UNIVERSIDAD CIENTÍFICA DEL SUR

FACULTAD DE CIENCIAS EMPRESARIALES

CARRERA DE INGENIERÍA DE SISTEMAS EMPRESARIALES

Ensayo

Ethical Hacking

AUTOR:

LIMA – PERÚ
2019

Ethical Hacking
Introducción

Hoy en día, el mundo está más conecta más que nunca. Muchos dispositivos
sincronizados mediante Internet, conocido como “Internet de las cosas” que
cada vez forma parte de nuestra convivencia, por ello los países, los estados,
las organizaciones, las familias, están todos conectados. Cada vez son más los
servicios que se brindan a través de la web. Las compañías ven cada vez más
útil tener un sistema on-line. Esta conectividad cada vez más amplia, que
brinda servicios, comienza a llamar poderosamente la atención de los
delincuentes, quienes encuentran el cibercrimen como algo más que
provechoso debido la gran cantidad de opciones de ataque. Los datos hoy en
día tienen mucho valor, se convierten en el petróleo del siglo XXI. Es por ello
que empresas y otras organizaciones, para poder ayudar a proteger dichos
activos, velan por la integridad, confidencialidad y disponibilidad de la
información de los sistemas informáticos para mantener la continuidad de los
negocios, nacen los llamados “hackers éticos”, quienes “atacan” los sistemas
empleando las mismas metodologías, técnicas y herramientas que los hackers
maliciosos; brindando soluciones de seguridad como resultado final. Como nos
gusta llamarla a muchos: seguridad ofensiva. Este ensayo busca aclarar las
funciones de estas herramientas para realizar un Penetration Test exitoso, así
como diversas técnicas de ataque y de explotación de vulnerabilidades.
Antecedentes Internacionales

Según menciona Campos, B., (2013), el desarrollo de la investigación de

una propuesta de un modelo estándar de seguridad aplicando métodos de
testing & ethical hacking, en la universidad Católica del Ecuador, Quito –
Ecuador, con el cual buscan analizar y desarrollar un modelo estándar de
seguridad eficiente, sobre el cual se aplique métodos de Testing &Ethical
Hacking, logrando demostrar que a través de dicho modelo se puede
determinar las vulnerabilidades de la infraestructura tecnológica. En este
proyecto presenta un modelo de seguridad que servirá como herramienta de
apoyo para poder hacer un análisis de la TI (Tecnología de la Información),
donde se pueda definir y observar todas las vulnerabilidades de amenaza y de
ataque sobre el mismo, y que a su vez la implementación de dicho modelo, sea
capaz de arrojar resultados y pueda plantear recomendaciones, así como
posibles soluciones para mitigar estos inconvenientes. Además, durante el
desarrollo de la investigación se expone resultados favorables en cuanto a la
sostenibilidad y vialidad sobre la aplicación de modelos de seguridad
informática.

Según menciona Villares C. (2017), el desarrollo de la investigación acerca

de una estrategia de hacking ético y los niveles de seguridad en la intranet de
la cooperativa de ahorro y crédito 13 de abril de la ciudad de “ventanas”, en la
universidad Autónoma de los Andes, Babahoyo – Ecuador, con el objetivo de
implementar una estrategia de hacking ético para mejorar los niveles de
seguridad en la intranet de la Cooperativa de Ahorro y Crédito 13 de abril Ltda.
de la ciudad de “Ventanas”. Esta investigación se desarrolló en con el paquete
de herramientas de Kali Linux, con que cual se realiza un primer escaneo de
cuán vulnerable son los sistemas operativos de los equipos de la cooperativa,
recopilando información sobre los puertos y protocolos que en los equipos se
pueden ocasionar. Luego en la fase de explotación donde se escanea las
vulnerabilidades de las redes inalámbrica con la herramienta Airodump que son
para ataques aireplay aircrack, y como conclusión se obtuvieron información
sobre la máquina que originó los ataques, por ende se aplicaron soluciones
para la atenuación en los equipos virtualizados mediante la implementación de
herramientas de seguridad antivirus, ESET Smart Security 6.

Desarrollo del cuerpo

Para iniciar sobre el tema de Ethical Hacking, debemos definir la palabra

Hacker según la Real Academia Española, el cual significa persona experta en
el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de
desarrollar técnicas de mejora, por lo general, la gente piensa que hacker es
una persona que hace cosas ilegales, pero en realidad existen dos tipos.

Hoy en día se conoce diferentes tipos de hackers quienes se nombran de

acuerdo al sistema que maneja, por lo general hay 2 tipos, White-Hat, quienes
se encargan de velar por la seguridad, integridad y confidencialidad de una
organización y Black-Hat, quienes son los que se dedican al cibercrimen,
quienes pueden ingresar a sistemas ilegalmente, ya sea extraer información,
implantar virus, etc., a simple vista se diferencian por los colores del sombrero,
blanco y negro, quienes tienen conocimientos sobre los sistemas operativos,
hardware, redes, telecomunicaciones.

En realidad, hacker es una persona curiosa, a quién le interesa mucho el

funcionamiento de las cosas, esto puede ser aplicado no necesariamente a un
informático, también puede ser aplicado a uno de medicina, quien puede
realizar cosas buenas como también malas, por ejemplo, generar una
enfermedad.

Por otra parte, existen personas que se aprovechan del interés de aquellos que
quieren aprender más acerca del tema de ethical hacking, es por ello que
ofrecen cursos con costos muy elevados a cambio de escasa información,
como mencionó Higuera J. su malestar:

Mi sensación es que se aprovechan de la gente con unos precios

abusivos y enseñando cosas que ya se deberían saber. Desestimulando
a profesionales de la informática a incursionar en este campo. Y también
atemorizando a algunas personas que poseen conocimientos básicos en
la informática, ya que en la actualidad hay quienes dicen haberse
certificado en este campo para estafar o amenazar.
Entonces, ¿a qué se dedica un Ethical Hacking?

Según Alejandro Fajul, un ethical hacking brinda un servicio de seguridad,

utiliza las mismas metodologías, técnicas y herramientas de un black-hat
hacker para atacar un sistema con el fin de descubrir alguna vulnerabilidad,
explotarlas y realizar un informe detallado de los resultados. Este resultado le
permite a la alta gerencia y los encargados de sistemas conocer el estado de
seguridad de sus sistemas informáticos.

El primer paso para un hackeo ético, es reconocer el alcance y los objetivos de

la prueba, luego los métodos a seguir, la prueba en general se denomina
Penetration Test, el cual es busca comprometer a un sistema informático
realizando un ataque hacia el mismo, es decir, se utilizan las mismas
herramientas y procedimientos que un hacker malicioso. Los pentester se
denomina Ethical Hacker, ya que tiene un compromiso moral con la empresa
que lo contrata.

Existen diferentes tipos de pentesting o tipos de trabajo:

White box, la empres contratante le entrega información al pentester, usuario,

e-mails, etc, con lo cual el pentester ya tiene una gran cantidad de información
para empezar a trabajar.

Black box, donde el pentester trabaja sin ningún tipo ayuda, como si fuera un
atacante malicioso, obviamente el costo de este tipo de trabajo tiene un costo
más elevado.

Grey box, que es básicamente la combinación del White y black box, ya que el
pentester recibe información de manera parcial, como pueden ser planos de
arquitectura de red o información sobre aplicaciones.

Bibliografía

Campos, B., (2013), Propuesta de un modelo estándar de seguridad

aplicando métodos de testing & ethical hacking. Universidad Católica del
Ecuador. Quito, Ecuador. Recuperado de:
http://repositorio.puce.edu.ec/bitstream/handle/22000/11352/TESIS-PUCE-
%20Rizzo%20Raza%20Jeniffer.pdf?sequence=1&isAllowed=y

Fajul, A. (2016), Ethical Hacking. Buenos aires, Argentina. Recuperado de

http://reader.digitalbooks.pro/book/preview/42132/Section0001.xhtml?
1572928443567

Higuera, J., (s.f.), ensayo crítico sobre hacking ético. Escuela de

Tecnologías de la Información y las Comunicaciones "Teniente Coronel Jorge
Luis Mauledoux Barón. Recuperado de:
https://www.academia.edu/39332158/ENSAYO_CRITICO_SOBRE_HACKING_
ETICO_MAESTRIA_EN_CIBERSEGURIDAD_E_INFORMATICA_FORENCE

Villares, C., (2017), Proyecto de investigación previo a la obtención del

grado académico de magister en informática empresarial. Universidad Regional
Autónoma De Los Andes. Babahoyo, Ecuador. Recuperado de:
http://dspace.uniandes.edu.ec/bitstream/123456789/8426/1/TUBMIE008-
2017.pdf