• info@vsistemas.es
  • 91 279 53 53
Facebook Twitter Linkedin
kit-digital-logotipo
hacking-etico-y-ciberseguridad

1. Introducción.

En la era digital actual, donde la información y la tecnología son fundamentales para las organizaciones y la sociedad en general, la seguridad se ha convertido en una preocupación primordial. La protección de datos confidenciales, la salvaguardia de la privacidad y la defensa de los sistemas y redes son aspectos cruciales para evitar ataques cibernéticos y garantizar un entorno digital seguro. Es en este contexto donde surge el concepto de hacking ético y las pruebas de penetración, dos disciplinas relacionadas que se enfocan en fortalecer la seguridad informática.

El hacking ético, a diferencia del hacking malintencionado, se basa en un enfoque legal, ético y autorizado para identificar debilidades en los sistemas informáticos y las redes. Los profesionales del hacking ético, también conocidos como «ethical hackers» o «expertos en seguridad», aplican sus conocimientos y habilidades técnicas para detectar vulnerabilidades y proponer medidas correctivas antes de que los ciberdelincuentes puedan aprovecharlas.

Las pruebas de penetración, también conocidas como «pentesting», son una parte fundamental del hacking ético. Estas pruebas implican la simulación de ataques controlados a sistemas y redes para evaluar su nivel de seguridad. Los especialistas en pruebas de penetración utilizan diversas técnicas y herramientas para identificar posibles puntos débiles, evaluar la resistencia de los sistemas a los ataques y generar informes detallados con recomendaciones para mejorar la seguridad.

Es importante destacar que el hacking ético y las pruebas de penetración deben llevarse a cabo con consentimiento y dentro de los límites legales y éticos establecidos. Esto implica obtener el permiso explícito de los propietarios de los sistemas y redes que se van a evaluar, así como seguir una serie de principios éticos, como el respeto a la privacidad y la confidencialidad de los datos.

Es muy común (sobre todo para los medios de comunicación) confundir diversos términos relacionados con esta profesión, sobre todo cuando relacionamos el término “hacker” con “ciberdelincuente”. Por ello es necesario realizar una breve explicación desarrollando los diferentes tipos de “sombreros” en ciberseguridad existentes.

  • White Hat. Son aquellos expertos en ciberseguridad los cuales se dedican única y exclusivamente a hacer el bien, es decir, trabajan protegiendo sistemas. Suelen ocupar puestos en empresas de ciberseguridad, y su función principal es la de encontrar vulnerabilidades en los sistemas con el fin de reportarlas de forma responsable. Son los conocidos como “hackers”.
  • Black Hat. También conocido como “cracker” o “ciberdelincuente”, usa su habilidad para romper sistemas de seguridad y obtener acceso a zonas restringidas, infectar redes o simplemente hacerse con ellas. En resumen, son los malos de la película. En este caso, la ética brilla por su ausencia y lo hacen para beneficio personal o de terceros.
  • Grey Hat. Es una mezcla entre los dos anteriores, ya que irrumpen de forma ilegal en servicios, pero con el fin de reportarlas (no siempre). Un claro ejemplo de grey hat son aquellos que irrumpen en los sistemas de seguridad de compañías para después postularse como los “solucionadores” y repararlos. Otra de las cosas que hacen frecuentemente es obtener información de gran importancia con el fin de hacérsela llegar a la opinión pública.
  • Red Hat. Es el “Robin Hood” de los hackers. Son aquellos cuya única finalidad es la de “cazar” a los black hat. Se infiltran en grupos cibercriminales con la intención de infectarles y/o doxearles y reportarlos a las autoridades competentes.
  • Blue Hat. Son aquellos que trabajan en consultoría informática, revisando si hay fallos en un software determinado antes de ser lanzado (entre otros).
  • Insiders. Es aquel actor malicioso que no está satisfecho con su trabajo, o el cual ha sido contratado por la competencia para infiltrarse y revelar secretos comerciales. Al tener acceso muy fácil a la información, por estar dentro de la empresa, son los más peligrosos, ya que pueden colar malware sin necesidad de buscar vulnerabilidades. También son conocidos como “WhistleBlowers”.
  • Hacktivist. Son hackers con una posición social, ideológica o política determinada, los cuales utilizan la tecnología para su activismo (ej. Anonymous). Muchas veces son considerados Grey Hat o incluso Black Hat por las acciones que cometen.
  • Script-Kiddie. También se identifican como Green Hat, son los hackers/crackers novatos. No tienen habilidades técnicas y quieren beneficiarse de un crackeo sin saber muy bien cómo hacerlo. También son conocidos como “noobs” o “newbies”.
  • State/Nation Sponsored Hackers. El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado. Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos.

Llegados a este punto, queda claro que los White Hat son los encargados principalmente de que el Hacking Ético sea posible.

2. Hacking Ético

  • Definición del hacking ético, objetivos y beneficios.

El hacking ético se basa en un conjunto de principios y prácticas que permiten identificar y resolver vulnerabilidades en sistemas informáticos y redes, con el objetivo de mejorar su seguridad. A diferencia del hacking malintencionado, el hacking ético se lleva a cabo de forma legal y autorizada, con el consentimiento del propietario del sistema o red objetivo.

El objetivo principal del hacking ético es salvaguardar la integridad, confidencialidad y disponibilidad de los sistemas y la información. Los hackers éticos trabajan para identificar debilidades en la seguridad, como vulnerabilidades en el software, configuraciones incorrectas o falta de medidas de protección, para que puedan ser corregidas antes de que los ciberdelincuentes las aprovechen.

Sus beneficios son varios:

■ Mejora de la seguridad: Al identificar y solucionar vulnerabilidades, el hacking ético contribuye a fortalecer la seguridad de los sistemas y las redes.

■ Prevención de ataques: Al anticiparse a posibles ataques cibernéticos, el hacking ético ayuda a prevenir brechas de seguridad y el robo de información confidencial.

■ Ahorro de costos: Detectar y resolver vulnerabilidades de manera proactiva mediante el hacking ético puede ahorrar a las organizaciones costos significativos asociados con violaciones de seguridad y reparaciones posteriores.

■ Cumplimiento normativo: El hacking ético puede ayudar a las organizaciones a cumplir con los requisitos de seguridad y regulaciones establecidos por las leyes y normativas específicas de su industria.

  • Diferencias entre el hacking ético y el hacking malintencionado.

La diferencia fundamental entre el hacking ético y el hacking malintencionado radica en el consentimiento y la legalidad. Los hackers éticos obtienen el permiso explícito del propietario del sistema antes de realizar cualquier evaluación de seguridad. Además, operan dentro de los límites legales y éticos, evitando cualquier actividad ilegal, como el acceso no autorizado a sistemas o el robo de información.

  • Principios éticos y legales que los hackers éticos deben seguir.

Los hackers éticos siguen una serie de principios éticos que guían su comportamiento y acciones. Algunos de estos principios incluyen:

■ Consentimiento: Obtener el permiso explícito del propietario del sistema antes de realizar cualquier evaluación de seguridad.

■ Confidencialidad: Respetar la privacidad y la confidencialidad de la información a la que se tiene acceso durante las pruebas de penetración.

■ Responsabilidad: Actuar de manera responsable y diligente en todas las etapas del proceso de hacking ético.

■ Transparencia: Comunicar de manera clara y transparente las acciones realizadas, los hallazgos descubiertos y las recomendaciones propuestas.

■ Legalidad: Operar dentro de los límites legales establecidos por las leyes y regulaciones pertinentes.

3. Pruebas de Penetración (Pentesting)

Las pruebas de penetración, también conocidas como pentesting, son un enfoque sistemático y controlado para evaluar la seguridad de sistemas informáticos, redes, aplicaciones y otros activos digitales. Estas pruebas simulan ataques reales con el objetivo de identificar vulnerabilidades y evaluar la efectividad de las medidas de seguridad existentes.

  • Pruebas de penetración y su propósito.

■ Identificar vulnerabilidades: Mediante el análisis exhaustivo de sistemas y redes, se busca descubrir deficiencias de seguridad que podrían ser aprovechadas por atacantes malintencionados.

■ Evaluar la resistencia de los sistemas: Las pruebas de penetración permiten evaluar la capacidad de los sistemas para resistir ataques y determinar si las medidas de seguridad implementadas son efectivas.

■ Generar informes y recomendaciones: Al finalizar las pruebas, se elabora un informe detallado con los hallazgos, las vulnerabilidades identificadas y las recomendaciones para mejorar la seguridad.

  • Metodología comúnmente utilizada en las pruebas de penetración.

Las pruebas de penetración siguen una metodología que abarca diferentes fases:

■ Recopilación de información y enumeración: Se recopila información sobre el objetivo de la prueba, como sistemas, redes, aplicaciones y servicios asociados. Esto ayuda a comprender mejor el entorno objetivo y a identificar posibles puntos de entrada.

■ Análisis de vulnerabilidades: Se utilizan herramientas y técnicas para identificar y evaluar vulnerabilidades conocidas en el sistema. Esto implica escanear puertos, buscar fallos de configuración y examinar la exposición de servicios.

■ Explotación de vulnerabilidades: Una vez identificadas, se llevan a cabo pruebas de explotación para determinar si es posible aprovechar las vulnerabilidades y obtener acceso no autorizado al sistema.

■ Post-Explotación: En este paso se eliminan los rastros, herramientas, etc. que se han dejado durante la prueba de penetración o pentest.

■ Generación de informes y recomendaciones: Se documentan todos los hallazgos, vulnerabilidades explotadas y recomendaciones para mejorar la seguridad. El informe final es una guía para corregir los problemas y fortalecer la seguridad del sistema.

  • Tipos de pruebas de penetración: internas, externas, físicas, etc.

■ Pruebas de penetración internas o caja blanca: Se realizan desde dentro de la red de la organización, simulando un ataque llevado a cabo por un empleado malintencionado o un atacante con acceso privilegiado. En este test conocemos todo sobre el sistema, arquitectura o aplicación. En este tipo de pentesting el cliente proporciona credenciales para poder evaluar su infraestructura desde dentro, con el fin de evaluar si existen vulnerabilidades las cuales puedan ser aprovechadas por los cibercriminales al lograr acceso a la misma.

■ Pruebas de penetración externas o caja negra: Se realizan desde fuera de la red de la organización, simulando un ataque proveniente de internet o desde un punto externo. En este test el pentester no posee información sobre el objetivo, por lo que es la simulación más realista de un ataque externo. Esto ayuda a que la empresa pueda conocer de forma mucho más realista los vectores de ataque existentes los cuales pueden ser aprovechados por los ciberdelincuentes.

■ Pruebas de penetración de Caja Gris: Este método consiste en una mezcla de los dos anteriores, por lo que se tiene información parcial acerca del sistema. Se hará más o menos énfasis en la identificación de vulnerabilidades en función de la información de la que se disponga. Es el más recomendado, ya que abarca las distintas situaciones de compromiso que pueden darse.

■ Pruebas de penetración físicas: Se centran en evaluar la seguridad física de los activos, como intentar acceder a instalaciones físicas o robar dispositivos para obtener información sensible.

4. Herramientas de Hacking Ético y Pentesting

  • Enumeración y descripción de las principales herramientas utilizadas en el hacking ético y las pruebas de penetración.

El campo del hacking ético y las pruebas de penetración cuentan con una amplia variedad de herramientas especializadas que ayudan a los profesionales de la seguridad a identificar vulnerabilidades, evaluar sistemas y llevar a cabo pruebas de penetración de manera efectiva. Estas herramientas se clasifican en diferentes categorías según su funcionalidad y objetivo.

■ Escaneo de red: Estas herramientas se utilizan para explorar y descubrir sistemas, hosts y servicios en una red. Ejemplos populares de herramientas de escaneo de red incluyen Nmap, Nessus y OpenVAS. Estas herramientas permiten identificar puertos abiertos, servicios en ejecución y posibles puntos de entrada para un ataque.

■ Análisis de vulnerabilidades: Las herramientas de análisis de vulnerabilidades ayudan a identificar y evaluar las debilidades y brechas de seguridad en sistemas y aplicaciones. Algunas herramientas comunes en esta categoría incluyen OpenVAS, Nexpose, Qualys y Nikto. Estas herramientas automatizan el proceso de identificación de vulnerabilidades conocidas y proporcionan informes detallados para su posterior corrección.

■ Explotación de vulnerabilidades: Estas herramientas se utilizan para aprovechar las vulnerabilidades identificadas y obtener acceso no autorizado a sistemas y aplicaciones. Ejemplos populares incluyen Metasploit Framework, Burp Suite, SQLMap y Exploit-DB. Estas herramientas permiten a los profesionales de la seguridad simular ataques y evaluar la efectividad de las medidas de protección implementadas.

■ Análisis de aplicaciones web: Estas herramientas se centran en identificar vulnerabilidades específicas en aplicaciones web, como inyecciones SQL, cross-site scripting (XSS) y falsificación de solicitudes entre sitios (CSRF). Algunas herramientas destacadas en esta categoría son Burp Suite, OWASP ZAP, Acunetix y Netsparker. Estas herramientas ayudan a identificar fallas de seguridad en aplicaciones web y brindan recomendaciones para su solución.

■ Análisis de tráfico de red: Estas herramientas se utilizan para capturar y analizar el tráfico de red, lo que ayuda a identificar posibles ataques, anomalías o comportamientos sospechosos. Wireshark, tcpdump y Tshark son ejemplos de herramientas ampliamente utilizadas en esta categoría. Estas herramientas permiten inspeccionar paquetes de red y analizar su contenido para detectar posibles amenazas o debilidades.

■ Generación de informes: Estas herramientas se utilizan para generar informes detallados sobre los hallazgos y resultados obtenidos durante las pruebas de penetración. Las herramientas de generación de informes, como Dradis Framework y Nexpose, facilitan la presentación de los resultados de manera estructurada y profesional, lo que ayuda a los responsables de la seguridad a comprender y abordar los problemas identificados.

Es importante destacar que estas son solo algunas categorías y ejemplos de herramientas utilizadas en el hacking ético y las pruebas de penetración. El campo evoluciona constantemente, y es fundamental que los profesionales de la seguridad se mantengan actualizados sobre las nuevas herramientas y técnicas disponibles.

Autor; Julio Alonso (administrador de sistemas en VSistemas)

Contacto
Bibliografía

https://0xword.com/es/libros/65-ethical-hacking-teoria-y-practica-para-la-realizacion-de-un-pentesting.html 

https://cybersecuritynews.com/penetration-testing-tools/

https://www.incibe.es/empresas/blog

https://ns2.elhacker.net/descargas/manuales/PenTesting/The%20Basics%20of%20Hacking%20and%20Penetration%20Testing.pdf