UNIVERSIDAD NACIONAL EXPERIMENTAL DE GUAYANA

VICE RECTORADO ACADEMICO

COORDINACIN GENERAL DE PREGRADO.
PROYECTO DE CARRERA: INGENIERA INFORMTICA.
UNIDAD CURRICULAR: AUDITORA DE TECNOLOGAS Y SISTEMAS DE INFORMACIN.

ETHICAL HACKING /
PENETRATION TEST
Profesora:

Realizado por:

Milln, Edelalcira.

Delgado, Jhonger.
Madrid, Rubn
Ortega, Arymir.
Rojas, Katherin
Ruiz, Daniela

14-7-2016

Contenido
INTRODUCCIN ............................................................................................................................. 2
ETHICAL HACKING ....................................................................................................................... 4
Qu es el hacking tico? ............................................................................................................................. 4
Qu evala un hacker tico? ...................................................................................................................... 6
a. Seguridad fsica .......................................................................................................................................... 8
b. Seguridad en las comunicaciones .............................................................................................................. 8
c. Seguridad inalmbrica ................................................................................................................................ 8
d. Seguridad en las tecnologas de Internet ................................................................................................... 9
e. Seguridad del resguardo de informacin ................................................................................................. 10
f. Seguridad de los proceso .......................................................................................................................... 10
Riesgos de las pruebas de penetracin ...................................................................................................... 10
Beneficios de las pruebas de penetracin .................................................................................................. 13
Tipos de pruebas de penetracin ............................................................................................................... 14
Herramientas para realizar pruebas de penetracin .................................................................................. 18
Diferencias entre hackeo tico y pruebas de penetracin .......................................................................... 18
Pruebas de penetracin ............................................................................................................................... 18
Hackeo tico................................................................................................................................................. 19

CONCLUSIONES ........................................................................................................................... 21
REFERENCIAS .............................................................................................................................. 22

INTRODUCCIN
Las computadoras en todo el mundo son susceptibles de ser atacadas por crackers o
hackers capaces de comprometer los sistemas informticos y robar informacin valiosa, o
bien borrar una gran parte de ella. Esta situacin hace imprescindible conocer si estos
sistemas y redes de datos estn protegidos de cualquier tipo de intrusiones.
Con el rpido crecimiento de las tecnologas de Internet, la seguridad informtica se ha
vuelto una preocupacin mayor para los gobiernos y empresas, donde la posibilidad de
ser hackeado es proporcional a la seguridad implementada en su estructura.
Adems, los posibles clientes de los servicios provistos por estas entidades estn
preocupados por la forma en que se gestiona su informacin personal que puede variar
desde nmeros de seguro social, nmeros de tarjeta de crdito a direcciones domiciliarias.

En un esfuerzo para encontrar una solucin apropiada al problema, las organizaciones se

dieron cuenta que la mejor solucin al problema es evaluar la amenaza de intrusin para
lo cual se contratan a profesionales en seguridad informtica para que intenten irrumpir
en sus sistemas computacionales. Tal solucin es similar a tener auditores independientes
para verificar los estados de libros de una organizacin.
Con el mismo concepto, el equipo profesional de seguridad (hackers ticos) emplear las
mismas herramientas y tcnicas usadas por intrusos para investigar las brechas de
seguridad y vulnerabilidades sin daar o robar datos del sistema en cuestin.
Una vez terminado el proceso, el equipo de seguridad reportar a los propietarios las
vulnerabilidades que encontraron y las instrucciones sobre cmo eliminar dichas brechas
de seguridad.

ETHICAL HACKING
Qu es el hacking tico?
El hacking tico es en s una auditora efectuada por profesionales de seguridad de la
informacin, quienes reciben el nombre de pentester. A la actividad que realizan se le
conoce como hacking tico o pruebas de penetracin.
Las pruebas de penetracin surgieron como respuesta a la presencia y realizacin de los
primeros ataques informticos a las organizaciones, los cuales trajeron graves
consecuencias, como prdidas monetarias y de reputacin. Es aqu donde interviene el
trabajo de un hacker tico, ya que su labor es buscar vulnerabilidades en los sistemas de
la organizacin para, posteriormente, poder mitigarlos y evitar fugas de informacin
sensible.
Durante los ltimos aos, nuevas tcnicas de intrusin que atentan contra la seguridad de
la informacin se han sofisticado, por lo que organizaciones y empresas han
implementado al hacking tico, aunque combatir la idea de que esta actividad es daina,
no ha sido tarea fcil.
El hacking tico, tambin es conocido como prueba de intrusin o pentest, se define
esencialmente como el arte de comprobar la existencia de vulnerabilidades de
seguridad en una organizacin, para posteriormente a travs de un informe, revelar
aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas
de informacin y ataques informticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernticos, algunos ayudan
a las organizaciones a reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo
de otro, se introdujeron los trminos crackers y hackers ticos. Los primeros identifican a
aqullos que realizan tcnicas de intrusin con fines maliciosos y lucrativos; mientras que
los segundos se refieren a quienes lo hacen con fines ticos y por el bien de la
organizacin que lo solicite.

Otra conceptualizacin que reciben es la de sombrero negro o Black Hat y sombrero

blanco o White Hat.
Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen la cualidad de
explotar vulnerabilidades en los sistemas con la finalidad de demostrarse que lo pudieron
hacer burlando la seguridad del mismo. Ejemplo de ello lo tenemos en el caso acontecido
en febrero del 2008, cuando la pgina web oficial de la Presidencia de la Repblica fue
afectada por un atacante que se haca llamar H4t3 M3; logr dejar como recordatorio
una imagen de lo ms elocuente gracias a que esa pgina web tena una vulnerabilidad.
La informacin fue revelada en el foro de la Comunidad Underground Latinoamericana, en
dnde el joven hacker advirti que poda modificar desde la agenda presidencial hasta las
noticias, pero que no lo hara.
Por su parte, los hackers de sombrero blanco o White Hat, tambin conocidos como
hackers ticos, pentesters y expertos en seguridad; tienen la finalidad de realizar pruebas
de intrusin en organizaciones que as lo pidan, para posteriormente rendirles un informe,
en el que se detallan todos aquellos puntos vulnerables encontrados para que,
posteriormente, la empresa los mitigue a la brevedad posible.
Cuando en 1997, la cultura de la seguridad informtica comenz a tomar fuerza, se pens
que los hackers ticos podan ofrecer sus servicios a las empresas para ayudarlas a ser
menos vulnerables, y en 2001 arrancaron en forma este tipo de asesoras.
Convencer a las compaas de contratar un hacker, por mucho que se llame tico, y
conseguir el permiso para que ingrese y juegue con sus sistemas no ha sido fcil. No
puedes llegar y simplemente decir te ofrezco un hackeo tico, debes explicar muy bien
qu es esto y cules son los objetivos, comenta Luis Alberto Corts, consultor en
seguridad y hackeo tico
As, el trmino poco a poco se ha ido aceptando, ahora los hackers ticos empiezan a ser
conocidos y buscan sus servicios. Por otra parte, grandes empresas de seguridad, como

Ernest & Young o PriceWaterhouse, han empezado a ofrecer servicios de hackeo tico, lo
cual ayuda a generar mayor confianza en este tipo de asesoras.
As mismo, se ha desarrollado, alrededor de estas prcticas, una especie de cdigo de
honor y contratos especiales, que se firman entre los hackers ticos y las compaas
usuarias, para mayor proteccin de estas ltimas. En dicho contrato, se conviene que la
empresa da permiso para realizar la intrusin, marca un lapso de duracin, dispone las
fechas para hacerlo y cmo se entregarn los resultados, generalmente un reporte, donde
se enumeran las vulnerabilidades y fallas encontradas, as como las recomendaciones para
mitigarlas.
Generalmente, esos contratos incluyen una clusula de confidencialidad, donde se
estipula que toda informacin encontrada a raz de las pruebas de penetracin, no podr
ser divulgada por el hacker a otra entidad que no sea la compaa que contrat sus
servicios, ni tampoco podr quedarse con una copia del reporte final generado para la
empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir con ello, se
hara acreedor a una demanda.

Qu evala un hacker tico?

Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers ticos) a las
empresas son las pruebas de penetracin, con la intencin de analizar si la compaa est
preparada para soportar un ataque sofisticado perpetrado desde fuera, es decir por un
hacker externo o por un atacante interno con conexin a la red.
Durante las pruebas de penetracin, segn enumera Victor Chapela, se analizan tanto la
red interna, como Internet, aplicaciones expuestas, servidores, puertos y avenidas de
acceso, adems se hacen pruebas de contraseas. Al mismo tiempo, se analiza la red
inalmbrica, de sta se revisa la configuracin, se hace sniffing de trfico y contraseas,
intentando penetrar y romper el cifrado.

Parte de la auditora incluye tambin revisar mdems, VPN, pgina web, incluso se hace
ingeniera social, es decir se trabaja con el personal o con los asociados de la empresa para
ver si se dejaran engaar para proporcionar contraseas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, tambin se busca
emular si un empleado de bajos privilegios podra tener acceso a los estados financieros o
a la nmina de la compaa. Se consideran adems los valores de los activos, la criticidad
de la vulnerabilidad y la probabilidad del ataque, su impacto, la forma de corregirlo y el
esfuerzo requerido para esto.
Para evitar cualquier contratiempo o dao a la infraestructura, o continuidad de negocio
del cliente, las pruebas siguen una metodologa y manejan estndares, como el Manual de
la Metodologa Abierta de Comprobacin de la Seguridad (OSSTMM, por sus siglas en
ingls) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).
Segn el Mapa de Seguridad propuesto por el OSSTMM, las secciones a las cuales se
aplican el hacking tico son las siguientes:

Fig. 1 Mapa de SeguridadFuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1
de ISECOM
Fuente: Tomado del Manual de la Metodologa Abierta de Testeo de Seguridad OSSTMM 2.1 de ISECOM

A continuacin, se describen brevemente dichas secciones.

a. Seguridad fsica

Alude a las pruebas de seguridad realizadas a un medio fsico y no electrnico en la

naturaleza. Comprende el elemento tangible de la seguridad donde la interaccin requiere
un esfuerzo fsico o una transmisin de energa para que sea manipulado. A considerar:
Revisin del permetro
Revisin de monitoreo
Evaluacin de controles de acceso
Revisin de respuestas de alarmas
Revisin de ubicacin y
Revisin de entorno.
b. Seguridad en las comunicaciones

Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase alude a
todas las redes de telecomunicacin, sean digitales o analgicas, la otra, se refiere a todos
los sistemas electrnicos y redes de datos donde la interaccin se realiza a travs de
cables establecidos y cables de lneas de red.
c. Seguridad inalmbrica

Refiere a todas las comunicaciones electrnicas, seales y emanaciones que se producen

del conocido espectro EM Electromagnetic. Esto incluye ELSEC como comunicaciones
electrnicas, SIGSEC como seales, y EMSEC que son emanaciones sin ataduras por los
cables. Los mdulos de verificacin requeridos en el hacking tico para dicho rubro son:
Verificacin de radiacin electromagntica (EMR)
Verificacin de redes inalmbricas 802.11, Verificacin de redes bluetooth
Verificacin de dispositivos de entrada inalmbricos
Verificacin de dispositivos mviles inalmbricos

Verificacin de comunicaciones sin cable

Verificacin de dispositivos de vigilancia inalmbricos
Verificacin de dispositivos de transaccin inalmbricos
Verificacin de RFID y
Verificacin de sistemas Infrarrojos.
d. Seguridad en las tecnologas de Internet

Se refiere a las pruebas de intrusin efectuadas a las aplicaciones web, tales pruebas son
esencialmente el "arte" de comprobar una aplicacin en ejecucin remota o local, sin
saber el funcionamiento interno de la aplicacin, para encontrar vulnerabilidades de
seguridad. Los mdulos de verificacin requeridos en el hacking tico para dicho rubro
son:
Logstica de Controles,
Sondeo de Red,
Identificacin de los servicios de sistemas,
Bsqueda de informacin competitiva,
Revisin de privacidad,
Obtencin de Documentos,
Bsqueda y verificacin de vulnerabilidades,
Testeo de aplicaciones de internet,
Enrutamiento,
Testeo de sistemas confiados,
Testeo de control de acceso,

Testeo de Sistema de Deteccin de Intruso IDS,

Testeo de Medidas de Contingencia,
Descifrado de contraseas,
Testeo de Negacin de servicios y
Evaluacin de polticas de Seguridad.
e. Seguridad del resguardo de informacin

Aborda los medios empleados para el almacenamiento adecuado de la informacin, va

ligado con los controles empleados para su seguridad.
f. Seguridad de los proceso

Representa un mtodo para lograr acceso privilegiado a una organizacin y sus activos
mediante la ayuda involuntaria del personal de la organizacin, en especial con la ayuda
de aquellos que resguardan los puntos de accesos principales. Esto se hace por medios de
comunicacin tales como el telfono, e-mail, chat, tablones de anuncios, etctera, y se
realiza de una manera fraudulenta con la finalidad de obtener una posicin "privilegiada
En este rubro la aplicacin del hacking tico se emplea por medio de la prctica de la
ingeniera social, la cual es una tcnica especializada o emprica del uso de acciones
estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente
realicen actos que normalmente no haran.

Riesgos de las pruebas de penetracin

Disponibilidad. De acuerdo con Chapela, durante la aplicacin de las pruebas es

necesario minimizar el peligro de interrupciones no programadas en servicios o
procesos. Para esto, es necesario calendarizar las irrupciones de alto riesgo,
desarrollar un plan de respaldo y conformar un equipo de respuesta capaz de
actuar con rapidez. Adems, debe determinarse con toda claridad qu probar y
qu no. Tal es el caso de hardware y aplicaciones obsoletas, aplicaciones crticas,

equipo sin respaldo o carente de un plan de contingencia y sistemas fciles de

colapsar cuando se examinan.

Confidencialidad. Para evitar que se pierda o fugue contenido valioso durante el

desarrollo de las pruebas, debe establecerse claramente qu pueden copiar o leer
quienes las ejecuten. Asimismo, conviene hacer un cambio completo de cdigos de
acceso al final de los ejercicios de penetracin y establecer algunas prohibiciones,
como: no copiar ni leer correo electrnico o informacin de bases de datos o
archivos. Sobre este punto, Rafael Garca, gerente regional de productos de
Symantec para Amrica Latina, detalla: "Los Pen Tests deben involucrar todas
aquellas reas que estn ms relacionadas con el core del negocio, por lo que la
metodologa a emplear y sus lmites dependen siempre del giro de la empresa, el
grado de profundidad de las pruebas y el anlisis requerido. En este marco, debe
privilegiarse la firma de acuerdos que se crea en los contratos y dar prioridad a la
honestidad de los consultores".

Integridad y responsabilidad. Durante el desarrollo de las pruebas, las empresas

deben reducir al mnimo la probabilidad de alteraciones en aplicaciones o datos.
Por lo tanto, entre las prohibiciones a fijar a quienes las ejecutarn estn: no
instalar jams puertas traseras (back doors), ni ocultar soluciones de acceso
remoto (bots, troyanos, rootkits y dems); no borrar, alterar o inhabilitar registros
y, desde luego, no apagar o modificar el comportamiento de las herramientas de
deteccin establecidas. Un punto muy importante en todo esto es registrar quin
hace qu, para evitar abuso de terceras partes en los Pen Tests, as como dejar
claro que no deben eliminarse u ocultarse los rastros de las pruebas. Este proceso
implica tambin autenticar a los consultores, con el propsito de identificarlos
claramente en los sistemas evaluados.

Riesgo poltico. Qu pasa si una falla no prevista en ciertos servicios crticos

ocurre como resultado de las propias pruebas? Deben minimizarse las
probabilidades de que se generen choques internos entre las diferentes reas
involucradas o confrontaciones con proveedores, y evitar factores que reduzcan el

valor percibido o el profesionalismo de las pen test. Dada la lucha de poder entre
reas que existe, en algunas empresas, asegura Garcasi el departamento de
sistemas es el encargado de contratar las pruebas debe sentirse respaldado
previamente por la alta direccin, para que los resultados, sobre todo si no son del
todo positivos, no se utilicen como arma de pugnas.

Incumplimiento. Diversas pruebas de penetracin buscan dar cauce a

requerimientos legales y regulaciones para evitar multas o sanciones a la hora de
efectuarlas. Asimismo, los resultados de la revisin van de acuerdo con los
lineamientos y estndares corporativos aplicables en cada caso (ISO 27001 / BS
7799, CoBIT, ITIL y dems). Danny Allan, analista de investigacin de la empresa
Watchfire, hace nfasis en la carga creciente que toma el cumplimiento de todo
tipo de regulaciones. No slo para cuestiones tcnicas, sino tambin en temas que
tienen que ver con rubros como: competencia, proteccin de datos, privacidad,
terrorismo, operaciones de outsourcing, reputacin y propiedad intelectual, entre
otros.

Riesgos de contrato. Este tipo de incidentes surge al emplear consultores

inapropiados. Para evitarlos, deber evaluarse correctamente al proveedor del
servicio y definir un plan de riesgos bien estructurado. Desde luego, no se debe
contratar a asesores que slo usan herramientas o nicamente conocen un
aspecto de la tecnologa. Adems se debe ser cuidadoso al utilizar los servicios de
aquellos que fueron black-hat hackers y ahora se han convertido en especialistas
en Pen Test. Incluso, el Consejo Internacional de Consultores de Comercio
Electrnico (The International Council of E-Commerce Consultants: EC-Council)
propone una certificacin en hackerismo tico, que cubre pruebas de penetracin
y directrices sobre cmo actuar en la materia. La recomendacin de no emplear
black-hat hackers tiende a convertirse as en una de las mejores prcticas a seguir.
Si se consideran todos estos riesgos y se acta en consecuencia para mitigarlos, las
pruebas de penetracin se vuelven un ejercicio til, que puede aportar diversos
puntos positivos a las empresas.

Beneficios de las pruebas de penetracin

Generar informes oportunos. Un buen informe de los riesgos y vulnerabilidades

de una empresa, derivado de las pruebas de penetracin, funge como herramienta
efectiva de negociacin para reafirmar o vender las estrategias de seguridad a la
alta direccin, adems de sostener y legitimar todo el proyecto de proteccin, por
lo que el mencionado documento debe estar completo, bien hecho y sin errores.
Entre los puntos que debe contener este informe estn: un resumen para la alta
administracin; un anlisis de los riesgos principales; recomendaciones agrupadas
por tipo de dispositivo, sistema operativo, bases de datos o servidores de dominio,
y las acciones concretas a seguir.
De acuerdo con Sm4rt, el informe (que deber realizar el rea de seguridad)
requiere incorporar, adems, acciones de mitigacin priorizadas y clasificadas por
esfuerzo, enfatizando detalles tcnicos y recomendaciones; as como evidencia de
las principales vulnerabilidades encontradas. Pero tambin deber incluir una
clasificacin de riesgos, y una evaluacin que considere tres conceptos: valor de los
activos, nivel de debilidades y probabilidad de ataques.
Un autor bien conocido como Pete Herzog (Open Source Security Testing
Methodology Manual: OSSTMM), sugiere, al respecto, una metodologa dividida en
secciones, mdulos y tareas, en la que propone desarrollar un mapa de
seguridad con seis apartados: informacin, procesos, tecnologas de Internet,
comunicaciones, proteccin inalmbrica y fsica como base para la evaluacin de
riesgos.

Dar nfasis a la estrategia. Los Pen Test permiten priorizar riesgos y proponer
acciones, con acento en las reas alrededor de las amenazas principales. Las
buenas pruebas ayudan a entender por qu los problemas pueden ser crticos,
mientras dan sentido y direccin a los cambios sugeridos. El plan de accin que
derive de las pruebas debe considerar el impacto desde el punto de vista de la
probabilidad de ataques, vulnerabilidad y valor de los activos, as como el esfuerzo
a realizar en materia de planeacin, implementacin y administracin.

En todo caso, las pruebas de penetracin ms eficaces permiten correlacionar el

impacto de los riesgos y su probabilidad, encontrando el punto ptimo para cada
empresa.

Contar con un catalizador efectivo. Los Pen Tests sirven tambin para: motivar el
cambio hacia el incremento de controles, enfocar los esfuerzos tcnicos, generar
conciencia y sentido de urgencia. Pero, si de verdad se quiere lograr esto es
necesario organizar una demostracin final de los ejercicios de irrupcin, pues de
acuerdo con Chapela: esto dice ms que mil documentos.

Y para cerrar el crculo conviene tambin organizar una reunin tcnica con el fin de
valorar a detalle los hallazgos, definir la forma de presentarlos a la alta direccin y trazar la
estrategia a seguir. Entre las prohibiciones a fijar entre quienes ejecutarn las pruebas
estn: no instalar jams puertas traseras (back doors), ni ocultar aplicaciones de acceso
remoto (bots, troyanos, rootkits y dems); no borrar, alterar o inhabilitar registros y,
desde luego, no apagar o modificar el comportamiento de las herramientas de deteccin
establecidas.
Entre los puntos que debe contener el informe posterior a las pruebas de penetracin
estn: un resumen para la alta administracin; un anlisis de los riesgos principales;
recomendaciones agrupadas por tipo de dispositivo, sistema operativo, bases de datos o
servidores de dominio y las acciones concretas a seguir.

Tipos de pruebas de penetracin

Las pruebas giran en torno a la variacin, es decir, detectar los aspectos del software y su
entorno que pueden haber variado y ver cmo responde el software. El objetivo consiste
en garantizar que el software funcione de una manera confiable y segura en escenarios de
produccin tanto razonables como, incluso, no razonables. Por lo que la planeacin ms
importante que debe llevar a cabo un evaluador es conocer los aspectos que pueden
variar y de qu formas dicha variacin necesita configurarse para las pruebas.
Desde el punto de vista de la seguridad, el entorno, la entrada de usuario, as como los
datos y lgica internos son los lugares principales donde dicha variacin puede revelar

problemas de seguridad. El entorno consiste en los archivos, aplicaciones, recursos del

sistema y otros recursos locales o de red que la aplicacin use. Cualquiera de stos podra
ser el punto de entrada de un ataque. La entrada de usuario la constituyen los datos que
se originan con entidades externas (normalmente no confiables) que el software analiza y
usa. Los datos y lgica internos son las variables y rutas lgicas almacenadas internamente
que tienen cualquier nmero de enumeraciones potenciales.
Ataques del entorno

El software no se ejecuta aislado. Depende de cualquier nmero de archivos binarios y

mdulos de cdigo equivalente, como scripts y complementos. Puede usar tambin
informacin de configuracin del Registro o del sistema de archivos, as como de bases de
datos y de servicios que podran residir en cualquier parte. Cada una de estas
interacciones del entorno puede constituir la fuente de una infraccin de seguridad y, por
lo tanto, deben someterse a prueba.
Hay tambin una serie de preguntas importantes que debe plantearse acerca del grado de
confianza que la aplicacin posee en estas interacciones, incluidas las siguientes: Qu
grado de confianza posee la aplicacin en su entorno local y en los recursos remotos?
Coloca la aplicacin informacin confidencial en un recurso (por ejemplo, el Registro)
que pueda leerse por otras aplicaciones? Confa en cada uno de los archivos o bibliotecas
que carga sin comprobar el contenido? Puede un atacante aprovechar esta confianza
para obligar a la aplicacin a hacer lo que ste desee?
Adems de estas cuestiones acerca de la confianza, los evaluadores de penetracin deben
observar los DLL que puedan estar defectuosos o que un atacante haya podido reemplazar
(o modificar), archivos binarios o archivos con los cuales la aplicacin interacte y que no
estn completamente protegidos a travs de listas de control de acceso (ACL) o que se
encuentren desprotegidos de cualquier otra manera. Los evaluadores deben estar
tambin pendientes de otras aplicaciones que tengan acceso a recursos de memoria
compartida o que almacenen datos confidenciales en el Registro o en archivos
temporales. Por ltimo, los evaluadores deben considerar factores que generen

sobrecarga en el sistema como, por ejemplo, una red lenta, memoria baja, etc., as como
determinar el impacto de estos factores en las caractersticas de seguridad.
Los ataques del entorno se llevan a cabo, a menudo, organizando de forma
malintencionada un entorno inseguro y ejecutando, a continuacin, la aplicacin en ese
entorno para ver cmo responde. Se trata de una forma indirecta de pruebas; los ataques
se emprenden contra el entorno en el cual funciona la aplicacin. Observemos ahora las
pruebas directas.
Ataques de entrada

En las pruebas de penetracin, el subconjunto de entradas que procede de fuentes que no

son de confianza es el ms importante. stas incluyen rutas de comunicacin como, por
ejemplo, protocolos de red y sockets, funcionalidades remotas expuestas como DCOM,
llamadas a procedimiento remoto (RPC, Remote Procedure Calls) y servicios web, archivos
de datos (binarios o de texto), archivos temporales creados durante la ejecucin y
archivos de control como scripts y archivos XML, todos los cuales estn sujetos a
manipulaciones. Por ltimo, deben comprobarse tambin los controles de interfaz de
usuario que permiten la entrada directa del usuario como, por ejemplo, las pantallas de
inicio de sesin, los clientes web, etc.
En especial, desear determinar si la entrada est controlada adecuadamente: Se
permiten las entradas consideradas seguras y se evitan las no seguras (por ejemplo,
cadenas largas, paquetes formados incorrectamente, etc.)? La comprobacin de entradas
adecuadas y el anlisis de archivos son crticos.
Necesitar realizar pruebas para ver si se pueden llevar a cabo entradas peligrosas en los
controles de la interfaz de usuario y para averiguar qu podra ocurrir en caso de que esto
se produjera. Esto incluye caracteres especiales, entradas codificadas, fragmentos de
scripts, cadenas de formato, secuencias de escape, etc. Necesitar determinar si es
posible que penetren cadenas largas que se encuentran incrustadas en los campos de
paquetes o en los archivos y que puedan provocar el desbordamiento de la memoria. Los
paquetes daados en las secuencias de protocolo constituyen tambin una preocupacin.

Debe vigilar la presencia de bloqueos y comprobar la pila por si existieran vulnerabilidades

potenciales en la memoria. Por ltimo, debe estar completamente seguro de que tanto la
validacin como los mensajes de error ocurren en el lugar correcto (en el lado cliente y no
en el lado servidor), esto constituir una defensa apropiada frente a las entradas no
seguras.
Los ataques de entrada constituyen autnticos ataques de artillera contra una aplicacin.
Algunos de ellos podrn esquivarse adecuadamente, mientras que otros provocarn
daos en el software. Depender del equipo de penetracin determinar qu ataques se
considerarn ataques de entrada, as como la aplicacin de las soluciones apropiadas.
Ataques de datos y de lgica

Algunos errores se encuentran incrustados en los mecanismos internos de

almacenamiento de datos de la aplicacin y en la lgica de algoritmos. En dichos casos,
parece haber errores de diseo y de codificacin en los que el desarrollador ha asumido la
presencia de un usuario benevolente o bien no se dio cuenta de la presencia de ciertas
rutas de cdigo en las que el usuario debe tener cuidado.
La denegacin de servicio es el ejemplo principal de esta categora, pero no la ms
peligrosa. Los ataques de denegacin de servicio pueden realizarse correctamente si los
desarrolladores han cometido errores en la planeacin para un amplio nmero de
usuarios (o conexiones, archivos, as como cualquier entrada que provoque que ciertos
recursos se sobrecarguen hasta el lmite). No obstante, existen defectos lgicos mucho
ms insidiosos que necesitan someterse a prueba. Por ejemplo, la divulgacin de
informacin puede ocurrir cuando las entradas que controlan los mensajes de error y
otros resultados generados revelen informacin vulnerable a un atacante. Un ejemplo
prctico de los datos que deben eliminarse siempre sera cualquier cuenta de prueba
codificada o API de prueba (las cuales se incluyen, con frecuencia, en compilaciones
internas para ayudar en la automatizacin de las pruebas).
Esto podra facilitar el acceso a un atacante. Dos pruebas ms que debera ejecutar son la
introduccin de credenciales falsas para determinar si los mecanismos internos de

autorizacin son seguros, as como la eleccin de entradas que varen las rutas de cdigo.
La mayora de las rutas de cdigo son seguras, pero es posible obtener acceso a la misma
funcionalidad de maneras diferentes, lo cual podra omitir de forma inadvertida algunas
comprobaciones cruciales.

Herramientas para realizar pruebas de penetracin

Inguma: es una herramienta para realizar de prueba de penetracin escrita enteramente en
python. El framework incluye los mdulos para descubrir los hosts, informacin sobre
ellos, sacar nombres de usuario y las contraseas por fuerza bruta y por supuesto exploits
para muchos productos.
DSniff: Un juego de poderosas herramientas de auditora y pruebas de penetracin de
redes. Este popular y bien diseado set hecho por Dug Song incluye varias herramientas.
dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorean pasivamente una red
en busca de datos interesantes (passwords, e-mail, archivos, etc.). arpspoof, dnsspoof, y
macof facilitan la intercepcin de trfico en la red normalmente no disponible para un
atacante -- por ej. Debido al uso de switches {"layer-2 switches"}. sshmitm y webmitm
implementan ataques del tipo monkey-in-the-middle activos hacia sesiones redirigidas de
SSH y HTTPS abusando de relaciones {"bindings"} dbiles en sistemas con una
infraestructura de llaves pblicas {PKI} improvisados.

Diferencias entre hackeo tico y pruebas de penetracin

A pesar de que a lo largo de este trabajo se han usado indistintamente los trminos
hacking tico y pruebas de penetracin porque estn estrechamente relacionados, sin
embargo, hay una delgada lnea de diferencia entre estos dos trminos.
Pruebas de penetracin

Las pruebas de penetracin es un trmino especfico y se centra slo en el descubrimiento

de las vulnerabilidades y riesgos con el propsito de asegurar y tomar el control del
sistema. O en otras palabras, los objetivos de las pruebas de penetracin respectivos a los
sistemas de defensa de las organizaciones consisten en todos los sistemas informticos y
su infraestructura.

Hackeo tico

Por otro lado, hacking tico es un amplio trmino que abarca todas las tcnicas de
hacking, y otras tcnicas de ataque informtico asociado. As, junto con el descubrimiento
de los fallos de seguridad y vulnerabilidades, garantizar la seguridad del sistema, que est
ms all del hackeo del sistema pero con un permiso con el fin de salvaguardar la
seguridad para futuros propsitos. Por lo tanto, podemos decir, que es un trmino
genrico y pruebas de penetracin es una de las caractersticas de hacking tico.
Las siguientes son las principales diferencias entre las pruebas de penetracin y Hacking
tico que se enumeran en la siguiente tabla
Pruebas de penetracin

Hackeo tico

Se centra en las pruebas de penetracin Es un trmino ms completo y la prueba

slo

para

asegurar

el

seguridad.

sistema

de de

penetracin

es

una

de

sus

caractersticas.

Un tester esencialmente no necesita tener Un hacker tico esencialmente tiene que

un conocimiento exhaustivo de todo, solo tener un conocimiento exhaustivo de la
es necesario tener conocimiento slo del programacin de software, as como de
rea especfica para la que lleva a cabo las hardware.
pruebas de penetracin.
Un tester no necesariamente requiere ser Un hacker tico esencialmente necesita
un buen escritor informe.

ser un experto en la redaccin de

informes.

Cualquier tester con algunas entradas de Se requiere ser un profesional experto

pruebas de penetracin puede realizar la en
prueba de penetracin.

el

tema,

que

cuente

con

la

certificacin obligatoria de hacking tico

para ser eficaz.

El papeleo es menos comparado con Se

Hacking tico.

requiere un detallado

incluido un acuerdo legal, etc.

papeleo,

Para llevar a cabo este tipo de pruebas, Hacking tico implica mucho tiempo y
menos tiempo es necesario.

esfuerzo en comparacin con pruebas de

penetracin.

Normalmente, no requiere la accesibilidad De

acuerdo

con

la

situacin,

a todos los sistemas informticos y su normalmente requiere toda una serie de

infraestructura.

Se

requiere

la accesibilidad

todos

los

sistemas

accesibilidad nicamente para la parte informticos y su infraestructura.

para la que el tester realizar las pruebas
de penetracin.
Dado que las tcnicas de penetracin se utilizan para proteger de las amenazas, los
atacantes potenciales tambin se estn convirtiendo rpidamente ms y ms sofisticados
e inventan nuevos puntos dbiles en las aplicaciones actuales. Por lo tanto, un tipo
particular de pruebas de penetracin no es suficiente para proteger la seguridad de los
sistemas probados.
En algunos casos, un nuevo agujero en la seguridad es descubierto y ataque exitoso se
llev a cabo inmediatamente despus de las pruebas de penetracin. Sin embargo, esto
no significa que las pruebas de penetracin son intiles. Slo significa que, es cierto que
con las pruebas de penetracin profundas, no hay garanta de que un ataque exitoso no se
llevar a cabo, pero sin duda, la prueba reducir sustancialmente la posibilidad de un
ataque exitoso.

CONCLUSIONES
El hacking tico es una tcnica aplicada a distintos escenarios, por lo que es importante
hacerlo del conocimiento de la gente en beneficio de las organizaciones; as la relacin
entre deteccin y explotacin de vulnerabilidades existentes podr controlarse de la
mejor manera posible.
La idea de probar la seguridad de un sistema tratando de irrumpir en ella no es una idea
nueva. Ya sea que una compaa de automviles realice choques entre autos o un
individuo pruebe sus habilidades en artes marciales con otro compaero, la evaluacin
basada en probarse bajo ataque contra un adversario real est ampliamente aceptado
como prudente. Esto es sin embargo insuficiente por s mismo.
Una auditoria regular, vigilancia de intrusiones, una buena prctica de administracin de
sistemas y una conciencia de la seguridad informtica son todos partes esenciales de los
esfuerzos de seguridad de una organizacin. Una pequea falla en cualquiera de estas
reas muy bien podra exponer a la organizacin al ridculo, al cyber-vandalismo o algo
peor. Cualquier nueva tecnologa tiene sus beneficios y sus riesgos.
Aun cuando los hackers ticos pueden ayudar a los clientes a comprender mejor sus
necesidades de seguridad, est en manos de los clientes mantener la guardia alta.

REFERENCIAS
Harris, S. et. al. Hacking tico. Traduccin de: Gray hat hacking (2005). Madrid: Anaya
Multimedia.
Picouto, F. et. al. Hacking prctico (2004). Espaa: Anaya Multimedia.
Daltabuit, E. et. al. Seguridad de la informacin (2007). Noriega, Mxico: Limusa
Aceituno, V. Seguridad de la informacin: Expectativas, riesgos y tcnicas de proteccin
(2006). Mxico: Limusa.
Rodrguez, L. A. Seguridad de la informacin en sistemas de cmputo (1995). Mxico
D.F: Ventura.
HERZOG, Peter, OSSTMM 2.1 Manual de la Metodologa Abierta de Testeo de Seguridad.
ISECOM Institute for Security and Open Methodologies.
6 OWASP Foundation. Gua de pruebas OWASP versin 3.0.
MITNICK, Kevin, Controlling the Human Element of Security. The Art Of Deception", Ed.
John Wiley & Sons Australia, USA, 2002, 577 pp.