Publicado en Revista .Seguridad (http://revista.seguridad.unam.

mx)
Inicio > Hacking tico: mitos y realidades

Hacking tico: mitos y realidades

Por Anaid Guevara Soriano
numero-12 [1]
tica [2]
hacker [3]
hacking [4]
pentest [5]
El llamado "hacking tico" ha despertado innumerables puntos de vista a favor y en contra. La combinacin de
dos palabras tan distantes, parece confundir a muchas personas, pues la palabra "tico" siempre nos refiere a
algo "bueno", mientras que "hacking" indica lo contrario.
En los ltimos aos, y con gran mpetu, el llamado hacking tico ha despertado innumerables puntos de vista
a favor y en contra. La combinacin de dos palabras tan distantes, parece confundir a muchas personas, pues la
palabra tico siempre nos refiere a algo bueno, mientras que hacking indica lo contrario.
Esta problemtica se basa en el desconocimiento de la labor que realizan los expertos en seguridad de la
informacin cuando aplican auditoras planeadas a los sistemas a travs de diversas metodologas, mediante
ellas, evalan los puntos vulnerables a ataques informticos en una organizacin.
Pero, qu es el hacking tico?
El hacking tico es en s una auditora efectuada por profesionales de seguridad de la informacin, quienes
reciben el nombre de pentester. A la actividad que realizan se le conoce como hacking tico o pruebas de
penetracin.
Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin de los primeros ataques
informticos a las organizaciones, los cuales trajeron graves consecuencias, como prdidas monetarias y de
reputacin. Es aqu donde interviene el trabajo de un hacker tico, ya que su labor es buscar vulnerabilidades
en los sistemas de la organizacin para, posteriormente, poder mitigarlos y evitar fugas de informacin sensible.
Durante los ltimos aos, nuevas tcnicas de intrusin que atentan contra la seguridad de la informacin se han
sofisticado, por lo que organizaciones y empresas han implementado al hacking tico, aunque combatir la idea
de que esta actividad es daina, no ha sido tarea fcil.
El hacking tico, tambin es conocido como prueba de intrusin o pentest, se define esencialmente como el
``arte de comprobar la existencia de vulnerabilidades de seguridad en una organizacin, para posteriormente a
travs de un informe, revelar aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar
fugas de informacin y ataques informticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos ayudan a las organizaciones a

reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo de otro, se introdujeron los trminos
crackers y hackers ticos. Los primeros identifican a aqullos que realizan tcnicas de intrusin con fines
maliciosos y lucrativos; mientras que los segundos se refieren a quienes lo hacen con fines ticos y por el bien
de la organizacin que lo solicite.
Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero blanco o White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad de explotar
vulnerabilidades en los sistemas con la finalidad de demostrarse que lo pudieron hacer burlando la seguridad del
mismo. Ejemplo de ello lo tenemos en el caso acontecido en febrero del 2008, cuando la pgina web oficial de
la Presidencia de la Repblica fue afectada por un atacante que se haca llamar H4t3 M3; logr dejar como
recordatorio una imagen de lo ms elocuente gracias a que esa pgina web tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana [6], en dnde el joven
hacker advirti que poda modificar desde la agenda presidencial hasta las noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como hackers ticos, pentesters
y expertos en seguridad; tienen la finalidad de realizar pruebas de intrusin en organizaciones que as lo pidan,
para posteriormente rendirles un informe, en el que se detallan todos aquellos puntos vulnerables encontrados
para que, posteriormente, la empresa los mitigue a la brevedad posible.
A continuacin, se describe dicha clasificacin en la siguiente ilustracin:

Fig. 1 Clasificacin de sujetos que realizan pruebas de intrusin

Fuente: Elaboracin propia

Cuando en 1997, la cultura de la seguridad informtica comenz a tomar fuerza, se pens que los hackers ticos

podan ofrecer sus servicios a las empresas para ayudarlas a ser menos vulnerables, y en 2001 arrancaron en
forma este tipo de asesoras.
Convencer a las compaas de contratar un hacker, por mucho que se llame tico, y conseguir el permiso para
que ingrese y juegue con sus sistemas no ha sido fcil. No puedes llegar y simplemente decir te ofrezco un
hackeo tico, debes explicar muy bien qu es esto y cules son los objetivos, comenta Luis Alberto Corts,
consultor en seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a ser conocidos y buscan sus
servicios. Por otra parte, grandes empresas de seguridad, como Ernest & Young o PriceWaterhouse, han
empezado a ofrecer servicios de hackeo tico, lo cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de honor y contratos
especiales, que se firman entre los hackers ticos y las compaas usuarias, para mayor proteccin de estas
ltimas. En dicho contrato, se conviene que la empresa da permiso para realizar la intrusin, marca un lapso de
duracin, dispone las fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte, donde
se enumeran las vulnerabilidades y fallas encontradas, as como las recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se estipula que toda informacin
encontrada a raz de las pruebas de penetracin, no podr ser divulgada por el hacker a otra entidad que no sea
la compaa que contrat sus servicios, ni tampoco podr quedarse con una copia del reporte final generado para
la empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir con ello, se hara acreedor a
una demanda.
Qu evala un hacker tico?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a las empresas son las
pruebas de penetracin, con la intencin de analizar si la compaa est preparada para soportar un ataque
sofisticado perpetrado desde fuera, es decir por un hacker externo o por un atacante interno con conexin a la
red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto la red interna, como
Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso, adems se hacen pruebas de
contraseas. Al mismo tiempo, se analiza la red inalmbrica, de sta se revisa la configuracin, se hace sniffing
[1] [7] de trfico y contraseas, intentando penetrar y romper el cifrado.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se hace ingeniera social, es
decir se trabaja con el personal o con los asociados de la empresa para ver si se dejaran engaar para
proporcionar contraseas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca emular si un empleado de
bajos privilegios podra tener acceso a los estados financieros o a la nmina de la compaa. Se consideran
adems los valores de los activos, la criticidad de la vulnerabilidad y la probabilidad del ataque, su impacto, la
forma de corregirlo y el esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de negocio del cliente, las pruebas
siguen una metodologa y manejan estndares, como el Manual de la Metodologa Abierta de Comprobacin d
e la Seguridad (OSSTMM, por sus siglas en ingls) o el Proyecto Abierto de Seguridad de Aplicaciones Web
(OWASP).

Segn el Mapa de Seguridad propuesto por el OSSTMM[2] [8], las secciones a las cuales se aplican el hacking
tico son las siguientes:

Fig. 2 Mapa de Seguridad

Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM

A continuacin, se describen brevemente dichas secciones.

a. Seguridad fsica
Alude a las pruebas de seguridad realizadas a un medio fsico y no electrnico en la naturaleza. Comprende el
elemento tangible de la seguridad donde la interaccin requiere un esfuerzo fsico o una transmisin de energa
para que sea manipulado. A considerar:
Revisin del permetro
Revisin de monitoreo
Evaluacin de controles de acceso
Revisin de respuestas de alarmas
Revisin de ubicacin y
Revisin de entorno.
b. Seguridad en las comunicaciones
Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase alude a todas las redes de
telecomunicacin, sean digitales o analgicas, la otra, se refiere a todos los sistemas electrnicos y redes de
datos donde la interaccin se realiza a travs de cables establecidos y cables de lneas de red.
c. Seguridad inalmbrica
Refiere a todas las comunicaciones electrnicas, seales y emanaciones que se producen del conocido espectro

EM Electromagnetic. Esto incluye ELSEC como comunicaciones electrnicas, SIGSEC como seales, y
EMSEC que son emanaciones sin ataduras por los cables. Los mdulos de verificacin requeridos en el hacking
tico para dicho rubro son:
Verificacin de radiacin electromagntica (EMR)
Verificacin de redes inalmbricas 802.11, Verificacin de redes bluetooth
Verificacin de dispositivos de entrada inalmbricos
Verificacin de dispositivos mviles inalmbricos
Verificacin de comunicaciones sin cable
Verificacin de dispositivos de vigilancia inalmbricos
Verificacin de dispositivos de transaccin inalmbricos
Verificacin de RFID y
Verificacin de sistemas Infrarrojos.
d. Seguridad en las tecnologas de Internet
Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, tales pruebas son esencialmente el
"arte" de comprobar una aplicacin en ejecucin remota o local, sin saber el funcionamiento interno de la
aplicacin, para encontrar vulnerabilidades de seguridad[3] [9]. Los mdulos de verificacin requeridos en el
hacking tico para dicho rubro son:
Logstica de Controles,
Sondeo de Red,
Identificacin de los servicios de sistemas,
Bsqueda de informacin competitiva,
Revisin de privacidad,
Obtencin de Documentos,
Bsqueda y verificacin de vulnerabilidades,
Testeo de aplicaciones de internet,
Enrutamiento,
Testeo de sistemas confiados,
Testeo de control de acceso,
Testeo de Sistema de Deteccin de Intruso IDS,
Testeo de Medidas de Contingencia,
Descifrado de contraseas,
Testeo de Negacin de servicios y
Evaluacin de polticas de Seguridad.
e. Seguridad del resguardo de informacin
Aborda los medios empleados para el almacenamiento adecuado de la informacin, va ligado con los controles
empleados para su seguridad.
f. Seguridad de los proceso
Representa un mtodo para lograr acceso privilegiado a una organizacin y sus activos mediante la ayuda
involuntaria del personal de la organizacin, en especial con la ayuda de aquellos que resguardan los puntos de
accesos principales. Esto se hace por medios de comunicacin tales como el telfono, e-mail, chat, tablones de
anuncios, etctera, y se realiza de una manera fraudulenta con la finalidad de obtener una posicin "privilegiada

En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de la ingeniera social, la cual
es una tcnica especializada o emprica del uso de acciones estudiadas o habilidosas que permiten manipular a
las personas para que voluntariamente realicen actos que normalmente no haran[4] [10].
En conclusin, el hacking tico es una tcnica aplicada a distintos escenarios, por lo que es importante hacerlo
del conocimiento de la gente en beneficio de las organizaciones; as la relacin entre deteccin y explotacin de
vulnerabilidades existentes podr controlarse de la mejor manera posible.
Referencias:

Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005). Madrid: Anaya Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico: Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de proteccin (2006).
Mxico: Limusa.
Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995). Mxico D.F: Ventura.
E-WORLD: Arm yourself against black hats, Anonymous. Businessline. Chennai: Jul 12, 2010.
DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating Avoidable
Exposure, Ronald I Raether Jr. Business Law Today. Chicago: Sep/Oct 2008. Tomo 18, No. 1; Pg. 55
Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006. Pg. 8 (1 pgina)
Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today. Medford: Sep 2005. Tomo
22, No. 8; Pg. 1 (2 pginas)
IT takes a thief: Ethical hackers test your defenses Bill Coffin. Risk Management. New York: Jul 2003.
Tomo 50, No. 7; Pg. 10).
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed. John Wiley
& Sons Australia, USA, 2002, 577 pp.

[1] [11] Sniffing: Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto
que en principio es propio de una red interna o Intranet, tambin se puede dar en Internet.
[2] [12] HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de Seguridad. ISECOM
Institute for Security and Open Methodologies.
[3] [13] 6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
[4] [14] MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed. John
Wiley & Sons Australia, USA, 2002, 577 pp.
Anaid Guevara Soriano [15]
numero-12
tica

hacker
hacking
pentest
Universidad Nacional Autnoma de Mxico
Universidad Nacional Autnoma de Mxico
Directorio
Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin
Direccin General de Cmputo y de
Tecnologas de Informacin y Comunicacin
SSI / UNAMCERT
SSI / UNAMCERT
[ CONTACTO ]
Se prohbe la reproduccin total o parcial
de los artculos sin la autorizacin por escrito de los autores

URL del envo: http://revista.seguridad.unam.mx/numero-12/hacking-%C3%A9tico-mitos-y-realidades

Enlaces:
[1] http://revista.seguridad.unam.mx/category/revistas/numero-12-0
[2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/%C3%A9tica
[3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacker
[4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/hacking
[5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/pentest
[6] http://www.hackeruna.com/
[7]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[8]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[9]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[10]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[11]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[12]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[13]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par
[14]
file:///C:/Users/gcruz/Documents/Documents/Documentos%20SSI/Revista%20.Seguridad/REVISTA%20No.%2012/Par

[15] http://revista.seguridad.unam.mx/autores/anaid-guevara-soriano