Universidad de la Repblica Mexicana

Auditora Informtica

Martnez Camacho Yair Arturo

214300072

Ing. Hctor Zacaras Jimnez

08 de febrero de 2017

Ciclo Escolar: 17-2

Contenido
Hacking tico: mitos y realidades.............................................................................. 3
Qu evala un hacker tico?.................................................................................. 4
Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM............................5
A. Seguridad fsica.............................................................................................. 5
B. Seguridad en las comunicaciones......................................................................5
C. Seguridad inalmbrica..................................................................................... 5
D. Seguridad en las tecnologas de Internet............................................................6
E. Seguridad del resguardo de informacin.............................................................6
F. Seguridad de los procesos................................................................................ 6
Conclusin:........................................................................................................... 8
Bibliografa:........................................................................................................... 8

2
 Hacking tico: mitos y realidades
El hacking tico es en s una auditora efectuada por profesionales de seguridad
de la informacin, quienes reciben el nombre de pentester. A la actividad que
realizan se le conoce como hacking tico o pruebas de penetracin.

Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin

de los primeros ataques informticos a las organizaciones, los cuales trajeron
graves consecuencias, como prdidas monetarias y de reputacin. Es aqu donde
interviene el trabajo de un hacker tico, ya que su labor es buscar
vulnerabilidades en los sistemas de la organizacin para, posteriormente, poder
mitigarlos y evitar fugas de informacin sensible.

El hacking tico, tambin es conocido como prueba de intrusin o pentest, se

define esencialmente como el ``arte de comprobar la existencia de
vulnerabilidades de seguridad en una organizacin, para posteriormente a travs
de un informe, revelar aquellos fallos de seguridad encontrados, mitigarlos a la
brevedad posible y evitar fugas de informacin y ataques informticos.

No todos los hackers son delincuentes cibernticos, algunos ayudan a las

organizaciones a reforzar su seguridad. Por ello, para tratar de diferenciar a un
grupo de otro, se introdujeron los trminos crackers y hackers ticos. Los primeros
identifican a aqullos que realizan tcnicas de intrusin con fines maliciosos y
lucrativos; mientras que los segundos se refieren a quienes lo hacen con fines
ticos y por el bien de la organizacin que lo solicite.

Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la
cualidad de explotar vulnerabilidades en los sistemas con la finalidad de
demostrarse que lo pudieron hacer burlando la seguridad del mismo.

los hackers de sombrero blanco o White Hat, tambin conocidos como hackers
ticos, pentesters y expertos en seguridad; tienen la finalidad de realizar pruebas
de intrusin en organizaciones que as lo pidan, detallan todos aquellos puntos
vulnerables encontrados para que, posteriormente, la empresa los mitigue a la
brevedad posible.

3
Qu evala un hacker tico?
Los servicios que ofrecen los hackers blancos a las empresas son las pruebas de
penetracin, con la intencin de analizar si la compaa est preparada para
soportar un ataque sofisticado perpetrado desde fuera.

Durante las pruebas de penetracin, se analizan tanto la red interna, como

Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso,
adems se hacen pruebas de contraseas. Al mismo tiempo, se analiza la red
inalmbrica, de sta se revisa la configuracin, se hace sniffing de trfico y
contraseas, intentando penetrar y romper el cifrado.

Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso
se hace ingeniera social, es decir se trabaja con el personal de la empresa para
ver si se dejaran engaar para proporcionar contraseas o acceso a la red.

Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de

negocio del cliente, las pruebas siguen una metodologa y manejan estndares,
como el Manual de la Metodologa Abierta de Comprobacin de la Seguridad
(OSSTMM, por sus siglas en ingls) o el Proyecto Abierto de Seguridad de
Aplicaciones Web (OWASP).

4
Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM
A. Seguridad fsica
Pruebas de seguridad realizadas a un medio fsico y no electrnico en la
naturaleza. Comprende el elemento tangible de la seguridad donde la interaccin
requiere un esfuerzo fsico o una transmisin de energa para que sea
manipulado. A considerar:

Revisin del permetro

Revisin de monitoreo
Evaluacin de controles de acceso
Revisin de respuestas de alarmas
Revisin de ubicacin y
Revisin de entorno.

B. Seguridad en las comunicaciones

Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase
son todas las redes de telecomunicacin, la otra, se refiere a todos los sistemas
electrnicos y redes de datos donde la interaccin se realiza a travs de cables.

C. Seguridad inalmbrica
Refiere a todas las comunicaciones electrnicas, seales y emanaciones que se
producen del conocido espectro EM Electromagnetic. Los mdulos de
verificacin requeridos en el hacking tico para dicho rubro son:

Verificacin de radiacin electromagntica (EMR)

Verificacin de redes inalmbricas 802.11, Verificacin de redes bluetooth
Verificacin de dispositivos de entrada inalmbricos
Verificacin de dispositivos mviles inalmbricos
Verificacin de comunicaciones sin cable
Verificacin de dispositivos de vigilancia inalmbricos
Verificacin de dispositivos de transaccin inalmbricos
Verificacin de RFID y
Verificacin de sistemas Infrarrojos.

D. Seguridad en las tecnologas de Internet

Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, para
encontrar vulnerabilidades de seguridad. Los mdulos de verificacin requeridos
en el hacking tico para dicho rubro son:

5
 Logstica de Controles,
Sondeo de Red,
Identificacin de los servicios de sistemas,
Bsqueda de informacin competitiva,
Revisin de privacidad,
Obtencin de Documentos,
Bsqueda y verificacin de vulnerabilidades,
Testeo de aplicaciones de internet,
Enrutamiento,
Testeo de sistemas confiados,
Testeo de control de acceso,
Testeo de Sistema de Deteccin de Intruso IDS,
Testeo de Medidas de Contingencia,
Descifrado de contraseas,
Testeo de Negacin de servicios y
Evaluacin de polticas de Seguridad.

E. Seguridad del resguardo de informacin

Aborda los medios empleados para el almacenamiento adecuado de la
informacin, va ligado con los controles empleados para su seguridad.

F. Seguridad de los procesos

Representa un mtodo para lograr acceso privilegiado a una organizacin y sus
activos mediante la ayuda involuntaria del personal de la organizacin, en especial
con la ayuda de aquellos que resguardan los puntos de accesos principales. Esto
se hace por medios de comunicacin tales como el telfono, e-mail, chat, tablones
de anuncios, etctera, y se realiza de una manera fraudulenta con la finalidad de
obtener una posicin "privilegiada.

En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de
la ingeniera social, la cual es una tcnica especializada del uso de acciones
estudiadas o habilidosas que permiten manipular a las personas para que
voluntariamente realicen actos que normalmente no haran.

6
Conclusin:
Todos cuando escuchamos la palabra hacker pensamos que se refiere a una
persona que quieres hacer el mal, pero es todo lo contrario, ya que leyendo este
tipo de artculos podemos darnos cuenta que esas personas que les hacen mala
fama por saber cmo vulnerar un sistema las creen peligrosas, pero lo que
realmente hacen es tratar de corregir esas vulnerabilidades para ser ms segura
su informacin de una empresa, persona, etc.

7
Bibliografa:
http://revista.seguridad.unam.mx/numero-12/hacking-%C3%A9tico-mitos-y-
realidades

Tipo de informacin: Texto

Fecha de consulta: 08 de febrero de 2017 12:34 a.m.