Escolar Documentos
Profissional Documentos
Cultura Documentos
Diego Lancheros
Abril 2017.
2
Hacking tico
Qu Es El Hacking tico?
estar constantemente adelante de aquellos que nos intentan agredir haciendo pruebas y ataques
propios con la ayuda de los expertos informticos, los cuales han sido entrenados en la
mentalidad delictiva de los piratas informticos as como en las diferentes tcnicas de ataque
digital.
con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema, explica Abraham.
Por esta razn un hacker tico hace pen tests o pruebas de penetracin, buscando
esta manera, pasar un reporte para que se tomen medidas, agrega Abraham.
Sin embargo para que este tipo de intervenciones surta efecto, es necesario que haya conciencia a
diferentes polticas de seguridad que involucren a todos los actores de la empresa, permitiendo as
Cuando se va a atacar un sistema, lo ltimo que se quiere es que salten todas las alarmas. Es por
eso que usar fuentes online es una buena herramienta. Se puede utilizar hacking de buscadores
3
para localizar URLs con paso de parmetros, para comprobar si stos estn correctamente
validados, para buscar correos electrnicos u otra informacin que pueda extraerse de un
determinado sitio: ficheros de backup o de configuracin que hayan quedado indexados, etc.
Vulnerabilidades ms importantes puede presentar un sitio web: En primer lugar nos situamos en
el escenario, tenemos una plataforma montada sobre un sistema operativo, con su motor de base
de datos, lenguajes, normalmente interpretados, certificados, etc. sta es la parte del servidor web
Configuracin dbil, por defecto o mal configurado. Esto suele producirse por intentar desplegar
el servicio lo ms rpido posible o por una confianza excesiva en el software utilizado, incluso
por desconocimiento. Cuando se expone a Internet un sistema con su configuracin por defecto,
Comunicacin insegura entre cliente y servidor. Es muy importante que la comunicacin entre
cliente y servidor est cifrada, sobre todo, cuando se trata de envos de formularios, por ejemplo,
para autentificarse en sitio web. En muchas ocasiones, se configura el sitio web para usar cifrado,
con una configuracin dbil, permitiendo protocolos inseguros, como SSLv2 y SSLv3, o suites
de cifrado vulnerables, como MD5. Esto dar una falsa sensacin de seguridad, el cliente ver
que hay un certificado, que el sitio web, aparentemente est cifrado, y, sin embargo, por culpa de
los protocolos permitidos, podra ser relativamente fcil descifrar esta comunicacin. Es por ello
4
vulnerabidades, se corrigen en versiones posteriores, etc. Es necesario llevar un control de las
desde que se libera una nueva versin. En caso contrario, al cabo de un tiempo, nuestro sistema
ser vulnerable y existirn exploits pblicos que permitirn atacarlo. (hacking-etico.com, 2017)
interesado en el hacking tico suele llevar siempre encima una serie de aplicaciones y
herramientas con las que poder trabajar desde cualquier ordenador. En la red existe un gran
posible optar por distribuciones Linux completas que traen cientos de estas instaladas por defecto
de manera que simplemente con un CD podamos tener a nuestra disposicin todas ellas
(redeszone.net, 2017)
Esta herramienta, de cdigo abierto, es sin duda el analizador de red ms conocido y utilizado por
los usuarios que quieren comprobar de forma remota la seguridad de un sistema informtico.
Entre otras, las principales funciones que nos ofrece esta herramienta son control de puertos
abiertos, horario de uso de servicios de red, control del host y de la actividad en la red del mismo,
(redeszone.net, 2017)
Metasploit
5
Los exploits son pequeas piezas de software diseadas para aprovechar vulnerabilidades en
otras aplicaciones o sistemas operativo. Metasploit es uno de los kits de explotacin ms grandes
de la red. En l podemos encontrar un gran nmero de exploits con los que vamos a poder
analizar la seguridad de cualquier sistema y su robustez frente a este tipo de ataques informticos.
Metasploit no es gratuita ni de cdigo abierto (aunque ofrece una versin gratuita y limitada para
(redeszone.net, 2017)
Angry IP Scanner
Esta herramienta gratuita y de cdigo abierto, tambin conocida como IPScan, es utilizada en el
hacking tico para realizar escneres de red. Su principal caracterstica es su sencillez de uso ya
que, gracias a ello, el proceso de anlisis de direcciones IP y puertos para encontrar posibles
puertas traseras es muy rpido y simple, bastante ms que con otras herramientas similares
(redeszone.net, 2017)
Siguiendo con las contraseas, esta herramienta es una de las ms utilizadas para llevar a cabo
ataques de diccionario y, sobre todo, de fuerza bruta para poder deducir contraseas.
John The Ripper tambin puede ser utilizado para llevar a cabo tareas bastante ms complejas
como buscar posibles grietas en las contraseas analizando los hashes o comparando las
6
Bibliografa
empresas/que-es-el-hacking-etico-y-por-que-es-necesario/
etico.com/2017/04/04/las-principales-vulnerabilidades-web/#more-5489
https://www.redeszone.net/2015/12/05/las-mejores-10-herramientas-para-hacking-etico-
de-este-2015/