Ethical hacking - Administración y seguridad de sistemas 

Facultad de ingeniería - Mayo 2018 

Bartolomé, Diego 
Dizioli, Guido 
Lezama, Joaquín 

Ethical Hacking 
Administración y seguridad de sistemas 

Introducción 
Las  computadoras  en  todo  el  mundo  son  susceptibles  a  ser  atacadas  por  hackers  capaces  de 
comprometer  los  sistemas  informáticos  y  robar  información  valiosa,  o  bien borrar una gran parte 
de  ella.  Esta  situación  hace  imprescindible  para  las  organizaciones  conocer  si  sus  sistemas  y 
redes de datos están protegidos de cualquier tipo de intrusiones. 

Para  garantizar  la  seguridad  informática  se  requiere  de  un  conjunto  de  sistemas,  métodos  y 
herramientas  destinados  a  proteger  la información, es aquí donde entran los servicios del ​Ethical 
hacker​. 

Qué es el ​ethical hacking 

El  ​ethical  hacking  es  la  penetración  intencional  de  un  sistema  o  red  con  el  fin  de  descubrir 
vulnerabilidades  y  evaluar  la  seguridad  de  los  mismos  sin  intenciones  maliciosas.  Una 
organización  contrata  a un ​ethical hacker para testear la seguridad de sus sistemas o redes. Este 
puede  ser  tanto  un  extraño  contratado  o  un  miembro  de  la  empresa.  De  todas  formas 
generalmente  se  prefiere  contratar  a  un  extraño  ya  que  garantiza  que  se  utilice  un  enfoque 
orgánico y natural desde cero. 

¿Quiénes son los ​ethical hackers​? 

Los  ​ethical  hackers​,  también  conocidos  como  ​Pen-Tester​,  como  su  nombre  lo  dice,  realizan 
pruebas  de  penetración.  Un  ​ethical  hacker  ​es  un  experto  en  computadoras  y  redes  de  datos, 
cuya  función  es  atacar  algún  sistema  de  seguridad  con  la  intención  de  buscar  y  encontrar 
vulnerabilidades  que un hacker malicioso podría explotar. Para probar los sistemas de seguridad, 
los  ​ethical  hackers  ​utilizan los mismos métodos que sus homólogos, los ​hackers ​criminales, pero 
se limitan únicamente a reportarlos en lugar de sacar alguna ventaja de ellos. 

Página 1 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

¿Por qué hacer ​ethical hacking​? 

El  objetivo  principal del ​ethical hacking es brindar soporte a las compañías para que estas tomen 
todas  las  medidas  preventivas  necesarias para evitar que ataques maliciosos puedan afectar sus 
redes.  

A  través  del  ​ethical  hacking  ​es  posible  determinar  el  nivel de seguridad interno y externo de los 

sistemas  de  información  de  una  organización.  Esto  se  logra  determinando  el  grado  de  acceso 
que tendría un atacante con intenciones maliciosas a los sistemas con información crítica. 

Al  finalizar  el  trabajo,  el  ​ethical  hacker  ​entrega  el  resultado  al  cliente  mediante  un  documento 
que  contiene  a  una lista detallada de las vulnerabilidades encontradas y verificables. También se 
provee  una  lista  de  recomendaciones  para  que  sean  aplicadas  por  los  responsables  de 
seguridad  en  la  organización.  Este  documento  se  compone  de  un  informe  técnico  y  uno 
ejecutivo  para  que  los  empleados  técnicos  y  administrativos  puedan  entender  y  apreciar  los 
riesgos potenciales para el negocio. 

Principales Beneficios 
Los  beneficios  para  las  organizaciones  que  realizan  actividades  de  ​ethical  hacking ​son muchos. 
De manera muy general los más importantes son: 

● Ofrecer  un  panorama  acerca  de  las  vulnerabilidades  halladas  en  los  sistemas  de 
información, lo cual es de gran ayuda al momento de aplicar medidas correctivas. 
● Encontrar  configuraciones  inadecuadas  en  las  aplicaciones  instaladas  en  los  sistemas 
(equipos  de  cómputo,  ​switches​, ​routers​, ​firewalls​) que pudieran desencadenar problemas 
de seguridad en las organizaciones. 
● Identificar sistemas que son vulnerables a causa de la falta de actualizaciones. 
● Disminuir  tiempo  y  esfuerzos  requeridos  para  afrontar  situaciones  adversas  en  la 
organización. 

Los  beneficios  no  sólo  se  ven  reflejados  en  la  parte  técnica  y  operacional  de  la  organización, 
sino también en laUH. 

¿Por qué realizar un análisis contínuo? 

La  seguridad  de  una  organización  es  un  aspecto  cambiante.  Una  empresa  puede  alcanzar  un 
nivel  de  protección  óptimo  en  un  momento  determinado  y  ser  totalmente  sensible  poco 
después,  tras  cambios  en  la  configuración  de  un  servidor  o  tras  la  instalación  de  nuevos 
dispositivos  de  red.  Al  mismo  tiempo,  continuamente  aparecen  nuevos  fallos  de  seguridad  en 
softwares  existentes,  que  previamente  se  creían  seguros. Una política de realización de pruebas 

Página 2 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

de  penetración  periódicas  mitiga,  en  gran  medida,  el  riesgo asociado a un entorno en constante 

cambio. 

Tipos de hackers maliciosos 

Los  ​hackers  ​maliciosos  pueden  ser  clasificados  en  distintos  grupos  de  acuerdo  a  su  nivel 
técnico. Estos grupos son: 

Script  kiddies  o  novatos: No poseen los conocimientos necesarios para realizar ataques propios 

y  se  limitan  a  copiar  ​scripts  ​de  internet.  En  general  no  tienen  un  blanco  concreto,  sino  que  a 
partir  de  una  vulnerabilidad  descubierta  por  otro  ​hacker  ​(de  mayor  nivel  técnico),  buscan  en 
internet sistemas que puedan poseer dicha vulnerabilidad para explotarla. 

Hackers  con  nivel  técnico:  Por  lo  general  han  obtenido  un  alto  nivel  de  comprensión  y 
experiencia  con  los  sistemas  operativos  y  las  redes  de  computadoras.  Pueden  servir  como  un 
excelente  modelo  de  ataque  para  el  equipo  de  ​ethical  hacking​,  ya  que  un verdadero ataque de 
piratas informáticos probablemente tenga este nivel. 

Hackers  expertos:  Es  alguien  que  tiene  un  amplio  conocimiento  y  experiencia  sobre  una  gran 
cantidad  de  temas  informáticos  y  con  la  capacidad  de  desarrollar  sus  propios  programas  de 
vulnerabilidad  y  borrar  cualquier  evidencia  de  sus  ataques.  Es  extremadamente  metódico  y 
tiende a ser muy particular sobre sus objetivos. Para que el equipo de ​hacking ético ​emule a este 
atacante,  se  requiere  una  gran  cantidad  de  recursos  y  tiempo.  Este  tiempo  puede  ser  mayor  al 
que  la organización quiere dedicarle a la prueba por lo que es probable que este enfoque quede 
por fuera del alcance de cualquier modelo de pruebas de penetración. 

Atacantes  internos  descontentos:  Este  tipo  de  hacker no necesariamente tiene un nivel técnico 

avanzado,  sin  embargo,  tiene  o  ha  tenido  acceso  a  información  valiosa  sobre  la  red  por  que  es 
potencialmente peligrosos para el cliente. 

Contratando a un hacker ético 

Peligros de contratar hackers 
La  seguridad  informática  de  las  organizaciones  puede  ser  beneficiada  al  contratar  a  un  ​ethical 
hackers​,  sin  embargo,  debe  ser  tenido  en  cuenta  que  es  un  potencial  riesgo  emplear  a  estos 
profesionales  ya  que  serán  personas  que  trabajen  con  información  sensible  de  la  organización. 
Además,  es  importante  realizarle  previó  a  la  contratación  un  estudio  de  antecedentes  al 
candidato de forma de asegurarse que es realmente quien dice ser. 

Página 3 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

ROE 
El  primer  punto  a  cubrir  antes  que  el  hacker  ético  comienza  a  realizar  sus  testeos  es  definir  las 
reglas del juego (​ROE - rules of engagement​). 

El ROE es un conjunto de guías y reglas que limitaran el testeo que se realizara, estas incluyen: 

● Tiempo 
● Dinero 
● Restricciones legales 
○ Un  sólido  documento  que  aclare  el  scope  del  trabajo,  autorizando  y  mostrando 
conocimiento de la compañía de las actividades siendo realizadas 
○ Acuerdo de no divulgación 
○ Seguro  de  responsabilidad  sobre  el  tester.  En el proceso se podría perder bienes 
y el hacker debe estar seguro de no verse responsabilizado. 
● Ética 
● Limitaciones  impuestas,  determinando  que  se  puede  y  que  no  testear.  Por ejemplo, solo 
testear  los  sistemas  Windows,  permitiendo  el  escaneo  de  ciertos  puertos  y  excluyendo 
ciertos bienes 

   

Página 4 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

Ethical Hacking en la práctica 

Modelos 
Como se menciona anteriormente los ethical hackers realizan tests de penetración a los sistemas 
de sus clientes. Estos tests pueden seguir distintos modelos. 

Caja negra 

Esta prueba de penetración, también conocida como test de equipo rojo, sólo es revelada a unos 
pocos  miembros  del  equipo  de  seguridad  de  la  red  con  el  fin  de  determinar  su  respuesta  al 
ataque.  También  se  presupone  que  el  equipo  de  ethical  hacking  tiene un conocimiento limitado 
de  la  red.  Esto  obliga  al  equipo  a  recopilar  mucha  información  sobre  la  empresa  de  diversas 
fuentes antes de lanzar el ataque de penetración. 

Caja blanca 
Este  modelo  presupone  un  gran  conocimiento  sobre  la  compañía  y  su  red.  La  recopilación  de 
información  previa  al  ataque  puede  incluir  entrevistas,  inspecciones  físicas  de  seguridad  y 
evaluaciones  a  las  políticas  de  seguridad.  El  beneficio  más  grande  de  este  modelo  es  simple: 
requiere menos tiempo, por lo que es más barato.  

Mientras  el  modelo  de  caja  negra  imita  cómo  sería  el  ataque de un hacker externo a la empresa 
y  sin  conocimiento  inicial  sobre  la  red  de la empresa, el modelo de caja blanca simula uno de un 
atacante  con  amplio  conocimiento  sobre  la  red,  ya  sea  un  empleado, ex-empleado descontento 
o hackers con mucho tiempo para realizar la recolección de datos. 

Hay  varios  grupos  de  empleados  de  los  que  el  equipo  de  ethical  hackers  puede  obtener 
información: la alta gerencia, el equipo de IT, recursos humanos y legal, etc. 

Caja gris 
Este  modelo  combina  elementos  tanto  del  modelo  de  ​Caja  Negra  como  del  modelo  de  ​Caja 
Blanca​,  proporcionando  un  método  híbrido  de  ataque.  En  otras palabras, el conocimiento sobre 
algunas  áreas  estará  claramente  definido,  mientras  que  en  otras  se  requerirá  el  trabajo  de 
detective del equipo de ​ethical hacking​. 

Página 5 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

Etapas 
Footprinting & Reconnaissance 
Footprinting  es  la  metodología  de  diagramar  los  sistemas  de  seguridad  de una empresa. Es una 
etapa  realizada  previa  a  un  ataque.  El  resultado  de footprinting es un perfil de los sistemas y red 
de  la  empresa  objetivo.  Comúnmente  los  atacantes  invierten  90%  de  su  tiempo en estas etapas 
previas  y  10%  en  el  ataque  en  sí.  Básicamente,  consiste  en  descubrir  y  recolectar  tanta 
información como sea posible sobre una red objetivo. 
 

Objetivos 

Recolectar  información  de  una  red  en  ● Nombre de dominio 

concreto  ● Direcciones IP 
● Servicios  TCP  y  UDP  que  estén 
corriendo 
● Protocolos de red 
● Puntos VPN 
 

Recolectar información de sistema  ● Nombres de usuarios y grupos 

● Tablas de ruta 
● Contraseñas 
● Tipos de sistemas de acceso remoto 
 

Recolectar información de la organización  ● Detalles de empleados 

● Website de la organización 
● Direcciones y números de teléfono 

Amenazas de Footprinting 

Los  atacantes  reúnen  información  del  sistema,  como  cuentas,  sistemas  operativos  y  otras 
versiones de software, nombres de servidores y detalles del esquema de base de datos. 

Las  amenazas  incluyen  pérdida  de  negocio,  espionaje  corporativo,  pérdida  de  privacidad, 
ataques de sistema y/o red y la fuga de información 

Página 6 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

Contramedidas Footprinting 

● Configurar routers para restringir respuestas a posibles consultas de footprinting 

● Configurar  servidores  Web  para  evitar  fugas  y  deshabilitar  protocolos  de  información  no 
buscada 

● Bloquear los puertos con una configuración de firewall adecuada 

● Realizar  ataques  preventivos  de  footprinting  para  localizar  información  accesible  y 

bloquear el acceso a esta 

● Desactivar listas de directorio y usar split-DNS 

 
Passive reconnaissance 
El  Passive reconnaissance, o reconocimiento pasivo, es la obtención de información a partir de lo 
recursos  que  se  encuentran  públicos.  Las  definiciones  que  brindan  los  estándares  de  testeo de 
penetración1 son: 

Reconocimiento Pasivo: 

Es  técnicamente  dificultoso  debido  a  que  no se debe enviar tráfico a la organización objetivo, ya 

sea  desde  nuestro  host  o  desde  uno  anónimo.  Esto  significa  que  solo  podemos  recabar 
información  archivada  o  guardada  en  caches,  la  cual  puede  estar  incorrecta  o  desactualizada. 
Generalmente  es  útil  si  hay  un  claro  requerimiento  de  que  nunca  se  debe  detectar  la  actividad 
de reconocimiento. 

Reconocimiento Semi-Pasivo: 

El  objetivo  es  recolectar  información  del  objetivo a partir de métodos que aparentan ser tráfico y 

comportamiento  normal  de  internet.  No  se deben buscar activamente contenidos ocultos ya que 
la  clave  es  no  llamar  la  atención.  Luego del ataque y analizando el tráfico de datos en sus redes, 
el  objetivo  podría  ser  capaz  de  descubrir  las  actividades  de  reconocimiento,  pero  no  no  de 
rastrearlas a nadie en específico. 

1
http://www.pentest-standard.org/index.php/Intelligence_Gathering#OSINT 

Página 7 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

Actividades del ​passive reconnaissance 

1. Identificar las direcciones de IP y subdominios 

2. Identificar sitios externos relacionados con el objetivo 

3. Identificar personas 

4. Identificar tecnologias 

5. Identificar contenidos de interes 

6. Identificar vulnerabilidades 

 
1. Identificar las direcciones de IP y subdominios 

Usualmente  es  de  los  primeros  pasos  en  el  reconocimiento  pasivo,  es  crucial  identificar  los 
rangos de la red y subdominios asociados con el objetivo. 

Esto  se  puede  lograr  a  partir  de  herramientas  como  Whois  o  Advanced  Google  Searches 
(utilizando  búsquedas  del  tipo  ‘site:  host.com’  o  accediendo  a  la  información  de  los  caches  de 
google, de forma tal que de no enviar tráfico al objetivo). 

 
2. Identificar sitios externos relacionados con el objetivo 

Identificar  sitios  externos  unidos  a  nuestro  objetivo  puede  ser  valioso  ya  que  muchas  veces  se 
produce  un  intercambio  de  información  entre  estos  que  puede  poseer  potenciales 
vulnerabilidades. 
3. Identificar personas 

Identificar  nombre,  direcciones  de  email,  números  de  teléfono  y  otra  información  personal 
puede  ser  valioso  para  aplicar  técnicas  como  el  ​pretexting​,  ​phishing  ​y  otras  tecnicas  de 
ingenieria social. 

 
4. Identificar tecnologías 

Identificar  los  tipos  y  versiones  de  los  sistemas  y  software  de  la  aplicación  del  objetivo  es  el 
precursor a identificar potencial vulnerabilidades en sus sistemas. 

Página 8 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

5. Identificar contenidos de interés 

Esto  involucra  identificar archivos de logeo, backups y otra información sensible que puede estar 

comentada  en  el  HTML  o  scripts  del  objetivo,  logrando  exponer  vulnerabilidades  para  futuras 
penetraciones. 

 
6. Identificar vulnerabilidades 

Finalizadas  las  etapas  anteriores  se  habrá  logrado  recabar  mucha  información  sobre  el 
objetivo  el  siguiente  paso  es  analizarla y estudiarla para encontrar vulnerabilidades. Para esto se 
pueden emplear los siguientes métodos: 

● Buscar  en  internet  vulnerabilidades  conocidas  de  ciertas  tecnologías  y  versiones  de 
software 

● Examinar URLs 

● Observar mensajes de error. 

 
 

Metodologías 
Existen  varias  metodologías,  estándares  y  frameworks  de  trabajo  que  pueden  guiar  a  un ethical 
hacker en el desarrollo de sus actividades. Se pasará a describir los tres más importantes: 

OSSTMM 
Es  un  estándar  de  referencia  que  ayuda  a  realizar  un  testeo  de  seguridad  en  forma  ordenada  y 
con calidad profesional. La metodología se encuentra dividida en varias secciones que incluyen: 

Aspectos técnicos  Otros aspectos 

● Seguridad de la Información  ● Credenciales  del  profesional  a  cargo 

● Seguridad de los Procesos  del test 
● Seguridad  en  las  Tecnologías  de  ● Forma de comercialización del test 
Internet  ● Presentación de resultados 
● Seguridad en las Comunicaciones  ● Normas éticas y legales que deben ser 
● Seguridad Inalámbrica  tenidas en cuenta 
● Seguridad Física  ● Duración de cada una de las tareas 
● RAVs  (Valores  de  Evaluación  de 
Riesgo)  y  la  frecuencia  con  la  cual  la 
prueba debe ser ejecutada 

Página 9 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

ISSAF 
Es  un  framework  que  detalla  las  prácticas  y conceptos relacionados con todas y cada una de las 
tareas  a  realizar  al  conducir  un  testeo  de  seguridad.  La  información  se  encuentra  organizada 
alrededor de los "Criterios de Evaluación". Estos se componen de los siguientes elementos: 

● Descripción 

● Puntos y Objetivos a cubrir 

● Pre-requisitos para conducir la evaluación 

● El proceso mismo de evaluación 

● El informe de los resultados esperados 

● Las contramedidas y recomendaciones 

● Referencias y Documentación Externa. 

OTP (OWASP Testing Project) 

Esta metodología consta de 2 partes. En la primera se abordan los siguientes puntos: 

● Principios del testeo 

● Explicación de las técnicas de testeo 

● Explicación general acerca del framework de testeo de OWASP 

Y  en  la  segunda  parte  se  enumeran  todas  las  técnicas  recomendadas  para  testear  la  seguridad 
de  un  producto  en  cada  paso  del  ciclo  de  vida  del  desarrollo  de  software.  Esta  metodología 
busca  que  la  actividad  del  testeo  de  seguridad  comience mucho antes de que la aplicación web 
se  encuentre  en  producción.  De  este  modo  se  incluyen  como  elementos  a  testear:  personas, 
procesos y tecnologías. 

Los pasos a seguir son: 

● Paso 1 Antes de comenzado el desarrollo 

○ Revisión de Políticas y Estándares 

○ Desarrollo  de  un  Criterio  de  Medidas  y  Métricas  (Aseguramiento  de  la 
Trazabilidad) 

● Paso 2 Durante la definición y el diseño 

Página 10 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

○ a) Revisión de los Requerimientos de Seguridad 

○ b) Diseño de Arquitectura 

○ c) Creación y Revisión de modelos UML 

○ d) Creación y Revisión de modelos de Amenazas 

● Paso 3 Durante el desarrollo 

○ a) Code Walkthroughs 

○ b) Revisión de Código 

● Paso 4 Durante el deployment 

○ a) Testeo de Penetración sobre la Aplicación 

○ b) Testeo sobre la Administración y Configuración 

● Paso 5 Operación y mantenimiento 

○ a) Revisión Operacional 

○ b) Conducción de Chequeos Periódicos 

○ c) Verificación del Control de Cambio 

¿Cómo convertirse en un ethical hacker? 

Hoy  en  dia  se  esta  ofreciendo  una  amplia  variedad  de  estudios  y cursos para el ethical hacking. 
El  mercado  ofrece  una  amplia  variedad  de  estos,  variando  en  contenido,  audiencia,  costos  y 
duración. A continuación se presentan links a un curso online y un tutorial 

● Curso 

○ https://www.cybrary.it/course/ethical-hacking/ 

● Tutorial 

○ https://www.tutorialspoint.com/ethical_hacking/index.htm 

 
Página 11 de 12 
 Ethical hacking - Administración y seguridad de sistemas 
 

Conclusión 
La  principal  desventaja  que  encontramos  en  la  actividad  de  ​ethical  hacking  es  el  peligro 
filtraciones  de  seguridad.  Al  ser  el  ​ethical  hacker  ​una  persona  ajena  a  la  organización,  a  priori, 
nada  nos  asegura  que  este  no  va  a  divulgar,  intencionalmente o no, la información confidencial 
obtenida  luego  de  la  actividad.  Es  importante  por  esto  seguir  un delicado proceso de selección 
del  equipo  de  ​ethical  hacking.  ​Es importante además tener un contrato que haya sido elaborado 
y  revisado por abogados especializados en la temática que detalle sin ambigüedad los alcances 
que deberá tener el test de seguridad. 

Las  ventajas  de  esta  actividad  son  descubrir  flaquezas,  configuraciones  inadecuadas  de  y 
vulnerabilidades  a  causa  de  la  falta  de  actualización  de  un  sistema  emulando  un  ataque  de  un 
hacker  malicioso.  Al  realizar  estas  técnicas,  se  obtiene  clara  información  que  podría  ser 
explotada  por  agentes  externos,  lo  cual  es  de  gran  ayuda al momento de aplicar medidas tanto 
preventivas como correctivas.   

Es  crucial  tomar  en  cuenta  aspectos  de  seguridad  en  todo  el  ciclo  de  desarrollo,  aplicando  las 
metodologías  antes  vistas.  De  esta  manera  logramos  reducir  los  costos de vulnerabilidades en 
los sistemas de seguridad y proteger la información de la empresa 

Página 12 de 12