:
1. Recopilacin de informacin
2. Enumeracin de la red
3. Exploracin de los sistemas
4. Extraccin de informacin
5. Acceso no autorizado a informacin sensible
6. Auditora de las aplicaciones web
7. Elaboracin de informes
8. Comprobacin del proceso de parcheado de los sistemas
9. Informe final
2.5 Beneficios de un test de intrusin
*1.Proporciona un conocimiento del grado de vulnerabilidad de los sistemas d
e informacin, imprescindible para
aplicar medidas correctivas.
*2.Descubre fallas de seguridad tras cambios de configuracin.
*3.Determina sistemas en peligros debido a su desactualizacin.
*4.Identifica configuraciones errneas que pudieran desembocar en fallos de se
guridad en dispositivos de red
(switches, routers, firewalls, etc.).
*5.Reduce la probabilidad de materializacin de aquellos riesgos que pueden re
presentar grandes prdidas de
capital debido a:
*facturacin fallida
*reposicin de los daos causados
*prdida de oportunidad de negocio
*reclamacin de clientes
*restitucin de la imagen corporativa
*sanciones legales
*6.Se ahorra tiempo y dinero al afrontar y corregir situaciones negativas an
tes de que sucedan.
3. Metodologas existentes para realizar test de intrusin.
3.1 OSSTMM
Representa un estndar de referencia imprescindible, para todo aquel que quiera ll
evar a cabo un testeo de seguridad en forma ordenada y con calidad profesional.
A fin de organizar su contenido, la metodologa se encuentra dividida en varias se
cciones. Del mismo modo, es posible identificar en ella, una serie de mdulos de t
esteo especficos, a travs de los cuales se observan cada una de las dimensiones de

seguridad, integradas con las tareas a llevar a cabo en los diferentes puntos d
e revisin (Seguridad de la Informacin, Seguridad de los Procesos, Seguridad en las
Tecnologas de Internet, Seguridad en las Comunicaciones, Seguridad Inalmbrica y S
eguridad Fsica).
OSSTMM no solo alcanza los mbitos tcnicos y de operacin de seguridad tradicionales,
sino que, se encarga de normar aspectos tales como: las credenciales del profes
ional a cargo del test, la forma en la que el test debe ser comercializado, la f
orma en la que los resultados del mismo deben ser presentados, las normas ticas y
legales que deben ser tenidas en cuenta al momento de concretar el test, los ti
empos que deberan ser tenidos en cuenta para cada una de las tareas, y por sobre
todas las cosas, incorpora el concepto de RAVs (Valores de Evaluacin de Riesgo) y
con ellos la frecuencia con la cual la prueba debe ser ejecutada a fin de prove
er ms que una instantnea en el momento de su ejecucin.
3.2 ISSAF
Constituye un framework detallado respecto de las prcticas y conceptos relacionad
os con todas y cada una de las tareas a realizar al conducir un testeo de seguri
dad. La informacin contenida dentro de ISSAF, se encuentra organizada alrededor d
e lo que se ha dado en llamar "Criterios de Evaluacin", cada uno de los cuales ha
sido escrito y/o revisado por expertos en cada una de las reas de aplicacin. Esto
s criterios de evaluacin a su vez, se componen de los siguientes elementos:
*Una descripcin del criterio de evaluacin
*Puntos y Objetivos a cubrir
*Los pre-requisitos para conducir la evaluacin
*El proceso mismo de evaluacin
*El informe de los resultados esperados
*Las contramedidas y recomendaciones
*Referencias y Documentacin Externa.
Por su parte y a fin de establecer un orden preciso y predecible, dichos "Criter
ios de Evaluacin", se encuentran contenidos dentro de diferentes dominios entre l
os que es posible encontrar, desde los aspectos ms generales, como ser los concep
tos bsicos de la "Administracin de Proyectos de Testeo de Seguridad", hasta tcnicas
tan puntuales como la ejecucin de pruebas de Inyeccin de Cdigo SQL (SQL Injection)
o como las "Estrategias del Cracking de Contraseas.
A diferencia de lo que sucede con metodologas "ms generales", si el framework no s
e mantiene actualizado, muchas de sus partes pueden volverse obsoletas rpidamente
(especficamente aquellas que involucran tcnicas directas de testeo sobre determin
ado producto o tecnologa). Sin embargo esto no debera ser visto como una desventaj
a, sino como un punto a tener en cuenta a la hora de su utilizacin.
3.3 OTP (OWASP Testing Project)
OTP promete convertirse en uno de los proyectos ms destacados en lo que al testeo
de aplicaciones web se refiere. La metodologa consta de 2 partes, en la primera
se abarcan los siguientes puntos:
*Principios del testeo
*Explicacin de las tcnicas de testeo.

*Explicacin general acerca del framework de testeo de OWASP.

Y en la segunda parte, se planifican todas las tcnicas necesarias para testear ca
da paso del ciclo de vida del desarrollo de software. Incorpora en su metodologa
de testeo, aspectos claves relacionados con el "Ciclo de Vida del Desarrollo de
Software" o SDCL (Por sus siglas en Ingles "Software Development Life Cycle Proc
ess") a fin de que el "mbito" del testeo a realizar comience mucho antes de que l
a aplicacin web se encuentre en produccin.
De este modo, y teniendo en cuenta que un programa efectivo de testeo de aplicac
iones web, debe incluir como elementos a testear: Personas, Procesos y Tecnologas
, OTP delinea en su primera parte conceptos claves a la vez que introduce un fra
mework especficamente diseado para evaluar la seguridad de aplicaciones web a lo l
argo de su vida.
Paso 1 Antes de comenzado el desarrollo
*a) Revisin de Polticas y Estndares
*b) Desarrollo de un Criterio de Medidas y Mtricas (Aseguramiento de la Trasa
bilidad)
Paso 2 Durante la definicin y el diseo
*a) Revisin de los Requerimientos de Seguridad
*b) Diseo de Revisin de Arquitectura
*c) Creacin y Revisin de modelos UML
*d) Creacin y Revisin de modelos de Amenazas
Paso 3 Durante el desarrollo
*a) Code Walkthroughs
*b) Revisin de Cdigo
Paso 4 Durante el deployment
*a) Testeo de Penetracin sobre la Aplicacin
*b) Testeo sobre la Administracin y Configuracin
Paso 5 Operacin y mantenimiento
*a) Revisin Operacional
*b) Conduccin de Chequeos Peridicos
*c) Verificacin del Control de Cambio
Conclusiones
El resultado de la violacin de los sistemas y redes informticas en todo el mundo h
a provocado la prdida o modificacin de los datos sensibles a las organizaciones, r
epresentando daos que se traducen en miles o millones de dlares.
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con lo

s que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimi
ento relacionado con la planeacin de un esquema de seguridad eficiente que protej
a los recursos informticos de las actuales amenazas combinadas.
Podemos afirmar entonces que una alternativa viable, en aras de alcanzar una seg
uridad informtica apropiada para cualquier red o sistema (aunque para la mayora de
los expertos el concepto de seguridad en la informtica es utpico porque no existe
un sistema 100% seguro) lo representa, sin duda alguna, las empresas que se ded
ican a estos menesteres, jugando un rol importante en esta tarea los servicios d
e ethical hacking.
En este trabajo, luego de realizar una introduccin previa al tema, se abord de man
era resumida el enfoque al que estn dirigidos los servicios de ethical hacking. S
e profundiz en los llamados test de intrusin, una de las principales tcnicas utiliz
adas por los ethical hacking, abordando los diferentes tipos que existen, su def
inicin, la importancia y los beneficios que pueden aportar. Finalmente se analiza
ron las principales metodologas que existen en la actualidad para desarrollar est
as tareas, capaces de garantizar una correcta ejecucin y elevados niveles de cali
dad. Se proporcion una breve descripcin de cada una de ellas.
Se considera que este trabajo conduce a una investigacin mucho ms profunda y abarc
adora del tema en cuestin, pero aun as, resulta un estimulante acercamiento a un s
ervicio de gran importancia capaz de adaptarse a las necesidades propias de cada
cliente.