DIPLOMADO DE ETHICAL HACKING Y

SEGURIDAD DE LA INFORMACIÓN

MÓDULO IV

INTRODUCCIÓN AL ETHICAL
HACKING

Edición septiembre de 2019

Copyright Alfonso Carvajal Soto
Todos los derechos reservados
Universidad El Bosque, 2019
 MÓDULO IV – ETHICAL HACKING

TABLA DE CONTENIDO

1. Introducción
1.1 Terminología principal
2. Seguridad de la información, amenazas y vectores de ataque
2.1 Motivos, Objetivos y Metas
2.2 Motivos principales detrás de los ataques a la seguridad de la información
2.3 Top de vectores de ataque a la seguridad de la información
2.4 Categorías de amenazas de seguridad de la información
2.4.1 Amenazas de red
2.4.2 Amenazas de host
2.4.3 Amenazas de aplicación
2.5 Tipos de ataques sobre un sistema
3. Conceptos, tipos y fases del hacking
3.1 ¿Qué es hacking?
3.2 ¿Qué es un hacker?
3.3 Clases de hackers
3.4 Fases del Hacking
3.4.1 Reconocimiento
3.4.2 Escaneo
3.4.3 Ganar acceso
3.4.4 Mantener el acceso
3.4.5 Borrar los registros
4. Alcance del ethical hacking
4.1 Que es Ethical Hacking (Hacking ético)
4.2 Habilidades de un ethical hacker (hacker ético)
4.2.1 Habilidades técnicas
4.2.2 Habilidades no técnicas
5. Controles de seguridad de la información
5.1 Aseguramiento de la información (IA)
5.2 Programa de gestión de la seguridad de la información
5.3 Modelamiento de amenazas
5.4 Arquitectura de Seguridad de Información en la Empresa (EISA)
5.5 Zonas de seguridad de red
5.6 Políticas de seguridad de la información
5.7 Seguridad física

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

5.8 Gestión de incidentes de seguridad

6. Referencias y bibliografía

Objetivos del módulo:

• Comprender de manera general, las técnicas y herramientas que utilizan los hackers.
• Conocer los conceptos clave relacionados con las actividades de ethical hacking.
• Conocer las fases de un ethical hacking y los tipos de hackers.
• Obtener comprensión sobre los controles de la seguridad de la información en las
organizaciones.
• Utilizar de manera adecuada las herramientas de gestión, control, auditoría, y la
implementación de las medidas de seguridad de la información.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

1. INTRODUCCIÓN

Actualmente la seguridad informática ha adquirido gran auge dadas las cambiantes condiciones y
nuevas plataformas de computación disponibles, situación que desemboca en la aparición de
nuevas amenazas en los sistemas informáticos. Esto ha llevado a que muchas organizaciones estén
implementando sistemas y directrices que orientan en el uso adecuado de estas tecnologías para
obtener el mayor provecho de las ventajas que brindan. Por lo anterior, esta materia surge como
una herramienta para generar conciencia, educación y la competencia necesaria sobre la
importancia y sensibilidad de la información es sus servicios más críticos que permiten a la
compañía desarrollarse y mantenerse en su sector de negocios.

En los últimos años se han presentado diversos casos de perdida y robo de información en
compañías top a nivel mundial, que han puesto en evidencia las falencias en seguridad de la
información, que presentan en general las compañías sin importar su tamaño y objeto de negocio.

A continuación, revisaremos algunos de los casos más sonados:

• A finales del año 2013 se dio un ataque exitoso a una base de datos del minorista
estadounidense Target, el cual comprometió al menos 40 millones de tarjetas de crédito y
débito y pudo incluir el robo de números de identificación personal (PIN), algo que en su
momento fue negado por la compañía.

La investigación del caso mostró que entre la información robada también había nombres,
direcciones de correo, números de teléfono y direcciones de correo electrónico. El caso afectó
gravemente a la credibilidad de la compañía, la cual tuvo que ofrecer grades descuentos de precio
y la promesa de mejorar la seguridad. Luego del incidente, se abrió el debate de la seguridad en el
sector de retail.
DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN
UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• En el año 2014, el gigante de las subastas, eBay, solicitó a sus aproximados 128 millones
de usuarios la modificación de sus contraseñas:

Una publicación de la empresa, eBay Inc. mencionaba que un ciberataque "comprometió una base
de datos que contiene contraseñas cifradas y otros datos no financieros". No hay evidencia de que
el compromiso representara el robo de información financiera o de tarjeta de crédito de los usuarios,
sin embargo, la compañía solicitó a todos los usuarios que cambien sus contraseñas.

Luego del incidente presentado se mencionaban recomendaciones para que los usuarios estuvieran
alerta, incluso después de cambiar sus contraseñas. Lo anterior, debido a que después de una
brecha como esta, el riesgo de que los hackers utilicen su información personal para cometer fraude
de identidad y lanzar ataques de phishing aumenta. Dentro de las recomendaciones adicionales,
DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN
UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

estaban no abrir enlaces en correos electrónicos, ni proporcionar información personal por teléfono,
y en caso de poseer dudas o aclaraciones de la información de su cuenta, ponerse en contacto con
el servicio de atención al cliente de eBay directamente.

• La tienda de aplicaciones de Google también ha sido blanco de ataques, los cuales han
afectado directamente a sus desarrolladores. El incidente consistió en atacar su sistema de
publicación de las aplicaciones, lo que impedía la publicación de nuevas aplicaciones y
actualizaciones de aplicaciones ya publicadas en la tienda. Posiblemente el usuario común
no se percató de la situación, ya que la invasión no impidió las descargas de aplicaciones.
Un turco llamado Ibrahim Balic se supuso que era responsable del ataque, quien luego
manifestó que sólo buscaba probar una vulnerabilidad y al final tuvo éxito en sus pruebas.

• A principios de septiembre de 2014, la cadena estadounidense Home Depot fue víctima

de una brecha de seguridad relacionada con la perdida de números de tarjetas bancarias,
la cual se podría contar dentro de las más grandes de la historia.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

La compañía reveló que la información de aproximadamente 56 millones de tarjetas se puso en

riesgo por un ataque, donde posiblemente los ciber-delincuentes utilizaron "software malicioso
hecho a la medida" que permitió evadir la detección. Este tipo de ataques es realizado de tal
forma, que el atacante, es capaz de destinar mucho tiempo investigando como acceder a la red
de la víctima, y una vez que está dentro, se queda en silencio y monitorea esperando el momento
adecuado de cometer el objetivo.

• Uno de los principales bancos de los Estados Unidos, el banco JPMorgan sufrió una
intrusión masiva en su sistema informático, que afectó a 77 millones de clientes y siete
millones de negocios en dicho país. El asalto al mayor banco por activos del país, fue el
último en una sucesión de ataques realizados por hackers en el año 2014, que afectaron
a otras grandes corporaciones en el ámbito del consumo, como las mencionadas
anteriormente.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

Se logró establecer que los atacantes tuvieron acceso a los datos de contacto de los clientes,
como correos electrónicos y teléfonos; también a información que identifica el tipo de relación de
dichos clientes con el banco. La entidad luego aseguró que los activos financieros y la información
relativa a las cuentas no fueron comprometidas porque los hackers no tuvieron acceso a
información sensible como claves, datos personales o números de identificación.

El año 2014 ha quedado como uno de los de mayor actividad delictiva, enfocada a atacar los
sistemas de información de grandes compañías, lo cual indica que cada vez es mayor el interés
por los piratas informáticos por obtener recursos financieros a través del aprovechamiento de las
debilidades de las organizaciones en cuanto a la protección de sus activos de información.

TENDENCIAS DE MALWARE EN 2014

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

1.1 Terminología principal

• Hack Value: Es la noción que tienen los hackers de que vale la pena hacer algo o es
interesante.
• Vulnerabilidad: Existencia de una debilidad o error de diseño o implementación que
puede conducir a un evento inesperado que comprometa la seguridad del sistema.
• Exploit: Una brecha del sistema informático lograda a través de vulnerabilidades.
• Payload: Es la parte de un código exploit que realiza la acción maliciosa, destinada a
temas como la destrucción, la creación de puertas traseras y el secuestro de los equipos.
• Ataque de día cero: Es un ataque que explota vulnerabilidades de las aplicaciones
informáticas antes de que el desarrollador del software libere un parche para la
vulnerabilidad.
• Daisy chaining: Implica obtener acceso a una red y/o computadora, y luego usando la
misma información, obtener acceso a múltiples redes y computadoras que contienen
información deseable.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Doxing: Investigar, recopilar y publicar información personal sobre un individuo que fue
específicamente seleccionado, con un objetivo concreto, recolectada de bases de datos
disponibles públicamente y redes sociales.
• Bot: Una “bot” es una aplicación de software que puede ser controlada remotamente para
ejecutar o automatizar tareas predefinidas.

ELEMENTOS DE SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es un estado de bienestar de la información y la infraestructura,

en el cual la posibilidad de robo, manipulación e interrupción de la información y los servicios, se
mantiene en niveles bajos o tolerables.

En cualquier sistema, el nivel de seguridad puede ser definido por la fortaleza de tres
componentes fundamentales, como lo son: la seguridad, la funcionalidad y la usabilidad.

En la medida de que el componente de seguridad sea más robusto, la funcionalidad y la

usabilidad del sistema serán menores, o al contrario; por lo cual es necesario mantener un
balance entre dichos componentes con el fin de mantener un sistema funcional y usable para los
usuarios, pero a la vez con los niveles de seguridad adecuados para evitar incidentes que puedan
terminar en pérdidas importantes para el negocio o sus clientes.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

2. SEGURIDAD DE LA INFORMACIÓN, AMENAZAS Y VECTORES DE ATAQUE

2.1 Motivos, Objetivos y Metas

Los ataques hacia la seguridad de la información siempre estarán relacionados con un motivo,
unos objetivos y unas metas, por parte de quienes los llevan a cabo:

Ataques = Motivo (meta) + Método + Vulnerabilidad

Un motivo, parte de la noción de que el sistema de destino almacena o procesa algo valioso y
esto conduce a que se presente la amenaza de ataque hacia el sistema.

Los atacantes intentan varias herramientas y técnicas de ataque para explotar vulnerabilidades
en un sistema informático, o en contra de los controles y las políticas de seguridad con el fin de
lograr sus objetivos.

2.2 Motivos principales detrás de los ataques a la seguridad de la información:

• Interrumpir la continuidad del negocio

• Robo de información
• Manipulación de los datos
• Crear miedo y caos, interrumpiendo las infraestructuras criticas
• Propagar creencias religiosas o políticas
• Lograr objetivos militares de los estados
• Dañar la reputación de la victima
• Tomar venganza

2.3 Top de vectores de ataque a la seguridad de la información:

• Amenazas de computación de la nube: la computación en la nube (Cloud computing)

es un habilitador de capacidades de TI, donde múltiples datos sensibles de la

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

organización y de sus clientes son almacenados. Fallas en la aplicación de nube de un

cliente, pueden permitir a un hacker acceder a datos de otros clientes.
• Amenazas persistentes avanzadas: las APT son ataques que se enfocan en el robo de
información de la máquina de la víctima, sin que el usuario sea consciente de ello.
• Virus y gusanos: los virus y los gusanos son las amenazas más frecuentes en la red,
los cuales son capaces de infectar una red en segundos.
• Amenazas móviles: el foco de los atacantes se ha desplazado a los dispositivos móviles
debido al incremento de la adopción de este tipo de tecnologías para propósitos
personales y de negocios, los cuales comparativamente tienen menos controles de
seguridad.
• Botnet: es una red enorme de sistemas comprometidos, usada por un intruso para
realizar ataques de red variados.
• Ataque interno: es un ataque realizado en una red corporativa o en un computador por
una persona de confianza, es decir un usuario interno, que usualmente tiene acceso
autorizado a la red.

2.4 Categorías de amenazas de seguridad de la información

2.4.1 Amenazas de red:

• Recopilación de información
• Sniffing y eavesdropping (escucha y espionaje)
• Spoofing
• Sesion hijacking y man in the middle (Secuestro de sesiones y hombre en el medio)
• DNS y ARP poisoning (Envenenamiento)
• Ataques basados en password
• Ataques de denegación de servicio
• Ataque de compromiso de llaves
• Ataques de firewall e IDS

2.4.2 Amenazas de host:

• Ataques de malware
• Footprinting (Reconocimiento)
• Ataques de password
• Ataques de denegación de servicio

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Ejecución de código arbitrario

• Acceso no autorizado
• Escalamiento de privilegios
• Ataques de backdoors (puertas traseras)
• Amenazas de seguridad física

2.4.3 Amenazas de aplicación:

• Validación inapropiada de datos de entrada

• Ataques de autenticación y autorización
• Configuración errónea de seguridad
• Divulgación de información
• Administración de sesiones rota
• Buffer overflow (desbordamiento de búfer)
• Ataques criptográficos
• SQL Injection
• Administración inadecuada de manejo de errores y excepciones

2.5 Tipos de ataques sobre un sistema

• Ataques sobre el sistema operativo:

o Atacantes buscan vulnerabilidades en el diseño, en la instalación y/o
configuración de un sistema operativo y las explotan para ganar acceso a un
sistema.
o Vulnerabilidades del sistema operativo, tales como vulnerabilidades de buffer
overflow, bugs del sistema operativo, sistemas sin parchar, entre otros.
• Ataques de configuración errónea:
o Vulnerabilidades por configuración errónea que afectan servidores web,
plataformas de aplicación, bases de datos, redes, o marcos de trabajo que
resultan en acceso ilegal o posible obtención del sistema.
• Ataques a nivel de aplicación:
o Atacantes explotan las vulnerabilidades en aplicaciones que corren en los
sistemas de información de las organizaciones, para ganar acceso no autorizado
y robar o manipular información.
o Vulnerabilidades de aplicación, tales como, buffer overflow, cross-site scripting,
SQL injection, Man in the middle, Sesion hijacking y denegación de servicio, etc.
DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN
UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Ataques de código:
o Los atacantes explotan las configuraciones y ajustes por defecto de los códigos y
librerías ejecutadas en las plataformas.

3. CONCEPTOS, TIPOS Y FASES DEL HACKING

A continuación, desarrollaremos una serie de conceptos clave para el estudio y el entendimiento

del ethical hacking, como herramienta clave en la evaluación y defensa de la seguridad de la
información.

3.1 ¿Que es hacking?

Se refiere principalmente a la explotación de vulnerabilidades del sistema y al compromiso de los

controles de seguridad para ganar acceso no autorizado o inapropiado a los recursos del sistema.

El hacking involucra la modificación del sistema o las características de la aplicación, para lograr
un objetivo fuera del propósito original del creador.

El hacking puede ser usado para robar y redistribuir la propiedad intelectual, conduciendo a la
pérdida del negocio.

3.2 ¿Que es un hacker?

• Individuos inteligentes, con excelentes habilidades en informática, con la destreza para

crear y explorar dentro del hardware y el software de los sistemas computacionales.
• Para algunos que se dedican a esta práctica, una persona que practica el hacking, es
alguien que tiene un hobby para ver cuántos computadores o redes pueden llegar a
comprometer.
• Su intención puede ser ganar conocimiento o llegar a hacer cosas ilegales.
• Algunos hacen hacking con intenciones maliciosas detrás de sus aventuras, tales como
robar datos de negocios, información de tarjetas de crédito, números de seguridad social,
contraseñas de correo, etc.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

3.3 Clases de hackers

• Sombrero negro (Black hats): Personas con extraordinarias habilidades en informática,

que recurren a actividades maliciosas o destructivas, también conocidos como crackers.
• Sombrero blanco (White hats): Personas que ejercen habilidades de hacker y las usan
con propósitos de defensa, también llamados analistas de seguridad.
• Sombrero gris (Gray hats): Personas que ejercen ambos roles, ofensivos y defensivos
en varios momentos.
• Hackers suicidas: individuos que le apuntan a derribar infraestructuras críticas, servicios
públicos por ejemplo, por una “causa” y no están preocupados por enfrentarse a penas
de cárcel o cualquier otro tipo de castigo.
• Script Kiddies: es un tipo de hacker que no tiene habilidades técnicas, y compromete
sistemas ejecutando scripts, herramientas, y software desarrollado por hackers reales.
• Cyber terroristas: Personas con un amplio rango de habilidades, motivados por
creencias religiosas o políticas, cuyo fin es crear miedo a través de la interrupción a
grande escala, de redes de computadores.
• Hacker patrocinado por el estado: Personas que son contratadas por los gobiernos,
para penetrar y ganar acceso a información “top-secret” de otros gobiernos, con el fin de
robarla o dañarla.
• Hacktivistas: Personas que practican "la utilización no-violenta” de técnicas y
herramientas de hacking persiguiendo fines políticos.

3.4 FASES DEL HACKING

3.4.1 Reconocimiento:

El reconocimiento se refiere a la fase preparatoria, donde un atacante busca reunir información

acerca de la víctima antes de lanzar un ataque.

Podría ser el futuro punto de retorno, señalado por la facilidad de entrada para un ataque, sobre
todo cuando se conoce a gran escala acerca de la víctima.

El rango de reconocimiento puede incluir a los clientes, empleados, operaciones, redes y

sistemas de la organización que es víctima.

Existen dos tipos de reconocimiento: el reconocimiento pasivo que involucra la obtención de

información sin interactuar directamente con la víctima, por ejemplo, buscando en registros

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

públicos, como redes sociales. También se encuentra el reconocimiento activo, que involucra
interactuar con la victima por cualquier medio, por ejemplo, llamadas telefónicas a la mesa de
ayuda o al departamento de sistemas.

3.4.2 Escaneo:

El escaneo (scanning) se refiere a la fase de pre-ataque cuando el atacante escanea la red para
obtener información específica, teniendo como base la información reunida en la fase
reconocimiento. El escaneo puede incluir el uso de dialers, escáner de puertos, network mappers,
herramientas de ping, escáner de vulnerabilidades, etc.

Los atacantes extraen información tal como, maquinas activas, puertos, estado de los puertos,
detalles del sistema operativo, tipo de dispositivo, tiempo al aire del sistema, etc; importante para
lanzar el ataque.

3.4.3 Ganar acceso:

Esta fase se refiere al punto donde el atacante obtiene acceso al sistema operativo o a las
aplicaciones sobre un computador o en la red. El atacante puede ganar acceso a nivel de sistema
operativo, a nivel de aplicación o a nivel de red.

El atacante puede escalar privilegios para obtener control completo del sistema. En el proceso,
sistemas intermedios que están conectados al sistema atacado también pueden ser
comprometidos. Algunos ejemplos pueden ser, robo de contraseñas, buffer overflows,
denegación de servicio, secuestro de sesiones, etc.

3.4.4 Mantener acceso:

Mantener el acceso hace referencia a la fase donde el atacante intenta retener la propiedad sobre
el sistema vulnerado. Los atacantes pueden impedir que el sistema sea propiedad de otros
atacantes, asegurando su acceso exclusivo con puertas traseras, rootkits y troyanos.

Los atacantes pueden cargar, descargar o manipular datos, aplicaciones y configuraciones del
sistema del cual ya son dueños. También pueden usar el sistema comprometido para lanzar
futuros ataques.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

3.4.5 Borrar los registros:

Encubrir o limpiar las pistas, hace referencia las actividades llevadas a cabo por un atacante para
ocultar sus actividades maliciosas. Las intenciones del atacante incluyen: el acceso continuo al
sistema de la víctima, permaneciendo desapercibido y sin ser capturado, eliminando evidencia
que podría llevar a su procesamiento. Los atacantes siempre cubren los registros para esconder
su identidad.

4. ALCANCE DEL ETHICAL HACKING

4.1 Que es Ethical Hacking (Hacking ético)

El hacking ético es una herramienta de prevención y protección de datos. Dicha herramienta

brinda a las organizaciones la ayuda necesaria para tomar todas las medidas preventivas en
contra de comportamientos maliciosos, valiéndose para ello de pruebas de intrusión, que evalúan
la seguridad técnica de los sistemas de información, redes de computadoras, aplicaciones web,
servidores, etc.

El hacking ético se basa en la utilización de los conocimientos en seguridad informática y de

herramientas especializadas, para realizar pruebas en búsqueda de vulnerabilidades que puedan
ser explotadas, con el fin de reportarlas y tomar medidas correctivas sin poner en riesgo el
sistema.

Su aplicación consiste en la simulación de ataques controlados y la realización de actividades

propias de piratas informáticos, esta filosofía resulta de la practica probada: "Para atrapar a un
ladrón debes pensar como un ladrón". Lo que se pretende es estar constantemente adelante de
aquellos que nos intentan atacar, haciendo pruebas y ataques propios con la ayuda de expertos
en la materia y con el consentimiento de la organización y las autoridades.

Este tipo de prácticas son muy importantes para las organizaciones, ya que permiten tener mayor
claridad sobre sus riesgos de seguridad e identificarlos antes de que verdaderos atacantes
puedan explotarlos y afectar las operaciones e imagen del negocio. Por lo anterior, cada vez más
organizaciones reclutan personal con conocimientos especializados en la materia, que puedan
aplicarlos para el beneficio de la misma.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

Adicionalmente, analizar y consolidar una postura de seguridad en la organización, incluye

establecer políticas, infraestructura de protección de la red y buenas prácticas de usuario final.

4.2 Habilidades de un ethical hacker (hacker ético)

4.2.1 Habilidades técnicas

• Tiene un profundo conocimiento de los principales entornos operativos, tales como

Windows, Unix, Linux, y Macintosh.
• Tiene un profundo conocimiento en conceptos, tecnologías, hardware y software de
networking.
• Debe ser un experto informático con dominio técnico.
• Debe tener conocimiento en áreas de seguridad y temas relacionados.
• Tiene alto conocimiento técnico para lanzar ataques sofisticados.
• Deseablemente, debe poseer conocimientos en desarrollo de software y lenguajes de
programación.

4.2.2 Habilidades no técnicas

• Habilidad para aprender y adaptarse rápidamente a nuevas tecnologías.

• Debe tener una ética laboral fuerte y buenas habilidades de resolución de problemas y
comunicación.
• Debe tener compromiso con las políticas de seguridad de la organización.
• Debe tener conciencia sobre los estándares y leyes locales.

5. CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

5.1 Aseguramiento de la información (IA)

El aseguramiento de la información (IA, por sus siglas en inglés) es la práctica de asegurar la

información y manejar los riesgos relacionados con el uso, procesamiento, almacenamiento y

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

transmisión de información o datos y los sistemas y procesos utilizados para esos fines. El
aseguramiento de la información incluye la protección de la integridad, disponibilidad,
confidencialidad y autenticidad de la información. Utiliza controles físicos, técnicos y
administrativos para llevar a cabo estas tareas, y si bien se centra principalmente en la
información en forma digital, la gama completa de IA abarca no sólo la forma digital, sino también
analógica o física.

Algunos de los procesos que ayudan en el logro del aseguramiento de la información (IA)
incluyen:

• Desarrollo de políticas locales, procesos y gobierno.

• Diseño de la red y la estrategia de autenticación del usuario.
• Identificación de vulnerabilidades y amenazas de red.
• Identificación de problemas y requerimientos de recursos.
• Creación del plan para identificar los requerimientos de recursos.
• Aplicar controles apropiados para asegurar la información.
• Realizado certificación y acreditación
• Proporcionando entrenamiento en aseguramiento de la información.

5.2 Programa de gestión de la seguridad de la información

El programa de gestión de la seguridad de la información está diseñado para habilitar al negocio

para operar en un estado de reducción del riesgo. Abarca todos los procesos organizacionales y
operativos, y los involucrados claves para la seguridad de la información.

Un marco de trabajo para la administración de la seguridad de la información es la combinación

de políticas bien definidas, procesos, procedimientos, estándares y guías para establecer el nivel
requerido de seguridad de la información:

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

5.3 Modelamiento de amenazas

El modelado de amenazas es un enfoque de evaluación del riesgo para analizar la seguridad de

una aplicación mediante la captura, organización y análisis de toda la información que afecta la
seguridad de la misma.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

5.4 Arquitectura de Seguridad de Información en la Empresa (EISA)

Es un conjunto de requerimientos, procesos, principios y modelos que determinan la estructura

y comportamiento de los sistemas de información de una organización, y que se centra en la
seguridad de la información.

• Ayuda en el monitoreo y la detección de comportamientos de red en tiempo real, actuando

sobre riesgos de seguridad internos y externos.
• Ayuda a una organización a detectar y recuperarse de una brecha de seguridad.
• Ayuda en la priorización de recursos de una organización y presta atención a varias
amenazas.
• Beneficia a la organización en anticipar costos, cuando se incorporan provisiones de
seguridad como respuesta a incidentes, recuperación de desastres, correlación de eventos,
etc.
• Ayuda en el análisis del procedimiento necesario para que las áreas de TI funcionen
correctamente e identifiquen los activos.
• Ayuda a realizar evaluación de riesgos de los activos de información de una organización,
con la cooperación del personal de TI.

5.5 Zonas de seguridad de red

El mecanismo de definir zonas de seguridad en la red, permite a una organización administrar un

ambiente de red segura, seleccionando los niveles de seguridad apropiados para las diferentes
zonas de la red, internet e intranet.

Esto ayuda a realizar un monitoreo efectivo y controlado del tráfico de entrada y salida en la red.
Algunos ejemplos de zonas de seguridad:

• Zona de internet: zona sin control, está fuera de los límites de una organización.
• DMZ: zona controlada, ya que proporciona un amortiguador entre redes internas e
Internet.
• Zona de producción: zona restringida, ya que controla rigurosamente el acceso directo
desde otras redes con bajo control.
• Intranet: zona controlada sin restricciones fuertes.
• Zona de gestión de red: zona asegurada con políticas estrictas.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

5.6 Políticas de seguridad de la información

Las políticas de seguridad son la base de la infraestructura de seguridad. Dichas políticas de

seguridad definen los requerimientos de seguridad básicos y las reglas a ser implementadas, con
el fin de proteger y asegurar los sistemas de información de la organización.

Algunas de las metas de las políticas de seguridad son:

• Mantener un esquema para la gestión y administración de la seguridad de la red.

• Prevenir la modificación no autorizada de los datos.
• Proteger los recursos informáticos de la organización.
• Reducir riesgos causados por el uso ilegal de los recursos del sistema.
• Eliminar las responsabilidades legales derivadas de los empleados o terceras partes.
• Diferenciar los derechos de acceso de los usuarios. Definir roles y responsabilidades.
• Evitar desperdicios de recursos computacionales de la organización.
• Proteger la información confidencial y propietaria de robo, mal uso y divulgación no
autorizada.

Tipos de políticas de seguridad de la información:

• Políticas promiscuas: No hay restricciones sobre el uso de los recursos del sistema.
• Políticas permisivas: La política se implementa ampliamente abierta y solo se conoce
si servicios peligrosos, ataques o comportamientos maliciosos son bloqueados.
• Política prudente: Proporciona la máxima seguridad al tiempo que permite peligros
conocidos pero necesarios. Bloquea todos los servicios y solo son habilitados los
servicios necesarios de manera individual. Todo es registrado por el sistema.
• Política paranoica: Prohíbe todo, no se permite conexión a internet o el uso de este, es
altamente limitado.

Algunos ejemplos de políticas de seguridad:

• Política de control de acceso: Define los recursos que se protegen y las reglas que
controlan el acceso a ellos.
• Política de acceso remoto: define quien tiene acceso remoto y los controles de
seguridad para brindar dicho acceso.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Políticas de cuentas de usuario: define el proceso de creación de cuentas de usuario,

la autoridad, derechos y responsabilidades de las cuentas de usuario.
• Política de protección de la información: define los niveles de sensibilidad de la
información, quien puede tener acceso, como se almacena y se transmite, y como puede
ser borrada de los medios de almacenamiento.
• Política de administración de firewall: define el acceso, la administración, y el
monitoreo del firewall de la organización.
• Política de contraseñas: provee las guías para usar protección de contraseñas fuertes
en los recursos de la organización.
• Política de seguridad del correo electrónico: es creada para regular el uso apropiado
del correo corporativo.

Políticas de privacidad en el lugar de trabajo

Los empleadores tendrán acceso a la información personal de los empleados, que puede ser
confidencial y que desean mantener privado. Algunas reglas básicas al respecto:

• Limitar la recopilación de información y recopilarla por medios justos y lícitos.

• Informar a los empleados acerca de lo que usted recopila de ellos, por qué y qué va a
hacer con esta información.
• Proveer acceso a los empleados a su información personal.
• Mantener la información personal de los empleados exacta, completa y actualizada.
• Asegurar correctamente la información personal de los empleados.

La organización deberá definir cuantas políticas de seguridad requiera, de acuerdo con sus
necesidades de negocio y regulaciones aplicables, entre otros.

Pasos para crear e implementar una política de seguridad:

• Realice una evaluación de riesgos.

• Aprenda de marcos de referencia y la experiencia de otras compañías.
• Involucre a la alta dirección y demás stakeholders (interesados) en el desarrollo de la
política.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Dejar en claro las penalidades y aplicarlas.

• Mantener la versión final disponible para todos los funcionarios de la organización.
• Asegurar que todos los miembros de la organización lean, firmen y entiendan la política.
• Implementar herramientas para aplicar las políticas.
• Entrenar y educar a los empleados acerca de la política de seguridad.
• Revisar la política regularmente y actualizarla.

5.7 Seguridad física

La seguridad física es el primer nivel de protección en cualquier organización. Consiste en la

aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas que pongan en riesgo los recursos e información confidencial. Se
refiere a los controles y mecanismos de seguridad dentro y alrededor de los centros de datos y
oficinas, donde residen los componentes de hardware, los medios de almacenamiento de datos,
y en general el equipo de cómputo de la organización.

Amenazas de seguridad física:

• Existen amenazas ambientales, tales como: inundaciones, incendios, terremotos, polvo,

etc.
• También se tienen amenazas impulsadas por el ser humano: terrorismo, guerras,
explosiones, vandalismo, dumpster diving, robo, entre otros.

Controles de seguridad física:

Existen múltiples controles de seguridad física, a continuación, algunos ejemplos comunes:

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

Existen múltiples controles de seguridad física, los cuales no siempre están relacionados con
dispositivos electrónicos o tecnologías específicas, hay controles de tipo administrativo que
complementan los anteriormente mencionados, y que también deben ser implementados, por
ejemplo, llevar un registro de visitantes, establecer bitácoras de autorización para ingresos de
personal en horarios no hábiles, realizar acompañamiento a los visitantes durante su estancia en
las instalaciones, entre otros.

5.8 Gestión de incidentes de seguridad

La gestión de incidentes consiste en un conjunto de procesos definidos para identificar, analizar,

priorizar y resolver incidentes de seguridad, para restaurar las operaciones del servicio a un
estado de normalidad lo más rápido posible y prevenir ante la recurrencia futura de incidentes.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

A continuación, se muestran los procesos de una gestión de incidentes:

La organización debe definir un equipo de respuesta a incidentes de seguridad, que se

encargue de ejecutar cada una de las tareas que componen el proceso, incluyendo la
comunicación y sensibilización hacia las demás áreas de la organización. El equipo de respuesta
a incidentes será responsable principalmente de:

• Gestionar los problemas de seguridad, tomando un enfoque proactivo hacia la seguridad

del clientes y usuarios, y respondiendo efectivamente a incidentes de seguridad
potenciales.
• Desarrollar o revisar el proceso y procedimientos asociados que deben seguirse ante la
ocurrencia de un incidente.
• Gestionar la respuesta a u incidente y asegurar que todos los procedimientos son
seguidos correctamente en orden de minimizar y controlar el daño.
• Identificar y analizar qué fue lo sucedido durante un incidente, incluyendo el impacto y la
amenaza.
• Proveer un único punto de contacto para reportar incidentes de seguridad.
• Revisar cambios en las regulaciones y requerimientos legales para asegurar que todos
los procedimientos son válidos.
• Revisar la existencia de controles, pasos y tecnologías recomendadas para prevenir
futuros incidentes.

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS
 MÓDULO IV – ETHICAL HACKING

• Establecer relaciones con entes gubernamentales, agencias de seguridad locales,

partners y proveedores.

7. REFERENCIAS Y BIBLIOGRAFÍA

1. [Link]
2. [Link]
3. [Link]
4. [Link]
5. [Link]
6. [Link]

DIPLOMADO DE ETHICAL HACKING Y SEGURIDAD DE LA INFORMACIÓN

UNIDAD DE EDUCACIÓN CONTINUADA
UNIVERSIDAD EL BOSQUE – TODOS LOS DERECHOS RESERVADOS