Beruflich Dokumente
Kultur Dokumente
net/publication/308312418
CITATIONS READS
0 3,401
4 authors, including:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Armando Ronquillo on 19 September 2016.
Resumen.
1 Introducción
El Hacking Ético es una disciplina que permite evaluar la seguridad de sistemas in-
formáticos a través de la realización de pruebas de penetración y con autorización por
parte de la organización propietaria de los sistemas a atacar [1]. Las técnicas de Ha-
cking Ético pueden emplearse también en ambientes virtualizados, pues permiten
realizar las pruebas de penetración bajo un ambiente controlado y conocido, además
permiten aprender los métodos utilizados por los atacantes maliciosos a sistemas
reales. En este trabajo se describe la implementación de un laboratorio de pentesting
virtualizado montado en el sistema operativo Kali Linux, y la utilización del software
adfa, p. 1, 2011.
© Springer-Verlag Berlin Heidelberg 2011
virtualizador Virtual Box, sobre el que se instalaron varios sistemas operativos Linux
y Windows con servicios de red a los que se realizaron ataques exitosos, aprovechan-
do vulnerabilidades inherentes y fallos de configuración. Esta implementación se
realizó con el objetivo de evaluar la efectividad de ataques informáticos en un entorno
virtualizado y evaluar una metodología de pentesting.
2 Marco teórico
La seguridad informática se define como un proceso que busca garantizar tres prin-
cipios en los sistemas informáticos: integridad, disponibilidad y confidencialidad,
valiéndose de un conjunto de herramientas, políticas y procedimientos para garanti-
zarlos [2]. Para que un sistema se considere seguro debe garantizar estos tres princi-
pios y una forma de conocer las vulnerabilidades susceptibles de ser explotadas por
agentes de amenazas que pueden poner en riesgo cualquiera de estos principios, es
realizar pruebas de penetración siguiendo un procedimiento ordenado que simule
situaciones de ataques reales, a través de las herramientas y procedimientos de ha-
cking, bajo un entorno controlado y con autorización (Hacking Ético).
Las pruebas de penetración no se consideran ni auditorías informáticas, ni análisis
de riesgos, pues no se evalúa la alineación de la seguridad a determinados estándares
y tampoco se evalúa el nivel de impacto que ciertas amenazas pueden causar a los
activos (datos) de una organización. Las pruebas de penetración emulan un ataque
real a un sistema informático, estos ataques se realizan utilizando una serie de técni-
cas, herramientas y una metodología dividida en fases de: reconocimiento, escaneo,
enumeración, acceso y la generación de reportes [3].
4 Resultados
La elección de Kali Linux como sistema operativo base en el equipo atacante para
la implementación del laboratorio de pentesting resultó adecuada, ya que permitió
realizar cada uno de los ataques de manera exitosa utilizando técnicas de Hacking
Ético mediante una metodología probada para realizar pruebas de pentesting. La eje-
cución de cada una de las herramientas utilizadas en las pruebas de intrusión se efec-
tuaron en un equipo de cómputo de características comunes, donde una de las pruebas
que demandó mayor uso de recursos fue el ataque de fuerza bruta. Ver Fig. 8.
5 Conclusiones
El Hacking Ético es una herramienta que permite probar las medidas de seguridad
informática de una organización, mediante pruebas de intrusión a sistemas informáti-
cos. Durante el desarrollo de este proyecto de laboratorio de pentesting se pudo cons-
tatar lo fácil que resulta obtener las herramientas para realizar ataques informáticos y
si se sigue un orden ya escrito y probado, resulta factible introducirse a sistemas que
no cuenten con las medidas de seguridad adecuadas, o que no han sido sometidos a
pruebas de intrusión para detectar sus debilidades, lo que permite que usuarios mali-
ciosos exploten las vulnerabilidades existentes y pongan en riesgo los activos (datos)
de cualquier organización. Es por ello importante que los responsables de sistemas se
entrenen realizando pruebas a los sistemas antes o después de ser implementados y
una forma segura de entrenarse es en un entorno virtualizado como el mostrado en
este trabajo.
6 Referencias
1. Benchimol, D., (2013) Hacking para principiantes. Primera Edición. Editorial Fox Andi-
na. Buenos Aires, Argentina.
2. Bishop, M.,(2005) Introduction to computer security. First Edition. Addison-Wesley. Unit-
ed States of America.
3. Harris S., (2013) All in one CISSP. Sixth Edition. Mc Graw Hill. United States of Ameri-
ca.
4. González, P., (2013) Metasploit para Pentesters. Segunda Edición. Editorial
0xword. Madrid España.
5. Slowloris HTTP DoS – Rsnake. (2009) ha.ckers.org security lab [En línea]
http://ha.ckers.org/slowloris/ [Accedido el día 20 Junio del 2014].
6. Mitre, Mitre. (2013) “About CVE”. CVE – About CVE. [En línea]. U.S.A,
disponible en: http://cve.mitre.org/about/index.html [Accedido el día 20 Junio
del 2014].
7. Cert, Cert. (2014) “Welcome to CERT: About us”. The CERT Program: Anticipating and
Solving the Nation's Cybersecurity Challenges. [En línea]. http://www.cert.org/ [Accedido
el día 15 de enero del 2014]
8. Owasp, Owasp.(2013) The Open Web Application Security Project [En línea].
https://www.owasp.org/ [Accedido el día 15 de enero del 2014]
9. Kennedy, D., O'Gorman, J., Kearns, D., Aharoni, M. (2011) Metasploit: The Penetration
Tester's Guide. San Francisco: No Starch Press.
10. Lee, A., (2012) Advanced Penetration Testing for Highly-Secured Environments, The Ul-
ti-mate Security Guide (Primera edición). 35 Livery Street Birmingham B3 2PB, UK:Packt
publishing.