Conferencia 10: Auditoría y Control. Hacking Ético e Informática Forense.
SUMARIO
1 Introducción a la Auditoría y control.
2 Tipos de auditoría y control. Metodología.
3 Informática Forense.
4 Introducción al Hacking Ético.
5 Tipos de Hacking Ético.
6 Pruebas de Penetración.
7 Fases para el ataque a un sistema.
0 Metodología para obtener información previa al ataque.
1 Acceso al sistema.
2 Mantener el acceso.
3 Borrado de huellas.
OBJETIVOS DE LA CLASE
Al finalizar la actividad el estudiante debe ser capaz de:
1 1. Definir e interpretar conceptos fundamentales relacionados con la
auditoría y control de un Sistema Informático.
2 1. Definir conceptos fundamentales relacionados con el hacking ético.
3 2. Identificar las principales técnicas de hacking ético llevadas a cabo para
conseguir el acceso no autorizado a un sistema o una red.
4 3. Analizar los diferentes pasos que siguen los atacantes para aplicar
técnicas efectivas de pruebas de penetración.
BIBLIOGRAFÍA
1. Hernández,Claudio. Hacker, los piratas del chips y de internet. 2001.
2. Diaz Mongua, Henry Alexander. Hacking Ético: Taxonomía de un Ataque.
3. www.gestiopolis.com/administracion-estrategia/seguridad-informatica-y-
su-control.htm
4. www.protegemostusdatos.com. Auditoría de Seguridad, Evaluación de
Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad
Informática.
5. http://www.stackoverflow.es/soluciones/seguridad/pruebasintrusion
6. http://www.stackoverflow.es/soluciones/seguridad/auditoriaseguridad
INTRODUCCIÓN
Las auditorias de seguridad ocupan un lugar importante en los tópicos de
seguridad, ya que estas contribuyen a mejorar la protección de la información y de
la entidad como tal, se realizan por la necesidad de chequear las fortalezas y
debilidades del sistema de seguridad que se ha planificado e implementado, así
como emplear la evidencia digital como prueba de infracciones y aprender a
pensar cómo actúan los atacantes y piratas informáticos para ser capaces de
recomendar soluciones efectivas para proteger la información.
DESARROLLO
�¿Que es una Auditoría?
Una auditoría de seguridad informática o auditoría de seguridad de sistemas
de información es el estudio que comprende el análisis y gestión de sistemas
para identificar y posteriormente corregir las diversas vulnerabilidades que
pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los
responsables quienes deberán establecer medidas preventivas de refuerzo,
siguiendo siempre un proceso secuencial que permita a los administradores
mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con
anterioridad.
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de
seguridad aplicados a los sistemas de información. Acciones como el constante
cambio en las configuraciones, la instalación de parches, actualización del
software y la adquisición de nuevo hardware hacen necesario que los sistemas
estén continuamente verificados mediante auditoría.
Las auditorías de seguridad Informática permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en cuanto a
protección, control y medidas de seguridad. Abarca los conceptos de seguridad
física y lógica. La seguridad física se refiere a la protección del hardware y los
soportes de datos, así como la seguridad de los edificios e instalaciones que los
albergan. El auditor informático debe contemplar situaciones de incendios,
inundaciones, sabotajes, robos, catástrofes naturales, etc.
Por su parte, la seguridad lógica se refiere a la seguridad en el uso de software, la
protección de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información.
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para
auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologías de la Información), dentro de los objetivos definidos como parámetro,
se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un
código internacional de buenas prácticas de seguridad de la información, este
puede considerarse como una directriz de auditoría apoyándose de otros
estándares de seguridad de la información que definen los requisitos de auditoría
y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
Auditoría Informática
Revisión de los sistemas informáticos, tanto a nivel de redes, sistemas operativos
y servicios como de políticas, normas y procedimientos de seguridad, orientada a
descubrir y solventar posibles errores o debilidades existentes.
Una vez evaluado el nivel de seguridad de las redes o servicios contratados, se
entregará al cliente un informe completo, impreso y en soporte digital, con una
serie de recomendaciones que le permitirán reducir los riesgos en su red, evitando
así posibles robos futuros de información, daños a la imagen corporativa,
utilización de recursos internos con fines lucrativos o maliciosos, etc.
�La metodología para una auditoría de sistemas de información establece su
ejecución por fases:
1 Fase 1. Enumeración de redes, topologías y protocolos: Se realiza un
análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y
localizar las máquinas que se van a auditar. También se realiza un escaneo de
puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así
como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos
abiertos que permitirán utilizar servicios que logren atravesar los cortafuegos y
acceder a la red interna.
Resultados:
Nombres de Dominio.
Nombres de Servidores.
Direcciones IP.
Mapa de Red.
Información administrativa del Proveedor de Servicios.
Propietarios y administradores de las máquinas.
Posibles limitaciones en las pruebas de la Auditoría.
Puertos abiertos, cerrados y filtrados.
Direcciones IP de sistemas activos.
Lista de túneles descubiertos y encapsulación de protocolos.
Lista de protocolos de enrutamiento soportados descubiertos.
Servicios activos.
1
2 Fase 2. Identificación de los sistemas operativos instalados: Se realiza
una prueba activa de la respuesta a determinadas solicitudes de conexión que
puedan identificar el Sistema Operativo remoto utilizado y el nivel de versión.
Resultados:
Tipo de máquina.
Tipo de Sistema Operativo.
Nivel de parches y Service Packs.
1
2 Fase 3. Análisis de servicios y aplicaciones: Se examinan de forma
activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos
casos, una misma aplicación puede abrir distintos puertos para servicios
diferentes.
Resultados:
Tipos de Servicio Activo.
Tipos de Aplicación y nivel de versión.
Mapa de Red.
1
2 Fase 4. Detección, comprobación y evaluación de vulnerabilidades: Se
realizará la búsqueda y análisis básico de las vulnerabilidades de los distintos
sistemas, usando herramientas automáticas y procedimientos manuales para
determinar agujeros de seguridad en aplicaciones y en versiones de parches.
Resultados:
Lista de vulnerabilidades del sistema
Tipos de aplicación o servicio por vulnerabilidad
�Descripción de cada vulnerabilidad y forma de explotarla
Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen
la vulnerabilidad
1
2 Fase 5. Medidas específicas de corrección: Se realizaran medidas
específicas para cada vulnerabilidad detectada durante la auditoría.
3
4 Fase 6. Recomendaciones sobre implantación de medidas
preventivas: Se realizará una recomendación sobre implantación de medidas
preventivas, partiendo de las vulnerabilidades detectadas, para evitar que un
atacante explote dichas deficiencias en el sistema.
Tipos de Auditoría
Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de
seguridad y privacidad de las redes locales y corporativas de carácter interno.
Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la
red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece
en las entradas exteriores.
Test de intrusión. El test de intrusión es un método de auditoría mediante el cual
se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la
intrusión no deseada. Es un complemento fundamental para la auditoría
perimetral.
Análisis forense. El análisis forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se
ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los
daños han provocado la inoperatividad del sistema, el análisis se denomina
análisis post mortem.
Auditoría de páginas Web. Entendida como el análisis externo de la web,
comprobando vulnerabilidades como la inyección de código sql, Verificación de
existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones
páginas Web como de cualquier tipo de aplicación, independientemente del
lenguaje empleado.
Auditoría de redes. Mecanismos mediante los cuales se pone a prueba una red
informática, evaluando su desempeño y seguridad, a fin de lograr una utilización
más eficiente y segura de la información.
Generalmente se han establecido divisiones en la Auditoría Informática:
Explotación u Operación, Desarrollo de Proyectos, de Sistemas, de
Comunicaciones y Redes y de Seguridad.
Auditoría Informática de Producción o Explotación: Se ocupa de revisar todo
lo relacionado con los resultados informáticos, listados impresos, ficheros
soportados magnéticamente, ordenes automatizadas para lanzar o modificar
procesos, etc.
Auditoría Informática de Desarrollo de Proyectos: Abarca áreas como, pre
requisitos del usuario y del entorno, análisis funcional, diseño, análisis orgánico
(pre programación y programación), pruebas entrega a explotación o producción y
alta para el proceso. Estas fases deben estar sometidas a un exigente control
�interno, ya que en caso contrario, los costos pueden excederse, puede producirse
la insatisfacción del usuario.
Auditoría Informática de Sistemas: Se ocupa de analizar y revisar los controles
y efectividad de las técnicas de sistemas en todas sus facetas y se enfoca
principalmente en el entorno general de sistemas, el cual incluye sistemas
operativos, software básicos, aplicaciones, administración de base de datos, etc.
Auditoría Informática de Comunicaciones y Redes: Se enfoca en las redes,
líneas, concentradores, multiplexores, etc. Para este tipo de auditoría se requiere
un equipo de especialistas y expertos en comunicaciones y redes. Debe inquirir
sobre los índices de utilización de las líneas contratadas, solicitar información
sobre tiempos de desuso. Es necesario obtener información sobre la cantidad de
líneas existentes, cómo son y donde están instaladas, sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones
organizativas, pues la contratación e instalación de líneas va asociada a la
instalación de los puestos de trabajo correspondientes (pantallas, servidores de
redes locales, computadoras, impresoras, etc.).
Informática Forense
Existen múltiples definiciones hasta la fecha sobre el tema forense en informática.
Una primera revisión nos sugiere diferentes términos para aproximarnos a este
tema, dentro de los cuales se tienen: computación forense, forensia digital (digital
forensics), forensia en redes (network forensics), entre otros. Este conjunto de
términos puede generar confusión en los diferentes ambientes o escenarios donde
se utilice, pues cada uno de ellos trata de manera particular o general temas que
son de interés para las ciencias forenses aplicadas en medios informáticos.
Informática Forense:
Disciplina de las ciencias forenses, que considerando las tareas propias asociadas
con la evidencia, procura descubrir e interpretar la información en los medios
informáticos para establecer los hechos y formular las hipótesis relacionadas con
el caso.
Como la disciplina científica y especializada que entendiendo los elementos
propios de las tecnologías de los equipos de computación ofrece un análisis de la
información residente en dichos equipos.
Forensia de Redes:
Estamos en un escenario aún más complejo, pues es necesario comprender la
manera como los protocolos, configuraciones e infraestructuras de
comunicaciones se conjugan para dar como resultado un momento específico en
el tiempo y un comportamiento particular. Esta conjunción de palabras establece
un profesional que entendiendo las operaciones de las redes de computadores, es
capaz, siguiendo los protocolos y formación criminalística, de establecer los
rastros, los movimientos y acciones que un intruso ha desarrollado para concluir
su acción.
Forensia Digital.
forma de aplicar los conceptos, estrategias y procedimientos de la criminalística
tradicional a los medios informáticos especializados, con el fin de apoyar a la
administración de justicia en su lucha contra los posibles delincuentes o como una
disciplina especializada que procura el esclarecimiento de los hechos (¿quién?,
�¿cómo?, ¿dónde?, ¿cuándo?, ¿porqué?) de eventos que podrían catalogarse
como incidentes, fraudes o usos indebidos bien sea en el contexto de la justicia
especializada o como apoyo a las acciones internas de las organizaciones en el
contexto de la administración de la inseguridad informática.
Como hemos visto, las definiciones abordan aspectos generales y específicos que
convergen en todos los casos hacia la identificación, preservación, extracción,
análisis, interpretación, documentación y presentación de evidencia digital para
detallar, validar y sustentar las hipótesis que sobre un evento se hayan formulado.
La informática forense tiene 3 objetivos:
La compensación de los daños causados por los criminales o intrusos.
La persecución y procesamiento judicial de los criminales.
La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la
recolección de evidencia.
Usos de la Informática Forense:
Existen varios usos de la informática forense, muchos de estos usos provienen de
la vida diaria, y no tienen que estar directamente relacionados con la informática
forense:
Prosecución Criminal: evidencia incriminatoria puede ser usada para procesar
una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta
de drogas, evasión de impuestos o pornografía infantil.
Litigación Civil: casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
Investigación de Seguros: la evidencia encontrada en computadores, puede
ayudar a las compañías de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
Temas corporativos: puede ser recolectada información en casos que tratan
sobre acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.
Mantenimiento de la ley: la informática forense puede ser usada en la búsqueda
inicial de órdenes judiciales, así como en la búsqueda de información una vez se
tiene la orden judicial para hacer la búsqueda exhaustiva.
Hacking Ético
Hacking Ético:
Técnica que permite detectar las vulnerabilidades de un sistema informático para
así mejorar sus medidas de defensa.
Una disciplina de la seguridad de redes que se sustenta en el hecho de que para
estar protegido se debe conocer cómo operan y qué herramientas usan los
hackers. Mediante en hacking ético se realizan las Auditorías
Hacker:
Persona con amplios conocimientos en tecnología, bien puede ser informática,
electrónica o comunicaciones, se mantiene permanentemente actualizado y
conoce a fondo todo lo relacionado con programación y sistemas complejos; es un
investigador nato que se inclina ante todo por conocer lo relacionado con cadenas
de datos encriptados y las posibilidades de acceder a cualquier tipo de
"información segura".
�Cracker:
Al igual que el hacker, el cracker es también un apasionado del mundo
informático. La principal diferencia consiste en que la finalidad del cracker es
dañar sistemas y ordenadores. Tal como su propio nombre indica, el significado de
cracker en inglés es "rompedor", su objetivo es el de romper y producir el mayor
daño posible.
Hacker Ético:
Un hacker ético es una persona a la que se contrata para simular los posibles
ataques que se podrían llevar a cabo contra la red o los sistemas de una
organización. Para llevar esto a cabo el hacker ético debe realizar toda clase de
test de penetración, estudios para la obtención de información del objetivo,
simulacros de ataques tanto externos como internos. En suma, debe pensar y
actuar como lo haría un posible asaltante. Se forman constantemente para
aprender nuevas técnicas de ataques, vulnerabilidades.
Modos o tipos de Hacking Ético
Redes remotas: Simulación de un ataque desde Internet. Deben vencer
cortafuegos, filtros de Reuters y servidores web.
Redes locales: Simula el acceso que posee un trabajador o una persona
autorizada con conexión legal a la red de la empresa. Las principales defensas
que debe vencer son cortafuegos de intranet, servidores web internos, servidores
de medidas de seguridad y sistemas de gestión de correo electrónico.
Ingeniería social: El objetivo de esta prueba es probar la confianza de los
empleados, respecto a si filtrarían información a alguien.
Seguridad física: Aquí no interviene tanto la informática, se trata de una intrusión
física en el edificio objetivo de la empresa. Los objetivos ya son claramente
documentos (equipos, cintas de backup, etc).
Pruebas de Penetración o Test de Intrusión.
Una de las formas de aplicar el Hacking Ético es a través de las Pruebas de
Penetración, las cuales detectan la presencia de puntos débiles o brechas que
pueden ser aprovechadas por cualquier ente externo ó interno con intenciones
desconocidas. Los servicios de Pruebas de Penetración están diseñados para
detectar vulnerabilidades y brechas de seguridad que puedan ser utilizadas por
personas malintencionadas para atacar y penetrar en la red interna de su
empresa: base de datos, documentos confidenciales, finanzas, correo electrónico.
Los hackers éticos mediante una serie sistemática de pruebas, utilizando las
herramientas más modernas y las técnicas de ataque más sofisticadas para
detectar las debilidades de seguridad de su red, atacan y penetran la institución
auditada para poder entonces emitir sus recomendaciones de cómo evitarlos,
minimizando así las posibilidades de que un desconocido o un empleado las
aproveche.
Posibles aspectos a revisar en un test de intrusión:
0 Sondeo de la Red: Punto de partida de cualquier Test de Intrusión. Análisis
de la red del cliente con el objetivo de obtener un mapa detallado de la misma.
1 Escáner de puertos, identificación de servicios y sistemas operativos:
Análisis de las posibles vías de entrada a las máquinas contratadas identificando
las características y servicios de las mismas. Se realiza un escaneo automático y
manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente.
�0 Test automático de vulnerabilidades: Utilizando tanto herramientas
propias como externas se determinan los deficiencias de seguridad que existen en
los sistemas analizados.
1 Password cracking: Se intentan obtener cuentas de usuarios (login y
password) del sistema analizado a través de herramientas automáticas utilizadas
por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza
bruta, diccionarios de passwords, etc.
2 Document Grinding: Recopilación de la mayor cantidad de información
susceptible de ser utilizada para romper cualquiera de las protecciones de las que
pudiera disponer la empresa. Utilizando toda la información que se encuentre
accesible desde Internet: web corporativa y de los empleados, grupos de noticias,
bases de datos de búsqueda de trabajo, etc.
3 Test de antivirus: Comprueba la existencia de antivirus y el nivel de
defensa que ofrecen. Es de vital importancia el disponer de la protección de un
antivirus y que éste se encuentre operativo.
4 Test de los sistemas de confianza: El objetivo es encontrar
vulnerabilidades en los sistemas analizando las relaciones de confianza o
dependencias que existen entre ellos.
5 Test de las medidas de contención: Comprueba la existencia de
herramientas de contención y el nivel de defensa que ofrecen frente a la llegada
de código malicioso (troyanos, ActiveX o applets dañinos, etc.).
6 Revisión de la política de privacidad: Se comprueba la existencia de una
política que cumpla las leyes vigentes sobre privacidad de la información. Listado
de inconsistencias entre lo especificado en la política de privacidad y la práctica
actual de ésta.
7 Test y verificación manual de vulnerabilidades: Detección de
vulnerabilidades no catalogadas por las herramientas utilizadas en el Test
Automático.
8 Test del sistema de detección de intrusos (IDS): Análisis de los IDS con
la finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis
de los logs del IDS.
9 Test no Privilegiado de Aplicación: El objetivo es analizar problemas en
las aplicaciones web y cookies que pudieran poner al descubierto la seguridad del
sistema. El resultado es un listado conteniendo vulnerabilidades y su nivel de
importancia.
Nota importante
El trabajo realizado por el hacker ético debe ser entregado al técnico de seguridad
de la empresa. El informe no solo deberá incluir los defectos que posee la red,
sino que además propondrá consejos y soluciones. Las técnicas empleadas no
deben ser nunca reveladas.
Los hackers éticos se deben hacer responsables de los documentos y análisis
realizados. Es una gran responsabilidad de suma importancia.
A continuación se muestran los principales fases que tienen en cuenta los hackers
o crakers para realizar un ataque, este no es un ejemplo de hacking ético, pues se
realiza sin el consentimiento de la victima, pero se menciona para tener
conocimiento de las principales fases que llevan a cabo.
�Fases en el ataque a un sistema.
Reconocimiento.
No existe metodología definida para la realización de un ataque, ya sea a un
sistema informático, una red, al hardware o algún proceso o procedimiento
establecido por hackers y crackers; los aspectos que siempre están presentes en
todo ataque son los que se describen a continuación.
Primera fase del ataque o hacking, en el cual se define el objetivo a atacar. Esta
fase se divide en dos: Reconocimiento Pasivo el cual se recolecta información del
objetivo sin que este conozca o se de cuenta, por ejemplo mirar la entrada y salida
de los empleados al edificio, también se realiza la búsqueda por google, para
obtener la mayor recopilación de información posible. La ingeniería social y el
sniffing también son métodos de reconocimiento pasivo. El Reconocimiento Activo
es la exploración de la red, equipos y servicios, también indica al hacker las
medidas de seguridad implementadas, pero el proceso aumenta la posibilidad de
ser capturado o elevar la sospecha.
Una técnica utilizada en esta fase es el Footprinting: que significa construir el
mapa de red y sistemas del objetivo a atacar, por medio de los datos adquiridos
del ambiente y arquitectura, también identifica vulnerabilidades, servicios,
identifica medios por donde se podría ingresar para atacar el objetivo. Algunas
técnicas para realizar footprinting es mediante el empleo de herramientas
automatizadas, tales como: whois, traceroute, e-mail tracking, nslookup, sam
spade, web spiders a la IP o Dominio del objetivo.
Escaneo.
Esta es una fase previa del ataque, en la cual se escanea la red pero ya con la
información de la fase previa. Se trata de detectar todas las vulnerabilidades y
puntos de entrada.
Los tipos de exploración o Scanning se dividen como lo muestra la siguiente
tabla:
Tipos de Scanning Propósito
Scan de Puertos TCP/UDP y Servicios
Scan de Red Rangos IP
Scan de Aplicaciones y Sistema
vulnerabilidades Operativo
Tabla 1. Tipos de exploración o scanning.
Las técnicas de scanning de red referidas más utilizadas son las siguientes: Ping
sweep, SYN, Stealh, Xmas, NULL, Idle, FIN, war dialing, Banner grabbing, finger
printing, anonymizer, HTTP tunneling e IP spoofing. Estas técnicas se realizan con
herramientas como: NMAP, IPeye y SocksChain y van dirigidas a detectar todos
los puertos abiertos, hosts accesibles, localización de ruters.
Se tata de identificar las cuentas de usuarios administrativos y normales del
sistema para luego obtener escalada de privilegios en caso de tomar un usuario
normal, existe una herramienta muy útil llamada DumpSec, que permite la
enumeración de usuarios, grupos, permisos, también la herramienta Hyena logra
esta enumeración muy rápido en un entorno de dominio o grupo de trabajo.
En general en esta fase previa del ataque se pretende detectar todas las posibles
vulnerabilidades y puntos de entrada que pueden ser aprovechados por el
�atacante, entre las herramientas utilizadas se puede citar el Nessus y el Microsoft
Baselien Analizer.
Obtener Acceso al Sistema.
Esta fase se inicia con las técnicas de crackeo de passwords o contraseñas, las
cuales se pueden realizar online, es decir realizando los test en vivo con
herramientas especiales.
Una vez obtenido un usuario válido en el sistema, el cual puede tener permisos
mínimos, por esta razón se debe realizar una escalación de privilegios que
simplemente es añadir más permisos o derechos a la cuenta de usuario que se
tiene, la idea es volverlo administrador del sistema para instalar y ejecutar
aplicaciones.
Es esta fase de acceso es complicada, ya que se tiene que evadir los Firewalls,
realizar evasión de IDS/IPS y los Honeypots. Para realizar la penetración, se
utilizan varias herramientas tales como: 007 Shell, ICMP Shell, AckCmd, y
framework.
Para esta fase se pueden utilizar numerosas herramientas o técnicas, a
continuación se mencionan algunas; spyware, ataques Spoofing, ARP Spoofing,
DNS Spoofing, WEB Spoofing y Mail Spoofing, entre otras.
Mantenimiento del Acceso.
Ya teniendo control del sistema atacado por el hacker proceden a instalar
troyanos o backdoor para permitir el acceso por puertas traseras, contagiar el
sistema con código malicioso o virus, y esto se hace con los Wrapping, que son
programas para construir un troyano y con la envoltura de un archivo legitimo, es
decir lo esconden tras una instalador de una aplicación dada. También con virus y
gusanos de red se puede crear entradas fijas al sistema (abriendo puertos) y tener
monitoreo del sistema comprometido.
Mediante los Rootkits, que es utilizado por un programa para ocultar los servicios
publicados en un sistema comprometido, los cuales pueden incluir llamadas a
puertas traseras, esconder aplicaciones que abren puertos específicos para el
hacker para garantizar el control absoluto del sistema.
Borrado de huellas.
Como todo un buen hacker después de realizar el ataque, debe borrar los rastros
del crimen realizado, para evitar ser culpado y que nadie descifre las técnicas
utilizadas para perpetuar el ataque al sistema, por tal motivo los pasos que
realizan son los siguientes:
0 Deshabilitar la Auditoria del sistema en caso que este activa.
1 Realizar el borrado de todos los logs posibles en el sistema y aplicaciones
comprometidas.
0 Borrar la evidencia o pistas de las herramientas utilizadas, o posibles
programas instalados, según el ataque realizado para que no puedan rastrearlo ni
dejar ninguna pista, se puede usar la esteganografia para ocultar los archivos
usados.
CONCLUSIONES
En el presente documento se hace alusión a los temas de Hacking Ético e
Informática Forense, como métodos de Auditoría y Control.
�Con el empleo de estas técnicas podemos detectar las vulnerabilidades de nuestro
sistema informático y así mejorar sus medidas de defensa, además nos permiten
obtener la identificación, preservación, extracción, análisis, interpretación,
documentación y presentación de evidencia digital para detallar, validar y
sustentar las hipótesis que sobre un evento se hayan formulado.
Cada día se hace más difícil recuperar los datos perdidos tanto en un ordenador
personal como a nivel de organizaciones y no es menos cierto que a medida que
avanza la seguridad, pues más sofisticados son las formas de atacar.
La informática Forense consta de muchas aristas y de una vida muy dilatada,
todavía le queda un largo camino por recorrer y con ello el avance en los
procedimientos, mecanismos y herramientas necesarias para la sutil información
que se maneja a nivel mundial diariamente.
Con sus objetivos usos podemos tener la seguridad de que en un futuro, la mayor
parte de la información digital que sufra daño será recobrada o reparada.
Es evidente que el tema de los test de penetración es algo para profundizar en
cada empresa. Las técnicas, herramientas y metodologías utilizadas dependen de
la naturaleza del especialista que realice esta tarea dentro de nuestra empresa.
Existen hoy en día un número considerables de empresas que se dedican
enteramente a brindar servicios especializados de Auditoria y Test de penetración
lo cual ayuda a otras empresas a fijar sus estrategias de trabajo y dejar a estos tan
difícil labor.
