Scribd
Cargar
344 vistas4 páginas

Hacking Etico

El documento define el Ethical Hacking como la evaluación autorizada y legal de la vulnerabilidad de sistemas informáticos para mejorar la seguridad. Los hackers éticos buscan vulnerabilidades para corregirlas simulando ataques. Las pruebas de penetración identifican áreas débiles antes de auditorías de seguridad. Los beneficios incluyen mejorar la seguridad al encontrar configuraciones erróneas e identificar sistemas vulnerables.

Cargado por

Ghilmer VH
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
344 vistas4 páginas

Hacking Etico

El documento define el Ethical Hacking como la evaluación autorizada y legal de la vulnerabilidad de sistemas informáticos para mejorar la seguridad. Los hackers éticos buscan vulnerabilidades para corregirlas simulando ataques. Las pruebas de penetración identifican áreas débiles antes de auditorías de seguridad. Los beneficios incluyen mejorar la seguridad al encontrar configuraciones erróneas e identificar sistemas vulnerables.

Cargado por

Ghilmer VH
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

¿Qué es el Ethical Hacking?

Es una rama se la seguridad informática que permite evaluar el nivel de vulnerabilidad y el riesgo
en el que se encuentran los sistemas informáticos o los activos de una organización de forma legal y
autorizada.
Los hackers éticos son necesarios para mejorar la seguridad de los sistemas y redes.
Hacker ético != pirata informático = cibercriminal = cracker

De lo anterior podemos afirmar que Ethical Hacking consiste en la simulación de posibles


escenarios donde se reproducen ataques de manera controlada, así como actividades propias de los
delincuentes cibernéticos, esta forma de actuar tiene su justificación en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso".

Hacker ético

Todo profesional de la seguridad que aplican sus conocimientos de hacking con fines defensivos (y
legales), llamado de los hackers “buenos”.
Un hacker ético es un experto en computadoras y redes de datos, su función es atacar los sistemas
de seguridad con autorización de sus dueños, con la intención de buscar y encontrar
vulnerabilidades que un hacker malicioso podría explotar.

¿Por qué hacer un Ethical Hacking?

A través del Ethical Hacking (es posible detectar el nivel de seguridad interno y externo de los
sistemas de información de una organización, esto se logra determinando el grado de acceso que
tendría un atacante con intenciones maliciosas a los sistemas informáticos con información crítica.
Las pruebas de penetración son un paso previo a los análisis de fallas de seguridad o riesgos para
una organización. La diferencia con un análisis de vulnerabilidades, es que las pruebas de
penetración se enfocan en comprobar y clasificar vulnerabilidades y no tanto en el impacto que
éstas tengan sobre la organización.
La realización de las pruebas de penetración está basada en las siguientes fases:

1. Reconocimiento: Se recolecta información del sistema de forma activa o pasiva.


2. Escaneo: Probar activamente las vulnerabilidades que puede explotarse.
3. Obtener acceso: explotar una vulnerabilidad para acceder al sistema.
4. Mantener el acceso: Se mantiene en el sistema para lograr el objetivo del ataque.
5. Borrado de huellas: El atacante trata de borrar las evidencias del ataque.

Durante las Pruebas de Vulnerabilidad


_ Preparación: Se debe tener un contrato firmado por escrito donde se exonere al hacker ético de
toda responsabilidad como consecuencia de las pruebas que realice (siempre que sea dentro del
marco y términos acordado),crear un equipo de hacking y planificar las pruebas.
_ Ejecución de Plan Evaluación de la Seguridad: Realizar las pruebas.
_ Gestión: Preparación de un informe donde se detallen las pruebas y posibles vulnerabilidades
detectadas.
_ Conclusión: Presentación a la empresa del informe y de las posibles soluciones.

Tipos de Ethical Hacking


Las pruebas de penetración se enfocan principalmente en las siguientes perspectivas:
 Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas
de los sistemas informáticos críticos de la organización.
 Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los
componentes de los sistemas informáticos pertenecientes a la organización. Este tipo de
pruebas suelen ser las más laboriosas.
 Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública
disponible sobre la organización.
 Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por
la organización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de
simular ataques realizados por individuos internos de la organización que tienen
determinado acceso a información privilegiada.
 Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones
de la organización. Su objetivo es evaluar los mecanismos perimetrales de seguridad
informática de la organización.
 Pruebas de penetración internas: son realizadas dentro de las instalaciones de la
organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de
la organización.

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en dos modalidades
dependiendo si el desarrollo de las pruebas es de conocimiento del personal informático o no.
Red Teaming: Es una prueba encubierta, es decir que sólo un grupo selecto de ejecutivos sabe de
ella. En esta modalidad son válidas las técnicas de "Ingeniería Social" para obtener información que
permita realizar ataque. Ésta obviamente es más real y evita se realicen cambios de última hora que
hagan pensar que hay un mayor nivel de seguridad en la organización.

Blue Teaming: El personal de informática conoce sobre las pruebas. Esta modalidad se aplica
cuando las medidas tomadas por el personal de seguridad de las organizaciones ante un evento
considerado como incidente, repercuten en la continuidad de las operaciones críticas de la
organización, por ello es conveniente alertar al personal para evitar situaciones de pánico y fallas en
la continuidad del negocio.
¿Cuáles son los beneficios de un Ethical Para las organizaciones?

Los beneficios que las organizaciones adquieren con la realización de un Ethical Hacking son
muchos, de manera muy general los más importantes son:
 Ofrecer un panorama acerca de las vulnerabilidades halladas en los sistemas de
información, lo cual es de gran ayuda al momento de aplicar medidas correctivas.
 Deja al descubierto configuraciones no adecuadas en las aplicaciones instaladas en los
sistemas (equipos de cómputo, switches, routers, firewalls) que pudieran desencadenar
problemas de seguridad en las organizaciones.
 Identificar sistemas que son vulnerables a causa de la falta de actualizaciones.
 Disminuir tiempo y esfuerzos requeridos para afrontar situaciones adversas en la
organización.

Preocupaciones Futuras

Big Data

Desorganización

Herramientas

Regulación y cumplimiento

¿Es legal Hacking ético?


Si por motivación personal se realizaría pruebas de ataque para encontrar posibles vulnerabilidades
en los sistemas de información dentro de una determinada organización aún si fuese con buenas
intenciones como el de tan solo alertar a las organizaciones de lo vulnerable que puedan ser, es
considerado como un delito así está dispuesto en la ley de Delitos Informáticos Ley Nº 30171 que
modifica la anterior ley (N° 30096).
Artículo 2. Acceso ilícito
“El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre
que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será
reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a
noventa días-multa. Será reprimido con la misma pena, el que accede a un sistema informático
excediendo lo autorizado.”
Artículo 3. Atentado a la integridad de datos informáticos
“El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime o hace
inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni
mayor de seis años y con ochenta a ciento veinte días-multa.”
Artículo 4. Atentado a la integridad de sistemas informáticos
“El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático, impide
el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será
reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a
ciento veinte días-multa.”

Por tanto Un hacker ético debe actuar bajo todos los términos de legalidad. Antes de poner en
práctica sus conocimientos (auditorías de seguridad, pruebas de penetración, entre otros), para
descubrir posibles fallos de debe contar con el consentimiento de la organización es decir debe
existir un contrato donde se establece bajo que términos y condiciones se ha de llevar a cabo el
trabajo.

Iniciativas
OWASP
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una
comunidad abierta dedicada a facultar a las organizaciones a desarrollar, adquirir y mantener
aplicaciones que pueden ser confiables.
https://www.owasp.org

Capítulo OWASP Perú


https://www.owasp.org/index.php?title=Peru&setlang=es

DragonJar
Comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad
Informática.
http://comunidad.dragonjar.org/

También podría gustarte