Hacking tico: mitos y realidades

En los ltimos aos, y con gran mpetu, el llamado hacking tico ha despertado
innumerables puntos de vista a favor y en contra. La combinacin de dos palabras tan
distantes, parece confundir a muchas personas, pues la palabra tico siempre nos
refiere a algo bueno, mientras que hacking indica lo contrario.
Esta problemtica se basa en el desconocimiento de la labor que realizan los expertos
en seguridad de la informacin cuando aplican auditoras planeadas a los sistemas a
travs de diversas metodologas, mediante ellas, evalan los puntos vulnerables a
ataques informticos en una organizacin.
Pero, qu es el hacking tico?
El hacking tico es en s una auditora efectuada por profesionales de seguridad de la
informacin, quienes reciben el nombre de pentester. A la actividad que realizan se le
conoce como hacking tico o pruebas de penetracin.
Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin de
los primeros ataques informticos a las organizaciones, los cuales trajeron graves
consecuencias, como prdidas monetarias y de reputacin. Es aqu donde interviene el
trabajo de un hacker tico, ya que su labor es buscar vulnerabilidades en los
sistemas de la organizacin para, posteriormente, poder mitigarlos y evitar fugas de
informacin sensible.
Durante los ltimos aos, nuevas tcnicas de intrusin que atentan contra la seguridad
de la informacin se han sofisticado, por lo que organizaciones y empresas han
implementado al hacking tico, aunque combatir la idea de que esta actividad es
daina, no ha sido tarea fcil.
El hacking tico, tambin es conocido como prueba de intrusin o pentest, se define
esencialmente como el ``arte de comprobar la existencia de vulnerabilidades de
seguridad en una organizacin, para posteriormente a travs de un informe, revelar
aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar
fugas de informacin y ataques informticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos
ayudan a las organizaciones a reforzar su seguridad. Por ello, para tratar de
diferenciar a un grupo de otro, se introdujeron los trminos crackers y hackers ticos.
Los primeros identifican a aqullos que realizan tcnicas de intrusin con fines
maliciosos y lucrativos; mientras que los segundos se refieren a quienes lo hacen con
fines ticos y por el bien de la organizacin que lo solicite.
Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero
blanco o White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad
de explotar vulnerabilidades en los sistemas con la finalidad de demostrarse que lo
pudieron hacer burlando la seguridad del mismo. Ejemplo de ello lo tenemos en el
caso acontecido en febrero del 2008, cuando la pgina web oficial de la Presidencia de
la Repblica fue afectada por un atacante que se haca llamar H4t3 M3; logr dejar

como recordatorio una imagen de lo ms elocuente gracias a que esa pgina web
tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana ,
en dnde el joven hacker advirti que poda modificar desde la agenda presidencial
hasta las noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como
hackers ticos, pentesters y expertos en seguridad; tienen la finalidad de realizar
pruebas de intrusin en organizaciones que as lo pidan, para posteriormente rendirles
un informe, en el que se detallan todos aquellos puntos vulnerables encontrados para
que, posteriormente, la empresa los mitigue a la brevedad posible.
A continuacin, se describe dicha clasificacin en la siguiente ilustracin:

Fig. 1 Clasificacin de sujetos que realizan pruebas de intrusin

Fuente: Elaboracin propia
Cuando en 1997, la cultura de la seguridad informtica comenz a tomar fuerza, se
pens que los hackers ticos podan ofrecer sus servicios a las empresas para
ayudarlas a ser menos vulnerables, y en 2001 arrancaron en forma este tipo de
asesoras.
Convencer a las compaas de contratar un hacker, por mucho que se llame tico, y
conseguir el permiso para que ingrese y juegue con sus sistemas no ha sido fcil. No

puedes llegar y simplemente decir te ofrezco un hackeo tico, debes explicar muy bien
qu es esto y cules son los objetivos, comenta Luis Alberto Corts, consultor en
seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a
ser conocidos y buscan sus servicios. Por otra parte, grandes empresas de seguridad,
como Ernest & Young oPriceWaterhouse, han empezado a ofrecer servicios de hackeo
tico, lo cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de
honor y contratos especiales, que se firman entre los hackers ticos y las compaas
usuarias, para mayor proteccin de estas ltimas. En dicho contrato, se conviene que
la empresa da permiso para realizar la intrusin, marca un lapso de duracin, dispone
las fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte,
donde se enumeran las vulnerabilidades y fallas encontradas, as como las
recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se
estipula que toda informacin encontrada a raz de las pruebas de penetracin, no
podr ser divulgada por el hacker a otra entidad que no sea la compaa que contrat
sus servicios, ni tampoco podr quedarse con una copia del reporte final generado
para la empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir
con ello, se hara acreedor a una demanda.
Qu evala un hacker tico?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a
las empresas son las pruebas de penetracin, con la intencin de analizar si la
compaa est preparada para soportar un ataque sofisticado perpetrado desde fuera,
es decir por un hacker externo o por un atacante interno con conexin a la red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto
la red interna, como Internet, aplicaciones expuestas, servidores, puertos y avenidas
de acceso, adems se hacen pruebas de contraseas. Al mismo tiempo, se analiza
la red inalmbrica, de sta se revisa la configuracin, se hace sniffing [1] de trfico y
contraseas, intentando penetrar y romper el cifrado.
Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se
hace ingeniera social, es decir se trabaja con el personal o con los asociados de la
empresa para ver si se dejaran engaar para proporcionar contraseas o acceso a la
red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca
emular si un empleado de bajos privilegios podra tener acceso a los estados
financieros o a la nmina de la compaa. Se consideran adems los valores de los

activos, la criticidad de la vulnerabilidad y la probabilidad del ataque, su impacto, la

forma de corregirlo y el esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de
negocio del cliente, las pruebas siguen una metodologa y manejan estndares, como
el Manual de la Metodologa Abierta de Comprobacin de la Seguridad (OSSTMM, por
sus

siglas

en

ingls)

el Proyecto

Abierto

de

Seguridad

de

Aplicaciones

Web (OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM[2] , las secciones a las cuales
se aplican el hacking tico son las siguientes:

Fig. 2 Mapa de Seguridad

Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM
2.1 de ISECOM
A continuacin, se describen brevemente dichas secciones.
a. Seguridad fsica
Alude a las pruebas de seguridad realizadas a un medio fsico y no electrnico en la
naturaleza. Comprende el elemento tangible de la seguridad donde la interaccin
requiere un esfuerzo fsico o una transmisin de energa para que sea manipulado. A
considerar:

Revisin del permetro

Revisin de monitoreo

Evaluacin de controles de acceso

Revisin de respuestas de alarmas

Revisin de ubicacin y

Revisin de entorno.

b. Seguridad en las comunicaciones

Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase alude
a todas las redes de telecomunicacin, sean digitales o analgicas, la otra, se refiere a
todos los sistemas electrnicos y redes de datos donde la interaccin se realiza a
travs de cables establecidos y cables de lneas de red.
c. Seguridad inalmbrica
Refiere a todas las comunicaciones electrnicas, seales y emanaciones que se
producen del conocido espectro EM Electromagnetic. Esto incluye ELSEC como
comunicaciones electrnicas, SIGSEC como seales, y EMSEC que son emanaciones
sin ataduras por los cables. Los mdulos de verificacin requeridos en el hacking tico
para dicho rubro son:

Verificacin de radiacin electromagntica (EMR)

Verificacin de redes inalmbricas 802.11, Verificacin de redes bluetooth

Verificacin de dispositivos de entrada inalmbricos

Verificacin de dispositivos mviles inalmbricos

Verificacin de comunicaciones sin cable

Verificacin de dispositivos de vigilancia inalmbricos

Verificacin de dispositivos de transaccin inalmbricos

Verificacin de RFID y

Verificacin de sistemas Infrarrojos.

d. Seguridad en las tecnologas de Internet

Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, tales pruebas
son esencialmente el "arte" de comprobar una aplicacin en ejecucin remota o local,
sin saber el funcionamiento interno de la aplicacin, para encontrar vulnerabilidades
de seguridad[3] . Los mdulos de verificacin requeridos en el hacking tico para dicho
rubro son:

Logstica de Controles,

Sondeo de Red,

Identificacin de los servicios de sistemas,

Bsqueda de informacin competitiva,

Revisin de privacidad,

Obtencin de Documentos,

Bsqueda y verificacin de vulnerabilidades,

Testeo de aplicaciones de internet,

Enrutamiento,

Testeo de sistemas confiados,

Testeo de control de acceso,

Testeo de Sistema de Deteccin de Intruso IDS,

Testeo de Medidas de Contingencia,

Descifrado de contraseas,

Testeo de Negacin de servicios y

Evaluacin de polticas de Seguridad.

e. Seguridad del resguardo de informacin

Aborda los medios empleados para el almacenamiento adecuado de la informacin, va
ligado con los controles empleados para su seguridad.
f. Seguridad de los proceso
Representa un mtodo para lograr acceso privilegiado a una organizacin y sus
activos mediante la ayuda involuntaria del personal de la organizacin, en especial con
la ayuda de aquellos que resguardan los puntos de accesos principales. Esto se hace
por medios de comunicacin tales como el telfono, e-mail, chat, tablones de
anuncios, etctera, y se realiza de una manera fraudulenta con la finalidad de obtener
una posicin "privilegiada
En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de la
ingeniera social, la cual es una tcnica especializada o emprica del uso de acciones
estudiadas

habilidosas

que

permiten

manipular

las

personas

para

que

voluntariamente realicen actos que normalmente no haran [4] .

En conclusin, el hacking tico es una tcnica aplicada a distintos escenarios, por lo
que es importante hacerlo del conocimiento de la gente en beneficio de las
organizaciones; as la relacin entre deteccin y explotacin de vulnerabilidades
existentes podr controlarse de la mejor manera posible.
Referencias:

Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005).
Madrid: Anaya Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.

Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico:

Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de

proteccin (2006). Mxico: Limusa.

Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995).

Mxico D.F: Ventura.

E-WORLD: Arm yourself against black hats, Anonymous. Businessline.

Chennai: Jul 12, 2010.

DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating
Avoidable Exposure, Ronald I Raether Jr. Business Law Today. Chicago: Sep/Oct

2008. Tomo 18, No. 1; Pg. 55

Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006.

Pg. 8 (1 pgina)
Ethical Hackers: Testing the Security Waters, Phillip Britt. Information Today.

Medford: Sep 2005. Tomo 22, No. 8; Pg. 1 (2 pginas)

IT takes a thief: Ethical hackers test your defenses Bill Coffin. Risk

Management. New York: Jul 2003. Tomo 50, No. 7; Pg. 10).
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of
Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp.

[1] Sniffing: Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula
por una red. Esto que en principio es propio de una red interna o Intranet, tambin se
puede dar en Internet.
[2] HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de
Seguridad. ISECOM Institute for Security and Open Methodologies.
[3] 6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
[4] MITNICK, Kevin, Controlling the Human Element of Security. The Art Of
Deception", Ed. John Wiley & Sons Australia, USA, 2002, 577 pp