You are on page 1of 19

NDICE

INTRODUCCIN ....................................................................................................................... 2
1. UN POCO DE HISTORIA ................................................................................................. 4
2. POR QU TICO? .......................................................................................................... 5
3. Ejemplo de ethical hacking ............................................................................................ 6
4. CLASIFICACIN DE HACKERS..................................................................................... 7
4.1. Hackers White Hat = ticos Especialistas en Seguridad de Red..7
4.2. Hackers Black Hat = Criminales / Delincuentes..8
4.3. Hackers Grey Hat = En Conflicto, sin Saber en qu Lado de la Ley Estar.8
5. PRUEBAS DE PENETRACIN..8
5.1. TIPOS DE PENT TESTS.9
6. TIPOS DE ATATAQUE10
6.1. ATAQUES PASIVOS..10
6.2. ATAQUES ACTIVOS..11
7. ATAQUES11
7.1. ATAQUE A SITIOS WEB11
7.2. ESPIONAJE PARA HACKEAR (KEYLOGGERS).12
7.3. HACKEO A FACEBOOCK POR INGENIERIA SOCIAL ..13
7.4. VULNERABILIDAD A CELULARES ..13
7.5. VULNERABILIDAD WIFI (INTERNET GRATIS).14
Tipos de Encriptacin de la Red..15
Otras Medidas de Seguridad Complementarias..15
CONCLUSIONES Y RECOMENDACIONES.18
REFERENCIAS BIBLIOGRFICAS.19

1
INTRODUCCIN
Actualmente el Hacking es vinculado con piratera, robo, delincuencia entre otras cosas, pero
ser Hacker no significa ser un delincuente ni nada parecido, si uno busca la traduccin para
Hacker encuentra que es un adjetivo que significa pirata, lo cual no es lo ms apropiado.

En la tica de las sociedades tecnolgicas existen cdigos deontolgicos ,que deben ser
respetados, esto ha ido generalizando la moral que tenemos a la hora de estar conectados a
internet, lo que nos lleva a preguntarnos si el internet nos encamina hacia un nuevo rumbo o
simplemente es una de muchas otras distracciones.

Internet se considera como una ciber-sociedad que une a todos los seres humanos a travs del
conocimiento. Como una vez Karl Popper dijo la importancia del internet es el valor que se da
a la libertad de crtica, al pensamiento creador y al debate. Es este debate el que proponemos
sobre la reflexin de los derechos y sobre la autonoma que damos a conocer en lnea.

Los hacker han sido totalmente discriminados por la sociedad, ya que los medios de
comunicacin solo presentan noticias de piratera informtica, delincuencia cibernautica, pero
no se dan cuenta de su verdadero propsito, tal idea que es casi filosfica y un planteamiento
tico, que dan a conocer a un ser humano curioso y atento a las nuevas lneas de pensamiento
que solo desean compartir sus criterios, que ms sin embargo todas son despreciadas e
intoleradas.

Los hacker son personas con amplios conocimientos y tcnica de los ordenadores, tienen una
gran aficin por los lenguajes computacionales, tambin son conocidos por ser entusiastas de
la informtica, ya expertos que desafan los lmites es decir que quieren ir ms all de lo que
generalmente es conocido.

Uno de los hacker ms conocidos es Jargon File quien define a los mismos como personas que
disfrutan investigando los sistemas operativos para sacar su mximo provecho; tambin
encontramos a Steven Levy quien seala a los hackers como hroes de la revolucin, y formula
que ellos siempre se entregan al imperativo de transmitir, de la libre informacin, a la belleza y
arte del ordenador y del cambio que los ordenadores hacen a nuestra vida.

Al contrario de los hackers, los crackers son aquellos que usan sus conocimientos para violar
los sistemas y realizar actos que sean delincuenciales que rompen con la seguridad y
proteccin de programas para su beneficio.

Al igual que los hackers, los Phrakers son aquellos que rompen con la seguridad de los sistemas
telefnicos, lo que se convertira en una utilizacin ilegal y delictiva de redes telefonas; y los

2
lamers son aquellas personas que desean realizar actividades propias de los hackers, pero
carecen de este conocimiento y copian sus tcnicas.

La sociedad se caracteriza por su ignorancia, tomamos como ejemplo a la sociologa que


reacciona generalmente con lentitud frente a los enormes cambios en la estructura social de
las nuevas tecnologas. En algunos estudios se ha llegado al punto de que los hackers son
jurdico- criminalistas o bien una orientacin civil o de defensa de las libertades civiles, es decir
un motor constante de progreso tecnolgico.

A partir de la ideologa de Stewart, Smith y Denton para afirmar la existencia de un movimiento


social se requiere de una mnima organizacin, cambios sociales, de un largo alcance, de una
capacidad de persuasin y debe ser un colectivo no institucionalizado.

El movimiento hacker ha recibido un espaldarazo del joven finlands afincado en Estados Unido
quien a partir de su obra La tica hacker y el espritu de la informtica ofrece un cdigo moral
basado en la creatividad de trabajo, en la libertad de imaginacin y la pasin por la investigacin
y descubrimiento, cabe resaltar que el dinero no es la recompensa del trabajo sino el acceso al
conocimiento, el reconocimiento social y la libertad.

3
1. UN POCO DE HISTORIA
Hace algn tiempo, cuando algunas de las organizaciones apenas comenzaban a
incrementar los procesos informatizados dentro de su sistema de informacin, sus propios
administradores y analistas tcnicos eran los encargados de buscar claras falencias o
brechas de seguridad en el escenario para solucionarlas como podan.

En ese entonces, la mayora no tena una nocin madura acerca de la seguridad de la


informacin o de las intrusiones de terceros no autorizados en sus sistemas. A medida que
pas el tiempo, estas organizaciones se multiplicaron de manera notable y se
informatizaron an ms, incluso tomando a Internet como plataforma de sus movimientos
de informacin. De ese modo, se hicieron fluidas las comunicaciones interpersonales, inter
sucursales, transacciones o flujo digital de todo tipo y nivel de importancia, dejando, al
mismo tiempo, muchos ms datos expuestos a terceros, como nunca antes haba
sucedido.

Como resultado de ello y debido a que grandes casos de intrusin se dieron a conocer al
pblico en general a travs de los medios de prensa (aunque muchos no salen a la luz para
salvaguardar una imagen institucional de organizacin confiable), se hizo evidente la falta
de algn servicio profesional que imitara esos ataques o capacitara a su personal con las
mismas metodologas que utilizaba el intruso. De esa manera, se podan evaluar las reales
condiciones de seguridad en las que se encontraba una organizacin y, de existir agujeros
en el sistema o potenciales brechas, descubrirlos y solucionarlos de forma preventiva.
Los accesos no autorizados, junto a una gama de vulnerabilidades y todo tipo de amenazas
relacionadas o dirigidas hacia la informacin, estaban a la orden del da. Desde algunos
aos antes, muchos especialistas ligados a la seguridad informtica venan estudiando y
practicando metodologas de intrusin en sus trabajos, laboratorios o casas. As,
comenzaron a brindar a las organizaciones un servicio a modo de proveedores externos o
contratados y, para darle un nombre medianamente formal, lo llamaron ethical hacking.
Este concepto incluye las denominaciones vulnerability scanning y penetration test, mejor
denominado network security assessment. Haba una clara demanda de seguridad y,
donde existe demanda, aparece una oferta. Por lo tanto, all mismo nace un mercado.
Apenas mediaban los aos 90, ya asomaban las pocas de e-commerce, comenzaba la
integracin de las pequeas y medianas empresas de todo el mundo a la red (e-
organizaciones), a la que poco a poco se sumaba el pblico en general. Apareca malware
ms sofisticado, se publicaban novedosas tcnicas de intrusin o explotacin de
vulnerabilidades y no haba demasiada conciencia sobre la administracin segura de los
servidores.

4
Al mismo tiempo, jvenes de todo el mundo se colaban en Internet engaando las centrales
telefnicas (por una cuestin de gastos) de sus pases para divertirse con los sistemas
informticos e intercambiar conocimientos con sus pares del otro lado del globo. De ese
grupo de gente, saldra lo que en esos das seran algunos de los mejores profesionales
de la seguridad, as como tambin hbiles intrusos. Es te fenmeno pudo ser posible
gracias a la ausencia de una plata forma educativa formal sobre el tema, ya que los
recursos de aprendizaje eran, y a menudo son (hoy ms que nunca), compartidos. En
aquel entonces, sobre seguridad no haba educacin formal ms all de un post grado en
alguna universidad de EE.UU. o la que ofreciera una institucin privada para sus emplea
dos. En un mbito ms informal, recin en el ao 1993, naci Bug traq, una conocida lista
de correo en la que se tratan te mas de seguridad. No fue todo de un da para el otro, pero
tuvo una marca da evolucin.

2. POR QU TICO?
Para emular la metodologa de ataque de un intruso informtico y no ser lo, tiene que haber
tica de por medio, ms all de todas las condiciones, trminos y activos que ha ya al
rededor del caso. Imaginemos que las autoridades de un banco con tratando a alguien para
que simule un robo (no a mano arma da, claro est) y de ese modo se pruebe la eficiencia
de su sistema de seguridad. Este supuesto ladrn profesional, luego de lograr su cometido,
informa a sus dueos en detalle cmo pudo hacer lo y cmo ellos deberan mejorar su
sistema de seguridad para que no volviera a pasar. Lgicamente, no se puede en car gar
de hacer esto una persona sin tica, alguien in moral. No entraremos en el terreno de lo
tico como rama dentro de la filosofa prctica ni redactaremos un tratado sobre
deontologa profesional, no slo por la cuestin de espacio, sino tambin por respeto a los
griegos. S, en cambio, diremos que la tica implica que el trabajo y la intervencin del
profesional en seguridad informtica o de la informacin no comprometen de ningn modo
los activos de la organizacin, que son los valiosos datos con los que ella cuenta.
Estos daos podran ser hechos de varias maneras: alteracin, modificando a conciencia
registros o datos sensibles; borrado, destruyendo informacin, bases de datos o
sobrescribiendo algn tipo de dato; dar a conocer informacin a terceros, incumpliendo las
normas de confidencialidad; sustraccin, robando o guardando datos en medios de
almacenamiento externos. Todo esto, ya sea en la bsqueda de riesgos mediante un
security assessment o comprobacin de seguridad, como tambin en la divulgacin de lo
que se vio, habl, escuch o manipul en el transcurso, en la planificacin o en el desarrollo
de la tarea misma y en su anlisis final. Ms all de la tica propia de cada profesional,
existen conductas mnimas que ste debe cumplir:
Hacer su trabajo de la mejor manera posible.

5
Dar el mejor reporte.
Acordar un precio justo.
Respetar el secreto.
No hablar mal ni inculpar a un administrador o equipo de programadores.
No aceptar sobornos.
No manipular o alterar resultados o anlisis.
De legar tareas especficas en alguien ms capacitado.
No prometer algo imposible de cumplir.
Ser responsable en su rol y funcin.
Manejar los recursos de modo eficiente.
En nuestros tiempos, para la mayora de la gente y de la prensa, la palabra hacking est
liga da a delincuentes comunes, a personas de dudosa moralidad que utilizan
conocimientos de informtica o electrnica para delinquir. Por tal motivo, en el transcurso
de este libro, slo citaremos como personajes a dos figuras: al profesional tico y a su
opuesto, el intruso, para que no ha ya malentendidos de ningn tipo.

3. Ejemplo de ethical hacking


Para comprender mejor el concepto de hacking tico, analicemos un caso. Es tico
ingresar en una casilla de correo electrnico ajena sin conocer su password? Bajo las
posibilidades que brinda el ethical hacking, por su puesto. Esa situacin puede darse
siempre y cuando la casilla de e-mail sea de alguien que nos ha ya autorizado, como
profesional tico, a demostrar le que su organizacin es vulnerable. Como una casilla es
personal (quizs de un gerente o de un administrador de sistemas), posiblemente ese
ingreso nos lleve a obtener acceso a determinado lugar o a datos sensibles. stos, a su
vez, sern utilizados para lograr entrar en un servidor y de all dirigir nos hacia la red interna,
con todo el riesgo que significa para una organizacin formal altamente informatizada. De
ese modo, descubriremos pequeos descuidos que, desde un lugar impensado, pueden
exponer a la empresa por completo. Sin embargo, esta vez, ese riesgo pasara rpido a la
historia, ya que estamos hablando de un tpico caso de ethical hacking, en don el problema
es intensamente buscado, descubierto, analizado, reportado y por ltimo solucionado a la
brevedad.
Para lograr algo as, se requieren dos elementos bsicos: en principio, metodologa para
proceder. Esto es el resultado de un grupo de piezas previamente ensambladas:
habilidades persona les de lgica y creatividad, tcnicas propias de un net work security
assessment (Evaluacin de la seguridad del trabajo), reconocimiento o relevamiento de
todos los componentes del escenario y herramientas como un intrprete de comandos del

6
tipo prompt (rpido) o Shell (cscara), un web brow ser y un editor de texto, al menos para
este caso.
Por otro lado, se requiere autorizacin, que es el elemento ms importante. Esta
autorizacin tambin tiene sus partes: un contrato de confidencialidad, coordinacin,
evaluacin, procesos por seguir y todas las caractersticas internas (por ejemplo, el
compromiso de la gerencia para con el proyecto es vital) o propias de las partes
involucradas en este trabajo /desafo.
Para resumir, veamos el proceso de ethical hacking en pocas palabras:
a) La organizacin de sea saber si sus sistemas son realmente seguros.
b) Selecciona y contrata un servicio profesional de ethical hackin.
c) Lo autoriza a realizar el trabajo mediante diversas pautas.
d) Planifican estratgicamente cmo se realizar y el alcance que tendr.
e) El profesional, luego de llevar a cabo los anlisis preliminares, realiza su tarea
imitando al atacante real, pero sin comprometer dato alguno.
f) Luego, analiza los resultados del security assessment.
g) Confecciona un reporte de tallado para que la organizacin lo evale.
h) Soluciona lo vulnerable o mitiga lo potencial para dejar el sistema ms seguro.
i) Se reafirma la defensa del sistema en general.
j) Se adoptan polticas de control y seguimiento (normativa).

4. CLASIFICACIN DE HACKERS
4.1. Hackers White Hat = ticos Especialistas en Seguridad de Red
Los hackers de sombrero blanco son motivados por causas de honor. Tambin
conocidos como hackers ticos, son usuarios de seguridad informtica con talento
empleado a menudo para ayudar a proteger las redes informticas.

Algunos hackers white hat se reforman de ser black hat, al igual que los ex convictos.
Mientras que ellos pueden haber sido poco ticos en el pasado, su vocacin actual se
considera tica.

Los hackers ticos estn motivados por un sueldo fijo. No es sorprendente ver a los
hackers ticos gastar su paga en ordenadores personales muy caros para
uso personal, para poder jugar juegos en lnea despus del trabajo. Mientras tengan
un trabajo bien pagado para mantener sus hbitos personales, un hacker tico no
suele destruir ni robar de su empleador.

7
Nota especial: algunos hackers de sombrero blanco son hackers acadmicos. Estos
son artesanos del ordenador que estn menos interesados en la proteccin de
sistemas, y ms interesados en la creacin de programas inteligentes y hermosas
interfaces. Su motivacin es mejorar un sistema a travs de alteraciones y adiciones.
Los piratas informticos acadmicos pueden ser aficionados casuales, o pueden ser
ingenieros informticos que trabajan en grados de nivel alto.

4.2. Hackers Black Hat = Criminales / Delincuentes


Esta es la definicin clsica de un hacker: Un usuario que intencionalmente destroza
o comete robo en las redes de otras personas.

Black hat es una forma elegante para describir sus malas intenciones. Son usuarios
dotados pero no ticos que estn motivados por sentimientos de poder y venganza.
Son matones en todos los sentidos de la palabra, y comparten los mismos rasgos de
personalidad como los adolescentes con problemas de crecimiento emocional que
golpean los vitrales en las paradas de autobuses por satisfaccin personal.

Los hackers de sombrero negro son reconocidos por los siguientes delitos
informticos:

Ataques DDoS que daan las redes de ordenadores.


El robo de identidad.
El vandalismo de los sistemas.
La creacin de programas destructivos, como los gusanos.

4.3. Hackers Grey Hat = En Conflicto, sin Saber en qu Lado de la Ley Estar
Los hackers de sombrero gris son a menudo aficionados con conocimientos tcnicos
intermedios. Estos aficionados disfrutan de desmontar y modificar sus propios equipos
por placer o mana, y que a veces se meten en delitos de menor importancia como el
intercambio de archivos y software de craqueo. En efecto, si usas un programa de
descarga P2P, eres un tipo de hacker de sombrero gris. Los hackers de sombrero gris
rara vez se convierten en graves hackers de sombrero negro.

5. PRUEBAS DE PENETRACIN
Las pruebas de penetracin son las pruebas de seguridad en el que los evaluadores imitan
ataques del mundo real para identificar los mtodos para burlar las medidas de seguridad
de una aplicacin, sistema o red. A menudo consiste en lanzar ataques reales en sistemas
reales utilizando las herramientas y tcnicas comnmente utilizados por los atacantes. La

8
mayora de las pruebas de penetracin implica la bsqueda de una combinacin de
vulnerabilidades en uno o ms sistemas que pueden utilizarse para obtener ms acceso
que a travs de una sola vulnerabilidad. Las pruebas de penetracin tambin pueden ser
tiles para determinar: Qu tan bien tolera el sistema patrones de ataques de estilo real. El
nivel de sofisticacin necesario que un atacante necesita para comprometer el sistema con
xito medidas adicionales que podran mitigar las amenazas contra el sistema. Capacidad
de los defensores para detectar los ataques y responder apropiadamente. Las pruebas de
penetracin pueden ser muy valiosas, pero requiere mucho trabajo y gran experiencia para
reducir al mnimo el riesgo para los sistemas que entraran en el testeo. Los sistemas
pueden ser daados o de otras maneras inoperantes durante el curso de las pruebas de
penetracin, a pesar de que la organizacin se beneficia de saber cmo un sistema puede
ser inutilizado por un intruso. Sin embargo la penetracin de evaluadores con experiencia
puede mitigar este riesgo, nunca puede ser totalmente eliminado. Las pruebas de
penetracin deben realizarse solamente despus de una cuidadosa consideracin,
notificacin, y la planificacin. Las pruebas de intrusin a menudo incluyen mtodos no
tcnicos de ataque. Por ejemplo, una prueba de intrusin puede violar los controles fsicos
y procedimientos de seguridad para conectarse a una red, robar equipos, captura de
informacin sensible (tal vez mediante la instalacin de dispositivos de registro de teclas),
o interrumpir las comunicaciones. Se debe tener precaucin al realizar las pruebas de
seguridad fsica, los guardias deben ser conscientes de cmo verificar la validez de la
actividad de la persona que realiza el testeo, como por ejemplo a travs de un punto de
contacto o de la documentacin que el porte. Otros medios no tcnicos de ataque es el uso
de ingeniera social, tales como pasar por un analista de mesa de ayuda y llamar para
solicitar contraseas de un usuario, o llamando a la mesa de ayuda para hacerse pasar por
un usuario y solicitar que una contrasea sea restaurada.

5.1. TIPOS DE PENT TESTS


Las pruebas de penetracin se enfocan principalmente en las siguientes
perspectivas:

Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes


especficas de los sistemas informticos crticos de la organizacin.
Pruebas de penetracin sin objetivo: consisten en examinar la totalidad de los
componentes de los sistemas informticos pertenecientes a la organizacin.
Estas pruebas suelen ser las ms laboriosas.
Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la
informacin pblica disponible sobre la organizacin.

9
Pruebas de penetracin informadas: aqu se utiliza la informacin privada,
otorgada por la organizacin acerca de sus sistemas informticos. En este tipo
de pruebas se trata de simular ataques realizados por individuos internos de la
organizacin que tienen determinado acceso a informacin privilegiada.
Pruebas de penetracin externas: son realizas desde lugares externos a las
instalaciones de la organizacin. Su objetivo es evaluar los mecanismos
perimetrales de seguridad informtica de la organizacin.
Pruebas de penetracin internas: son realizadas dentro de las instalaciones de
la organizacin con el objetivo de evaluar las polticas y mecanismos internos de
seguridad de la organizacin.

A su vez, cada tipo de pruebas descrito anteriormente se puede ubicar en tres


modalidades.

o Black-box: El pentester no tiene conocimiento del sistema. En general se utiliza


cuando se contrata una empresa para que realice el trabajo desde el punto de
vista de un posible atacante externo.
o White-box: El pentester tiene conocimiento del funcionamiento del sistema,
arquitectura de la red, sistemas operativos utilizados, etc. Si bien no representa
la visin de un atacante externo, si representa el peor escenario ya que es el
caso en el que un atacante ya cuenta con informacin antes de accesar al
sistema.
o Gray-box: Este es el caso en el cual el pentester simula un empleado interno,
para esto se le da un usuario y clave de los sistemas. La idea es encontrar
posibles problemas que puedan ser aprovechados por usuarios internos.

6. TIPOS DE ATATAQUE
6.1. ATAQUES PASIVOS
En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la
escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus
objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil para
obtener informacin de la comunicacin, que puede consistir en:

Obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los


paquetes monitorizados.

Control del volumen de trfico intercambiado entre las entidades monitorizadas,


obteniendo as informacin acerca de actividad o inactividad inusuales.

10
Control de las horas habituales de intercambio de datos entre las entidades de la
comunicacin, para extraer informacin acerca de los perodos de actividad.

Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna
alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de
la informacin y otros mecanismos que se vern ms adelante.

6.2. ATAQUES ACTIVOS


Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la
creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras:

Suplantacin de identidad: el intruso se hace pasar por una entidad diferente.


Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo,
secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una
entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la
entidad que posee esos privilegios, como al robar la contrasea de acceso a una
cuenta.

Reactuacin: uno o varios mensajes legtimos son capturados y repetidos para


producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en
una cuenta dada.

Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o los


mensajes son retardados o reordenados, para producir un efecto no autorizado. Por
ejemplo, el mensaje Ingresa un milln de pesetas en la cuenta A podra ser
modificado para decir Ingresa un milln de pesetas en la cuenta B.

Degradacin fraudulenta del servicio: impide o inhibe el uso normal o la gestin de


recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir
todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el
servicio de una red inundndola con mensajes espurios. Entre estos ataques se
encuentran los de denegacin de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.

7. ATAQUES
7.1. ATAQUE A SITIOS WEB
Las pginas web dado su carcter pblico son un foco perfecto para los atacantes.
Basados en varios aspectos tcnicos del sitio, determinan de qu forma pueden
obtener el control parcial o total de este y utilizarlo para sus propsitos. A continuacin

11
nombro sin muchos detalles los principales tipos de ataques que pueden utilizarse para
tal fin:
Cross Site Scripting (XSS): Se basan en insertar cdigo o script en el sitio web
de la vctima, y hacer que el visitante al ingresar al sitio lo ejecute y cumpla el
cometido para el que fue escrito, como robo de sesiones o datos vulnerables.
Fuerza bruta: Crean procesos automatizados que mediante prueba y error
logran dar con el usuario y contrasea, generando estos mismos al azar. Este
ataque se puede dar en cualquier pgina que requiera hacer un login para
ingresar, aunque hoy en da son muchas las tcnicas utilizadas para evitarlo.
Inyeccin de cdigo: Este tipo de ataques inyecta cdigo fuente como SQL,
SSI, HTML al sitio web atacado, cambiando su funcionalidad original o
revelando datos que se encuentran almacenados en las bases de datos que
utilizan.
Denegacin del servicio (DOS): El atacante aprovecha algn error en la
programacin del sitio web, y hace que el servidor utilice los recursos como
procesador y memoria, hasta llegar al punto lmite del mismo, y colapsar el
servidor web por no dar ms recursos. En consecuencia, logra sacar el sitio
web del aire.
Fuga de informacin: Este ms que ser un ataque, es un error del administrador
del sitio, el cual consiste en dejar pblico el registro de errores, lo que facilita al
atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener
el control parcial o total del sitio.

7.2. ESPIONAJE PARA HACKEAR (KEYLOGGERS)


El software de monitorizacin de actividades es actualmente uno de los mercados con
ms movimiento. Literalmente disponemos de decenas de aplicaciones orientadas al
control de la actividad de cualquier terminal, ya sea mvil o de sobremesa. Las
aplicaciones legtimas para este tipo de software estn orientadas al control parental
en ordenadores manejados por nios, o a la monitorizacin de empleados en sus
puestos de trabajo, aunque como en todos los casos, este tipo de aplicaciones tienen
otros usos no tan legales como el robo de contraseas y datos privados.

Existen keyloggers tanto hardware como software, lo que significa que aunque nuestro
antivirus no detecte ningn tipo de software de control, podramos tener un keylogger
hardware conectado al puerto USB en serie con el teclado, o en su versin ms
antigua, en el puerto PS2. En esta versin hardware y con fines maliciosos,
encontramos dispositivos dignos del mismsimo James Bond, como un keylogger

12
soldado a la circuiteria de un teclado y oculto bajo su carcasa. Al final, la finalidad de
estos sistemas es almacenar todas las pulsaciones que realicemos desde el teclado,
o incluso tomar capturas de pantalla de forma remota, con las consecuencias que ello
podra conllevar.

Su versin software es lo que comnmente se conoce como spyware, teniendo como


gran ventaja frente a los keyloggers fsicos la opcin de acceder a la informacin
obtenida de manera remota. Existen muchas alternativas gratuitas, como Keylogger
Douglas, KidLogger o Revealer Keylogger del mismo modo que tambin hay software
para evitar que registren nuestra actividad y mantenernos a salvo de su uso
malintencionado en casos donde lo necesitemos, como SafeKeys

7.3. HACKEO A FACEBOOCK POR INGENIERIA SOCIAL


Hackear Facebook se considera, desde cierta perspectiva, una prctica tal vez poco
tica y que si es usada para sacar datos de terceros, puede ser incluso mal vista. Sin
embargo, si se utiliza con la finalidad de recuperar la propia contrasea en el caso de
que esta se haya olvidado o alguien la haya robado, entonces su uso ser
absolutamente justificado.

Todos utilizan Facebook hoy en da las redes sociales se han convertido en la principal
tendencia para las personas de todas las edades. Se la pasan actualizando sus
estados varias veces al da, agregando personas como amigos y chateando con ellos.
Tambin podran estar compartiendo sus pasatiempos, intereses y secretos con sus
amigos a travs de mensajes privados, y esta es una de las principales razones de
porque las personas querran acceder a su cuenta de Facebook para que as puedan
saber todo sobre ellos

7.4. VULNERABILIDAD A CELULARES


Los hackeos en telfonos mviles estn a la orden del da, y debes tener cuidado a la
hora de proteger tu telfono celular o dejarlo solo. El mayor consejo que puedo darte
es que siempre emplees contrasea segura en tu dispositivo y tambin patrn de
bloqueo, y que aprendas en este artculo cmo suelen funcionar los hackeos para
poder evitarlos y protegerte de ellos. Normalmente todo va a partir de la instalacin de
un virus o una aplicacin con exceso de permisos, as que depende de ti mantener a
los hackers lejos de tu dispositivo Android.

Los hackers tienen los siguientes objetivos:

Borrar la tarjeta SD o formatear el dispositivo

13
Realizar fotos con cmara frontal y trasera
Recibir la ubicacin exacta en Google Maps de donde est el dispositivo
Hacer grabaciones de sonido
Espiar los mensajes y el historial de llamada.

Algunos programas:

MasterSpy

Conocer la ubicacin del telfono mvil.


Conocer las App que tiene instalado el dispositivo.
Identificar las llamadas y SMS recibidos.
Estado de batera.
Sea Wifi y cobertura.
Emails recibidos
Conocer patrn de desbloqueo

Bluetooth Hack, Controla Telfonos por Bluetooth

bluetooth hack es un pequeo software en java que permite tomar el control


de celulares con bluetooth 1.X (en versiones superiores [celulares
modernos], pedir autorizacin para poder ser usado) activado:
Investigando un poco encontr un programa de Origen Ruso o esloveno
(llamado bluetooth hack) que tiene varias opciones para poder ingresar a
travs de bluethooth de un celular a otro y cuando estas dentro del otro
celular, puedes activarle timbre, realizar llamadas desde ese celular, puedes
apagarlo , resetear desde el master, puedes controlar el joystick
(dependiendo del celular).

7.5. VULNERABILIDAD WIFI (INTERNET GRATIS)


Siempre conviene saber qu tipos de vulnerabilidad en una red existen. El mundo
wireless, como la gente suele llamarlo, ha desencadenado una lucha entre
desarrolladores y usuarios acerca de la vulnerabilidad de las redes inalmbricas. Hay
muchsimas grietas que los usuarios han descubierto de estas redes, pero ms
medidas para prevenirlas hay an. Y t, tienes una red segura?

14
Tipos de vulnerabilidad en una red inalmbrica

Tipos de Encriptacin de la Red

Abierta: Sin contrasea. No hace falta decir que este tipo de redes estn
expuestas a todo el mundo.

Encriptacin WEP: Protegidas por una contrasea de 5 13 caracteres ASCII (o


bien, 10 26 caracteres hexadecimales). Es muy vulnerable, ya que se puede
obtener la clave mediante un ataque de fuerza bruta en menos de 2 horas.

Encriptacin WPA PSK Personal: Las protege una clave de 8 a 63 caracteres


ASCII. Es de las ms seguras debido a que slo es posible (excepto en algunas
ocasiones como cuando tienen WPS activado, tratado posteriormente) de
descifrar mediante un ataque de diccionario, es decir, deberemos de generar un
diccionario con varias claves y tener la suerte de que la clave de la red est ah.

WPA Enterprise: La menos conocida, la menos usada pero la ms segura.


Consiste en una autenticacin mediante usuarios y contraseas que se alojan
en un servidor radius. Es difcil de configurar, ya que tendremos que disponer de
un servidor radius, ya sea online o abierto en un equipo siempre conectado a la
red. Muchas veces se confunde con un portal cautivo, que no tiene nada que ver.

Otras Medidas de Seguridad Complementarias

Como hemos visto, una red con solo contrasea no es, ni mucho menos segura
(exceptuando las WPA que son algo ms seguras, pero tampoco se salvan). Por
ello, existen medidas de seguridad adicionales que suelen garantizar una red ms
segura, aunque tambin tienen sus brechas de seguridad. Cabe destacar:

Filtrado MAC: Cada tarjeta o adaptador de red tiene un nmero de


identificacin nico llamada direccin MAC. sta se compone de 6 dgitos
hexadecimales de los cuales los tres primeros determinan el fabricante y los
tres ltimos son nicos para cada uno. Podemos configurar nuestro router
para que slo puedan conectarse los dispositivos con la direccin MAC que
nosotros elijamos. Sin embargo, este filtrado es fcil de franquear debido a
una tcnica conocida como MAC Spoofing, mediante la cual podemos
cambiar temporalmente la direccin MAC de nuestro adaptador.

15
Portal Cautivo o Hotspot: Se trata de una autenticacin mediante un usuario
o contrasea que debemos poner en una pgina que nos sale cada vez que
intentamos acceder a una URL desde nuestro navegador. Normalmente estas
redes vienen sin contrasea para que podamos comprar un usuario y
contrasea. Es comn en aeropuertos y hoteles. Esta seguridad, en realidad,
es un tipo de filtrado MAC combinado con un filtrado de IP, por lo que si
clonamos la MAC de alguien conectado y nos ponemos su misma direccin
IP, tendremos acceso a la red sin dificultad.

Red Oculta: Se puede configurar una red Wi-Fi para que quede como oculta,
as su nombre o Essid no ser mostrado. Sin embargo, es muy fcil averiguar
el nombre a travs de linux cuando hay alguien conectado a ella.

Deshabilitar DHCP (IP Manual): Una de las medidas ms eficaces y de las


que ms aconsejo encarecidamente es, si tienes los suficientes
conocimientos y tu red la usa gente que sepa, cambiar el rango de IP del
router, es decir, si por defecto viene en 192.168.0.X, cambiarla a 33.76.164.X
por ejemplo, y recordarla. Luego deshabilitar el servidor DHCP del router (es
decir, configurarlo para que no otorgue direcciones IP automticamente) y
asegurarse de que la mscara de subred est configurada en 255.255.255.0.
De este modo, habra que configurar obligatoriamente la IP en cada
dispositivo que conectemos a la red, y como hemos puesto un rango de IP
que nos hemos inventado, nadie sabr qu IP ponerle para conectarse
excepto t.

Algunos programas:

Wifipass (Hackear wifi Android) Para routers de Movistar y Jazztel


(WLAN_XXX, Jazztell_XXX)
WiFi Auditor (programa robar wifi Windows, Mac, Linux) No muy usable,
pero funciona igual de bien que Wifipass
Easy WiFi (Hackear wifi Android) Solo para Livebox de Orange
WLANAudit (programa robar wifi Android) Eficaz con routers Zyxel y
Comtrend
WLAN_XXX Decrypter (Android) Del mismo autor de WiFi Auditor. Usa
cdigos de colores
HHG5XX WEP scanner (programa hackear wifi Android) Solo para un
modelo concreto de punto de acceso de Huawei

16
AirCrack (programa hackear wifi Windows, Linux) Desde la versin 0.9,
puede descifrar claves wifi WEP en muy poco tiempo
Wifiway (programa para hackear wifi LiveCD) Repletos de herramientas
de auditora WiFi y muy popular
Beini (LiveCD) Otro LiveCD que inyecta paquetes para dar con claves
WiFi.

17
CONCLUSIONES Y RECOMENDACIONES
Toda accin de un ser humano, acarrea diferentes perspectivas ticas, malas y buenas; la
tica del Hacker tiene como principal objetivo, darte otro punto de vista las personas que
dedican su vida profesional a vulnerar sistemas de informacin, para convertir esto en un
mtodo de proteccin, permitiendo a todas las organizaciones atacarse y poder mejorar sus
soluciones.

Hay quienes consideran que ser Hacker quiere decir que le gusta hacerle dao a la gente,
durante todo este trabajo pretendimos mostrar la otra cara de un hacker, y tener en cuenta
que el conocimiento puede darnos poder que puede ser bien o mal utilizado.

RECOMENDACIONES
Lo que recomendamos como tcnicos, es primero, nunca abandonar el estudio por lo que se
quiere, puesto que incluso para ser reconocidos como Hackers, se debi haber llegado a un
nivel de conocimiento muy alto, sin embargo, hay que tener en cuenta cmo se desea enfocar
este conocimiento de cara a la vida profesional.

De igual forma para afrontar y entender las ideologas y porque estas personas actan de
esta manera es entender su cdigo, su libro base para saber su fin y a que se enfocan, para
que ellos no tengan responsabilidades judiciales y no sean malinterpretados como
delincuentes informticos sino como autoridad de la informacin.

Las personas con arduo conocimiento en los temas de seguridad de informacin deben ser
sobresalidas en cuanto a las otras ramas de la tecnologa, puesto que el insumo principal de
toda organizacin es la informacin y por ende si hay especialistas en cuidar el gran valor de
las empresas y tienen la experiencia suficiente para dar un valor agregado a cuidar sus datos,
son un recurso extremadamente valioso para cada compaa.

Dar a conocer y patrocinar a este tipo de personas sera un valor que a lo largo del tiempo
podra convertirse en una gran rama de la tecnologa y porque no la ms importante de todas.

18
REFERENCIAS BIBLIOGRFICAS
http://feladazarodriguez.blogspot.pe/2010/09/ataques-pasivos-y-ataques-activos.html
https://es.slideshare.net/YulderBermeo/introduccion-hacking-etico
https://es.slideshare.net/RubenRobles3/hackear-contrasea
http://www.como-hackear.com/movil-celular-android-tutorial-pc/
http://www.seguridad.unam.mx/descarga.dsc?arch=2776
http://www.taringa.net/posts/ciencia-educacion/13129306/Hackers- Que-son-los-
hackers.html
http://thehackerway.com/about/
http://www.slideshare.net/YulderBermeo/introduccion-hacking- etico
http://securityec.com/herramientas-enfocadas-a-las-seguridad- informatica-pen-testing-
seguridadinformatica/
http://seguridadetica.wordpress.com/2012/04/11/5-heramientas- utiles-en-penetration-
testing-para-aplicaciones-web/

19

You might also like