Seguridad de Aplicaciones Web y Móviles
Ensayo
HACKING ÉTICO
Docente: M.T.I Juan Antonio Villanueva Flores
Alumnos: Dulce María Romero García, Hugo
Marlonn López Chávez, Pedro Monarrez Madrid,
Zaira Yhael Regalado Damas, Jordan Rafael
Martínez Nevarez, Manuel A. Soto Carrillo
8C Ing. Sistemas Computacionales
SISTEMAS 8 “C”
� “Hacking Ético”
La seguridad es, sin duda uno de los sectores más importantes y activos dentro
del panorama tecnológico. Afortunadamente, empresas y gobiernos se
preocupan cada vez más por la seguridad de sus sistemas o la protección de los
datos de sus usuarios y, en poco tiempo, el sector comienza a demandar cada
vez más profesionales expertos en auditorías de seguridad, hacking, análisis de
vulnerabilidades, mitigación de ataques etc., es por eso que el Hacking ético o
Ethical Hacker consiste en “atacar” de una manera pasiva el entorno de
seguridad que ha cimentado la empresa que ha solicitado este tipo de servicio.
La idea es que un especialista, es decir un hacker (estos son expertos que se
especializan en las pruebas de penetración de sistemas informáticos y de
software con el fin de evaluar, fortalecer y mejorar la seguridad), intente ponerse
en el lugar de los individuos que intentan en algún momento atacar los servidores
y sistemas de esta empresa en cuestión.
El objetivo del hacker ético es en esencia
el mismo que el de un cracker: tratar de
determinar lo que un intruso puede
obtener en una infraestructura o sistema
de información objetivo y que puede
hacer con esa información. Cabe
recalcar que la palabra ética en el mundo del hacking implica una gran
responsabilidad, ya que la persona encargada de realizar la actividad puede
tener acceso a información privilegiada, privada, confidencial, reservada, etc., y
que mal manejada puede acarrear problemas legales y hasta causar un gran
perjuicio en la organización. Por lo tanto, el hacking ético se ocupa de prevenir,
de emular lo que podría ocurrir en el peor de los escenarios y así demostrar qué
es lo que hay que hacer para que finalmente no ocurra.
Dentro de la comunidad de seguridad cibernética, existen diferentes tipos de
hackers, los piratas informáticos se dividen en tres campos:
SISTEMAS 8 “C”
� Los de sombrero negro (Black Hat), son delincuentes que se introducen en
redes informáticas para llevar a cabo algún acto maligno, algunos también
se dedican a robar contraseñas, números de tarjetas de crédito y otras
clases de información confidencial, a tomar sistemas de rehén o a propagar
malware diseñado para borrar archivos. Este tipo de hackers solo piensan
en su propio beneficio: los motiva el dinero, la venganza o un simple afán
destructivo, mientras que otros actúan por cuestiones ideológicas y
concentran sus ataques en personas con las que disienten.
Los de sombrero gris (Grey Hat), estos se ubican entre los hackers de
sombrero blanco y los hackers de sombrero negro, es decir combinan en
cierto modo, las características de ambos bandos. Buscan vulnerabilidades
sin que el propietario del sistema bajo análisis lo haya permitido. Cuando
encuentran un problema, se lo hacen saber al responsable del sistema; a
veces también se ofrecen a corregir el inconveniente por un pequeño pago.
Algunos hackers de sombrero gris creen que introducirse sin permiso en la
red o el sitio web de una empresa le reporta a esta un beneficio, pero lo que
un hacker de sombrero gris más desea es hacer alarde de sus
conocimientos y obtener reconocimiento (o agradecimientos) para verlo
como una contribución a la ciberseguridad.
Los de sombrero blanco (White Hat), a veces llamados “hackers éticos” o
“hackers buenos”, son la antítesis de los de sombrero negro, es decir
apuntan a mejorar la seguridad, encontrar agujeros en ella y notificar a la
víctima para que tenga la oportunidad de arreglarlos antes de que un hacker
menos escrupuloso los explote. Cuando se introducen en un sistema o en
una red informática, lo hacen meramente para identificar sus puntos
vulnerables y poder recomendar modos de subsanar esas falencias. Los
hackers de sombrero blanco usan sus conocimientos para detectar
SISTEMAS 8 “C”
� problemas de seguridad y ayudar a las organizaciones a resguardarse de
los hackers peligrosos.
Un hacker ético se guía por un modelo de referencia definido para llevar a cabo
las actividades dentro de las pruebas de penetración o pen testing como se
muestra en la siguiente imagen.
La mayoría de las organizaciones cree que el acto de autorizar a un hacker ético
para probar las defensas de una compañía es suficiente protección legal para
justificar ambos tipos de acciones.
Como en todo tema de interés sabemos que existen algunas ventajas y
desventajas del hacking ético, como ventajas tenemos:
SISTEMAS 8 “C”
� Ayuda a luchar contra el terrorismo cibernético y a luchar contra las
violaciones de la seguridad nacional.
Ayuda a tomar medidas preventivas contra los piratas informáticos.
Ayuda a construir un sistema que evita cualquier tipo de penetración por
parte de piratas informáticos.
Ofrece seguridad a los establecimientos bancarios y financieros.
Ayuda a identificar y cerrar los agujeros abiertos en un sistema
informático o una red.
Y las desventajas son:
Puede dañar los archivos o datos de una organización.
Pueden utilizar la información obtenida con fines malintencionados.
La contratación de estos aumentará los costos para la empresa.
Esta técnica puede dañar la privacidad de alguien.
Este sistema es ilegal.
Como ya se mencionó anteriormente el papel del profesional en hacking ético es
ayudar a las empresas y a las personas a encontrar huecos en la ciberseguridad
de sus páginas o plataformas, es por eso que se considera muy importante,
debido a que ayuda a Proteger software y redes, esto a través del pen testing
o testeo de penetración, para prevenir ciberataques reforzando toda la estructura
interna de los sistemas y los
servidores con los que cuenta las
empresa en cuestión antes de que
alguien pueda penetrar en el
sistema y poner en riesgo a una
organización, luego de la
detección, por supuesto, deben
brindar soluciones y ponerlas en
marcha si la organización que los
contrató da luz verde.
También ayuda a Cumplir con normativas, ya que generalmente, las entidades
financieras y las empresas que fabrican y producen nuevos artículos, como
SISTEMAS 8 “C”
�softwares, plataformas o aplicaciones, están obligadas a cumplir con
regulaciones para probar sus productos. Por ello, es importante contar con el
servicio de un hacker ético para testear y poder ofrecer seguridad a todos los
clientes o personas que brindarán algún tipo de información confidencial para
realizar una transacción con la empresa en cuestión. De esta forma, no van a
poner en riesgo los datos y van a poder otorgar un servicio de calidad a sus
clientes.
Además, el estar al día con los nuevos sistemas de penetración, debido a
que la tecnología no se detiene y, por supuesto, los modos de penetrar en los
sistemas de ciberseguridad tampoco. Los hackers malintencionados todo el
tiempo están actualizando y mejorando sus estrategias para infiltrarse en las
diferentes plataformas y concretar sus amenazas, por lo que los sistemas deben
ser continuamente probados.
Existen algunas maneras de protegerte de los hackers:
Usa contraseñas complejas y no las repitas
No hagas clic en vínculos de un correo no solicitado
Utiliza sitios web que sean seguros
Habilita la autenticación de dos factores
Ten cuidado cuando uses una red Wi-Fi pública
Deshabilita la función de autor rellenar
Piensa al escoger tus apps
Hallar o borrar
Elimina o restringe los permisos asignados a las apps de terceros
Instala una solución de seguridad confiable en todos tus dispositivos
SISTEMAS 8 “C”
�Conclusiones.
El hacking ético es una excelente estrategia comercial para prevenir y proteger
a cualquier empresa o negocio de ciberataques, sobre todo, en un tiempo en que
los ciberdelitos siguen en constante aumento. Las pruebas de penetración son
ideales para optimizar la seguridad de cualquier tipo de estructura informática,
para evitar el hackeo ilegal desde una fase temprana y así no haya riesgos o
fallas en los sistemas que afecten la productividad y los objetivos de una
organización.
A través del hacking ético, las pequeñas y medianas empresas pueden tener
acceso a conocimientos técnicos de ciberseguridad que no estarían a su
disposición de otra manera, lo único que se debe tener en cuenta es que el
hacking ético también involucra riesgos, aun cumpliendo con todos los requisitos
de la piratería limpia, puede haber algunos efectos negativos, como el colapso
de los sistemas, asimismo se debe tener en cuenta que estos especialistas de
sombrero blanco van a poder acceder a datos confidenciales personales y de
terceras personas, así que debes definir perfectamente las condiciones básicas
y generales para que se lleve a cabo un trabajo limpio y cien por ciento legal.
SISTEMAS 8 “C”
