(1) Introducción al hacking ético

Vista previa del material en texto

Introducción al hacking ético
Índice
3
7
10
1 | Conceptos básicos
2 | Metodologías
3 | Tipos de auditoría
Introducción al hacking ético | TELEFÓNICA // 3
La evolución de las TIC ha proporcionado el marco para el desarrollo 
de nuevas técnicas de hacking, fomentando de este modo un 
entorno que engloba:
• Aumento del presupuesto de las empresas en materia de 
seguridad de la información.
• Creación de nuevas certificaciones y metodologías de seguridad.
• Posibilidad de la realización de ataques sin conocimientos 
técnicos avanzados. 
• Proliferación de herramientas automatizadas.
• Gran cantidad de documentación disponible para todos los 
usuarios de Internet.
• Mayor presencia de este tipo de ataques en los medios de 
comunicación.
La seguridad es uno de los aspectos más conflictivos del uso de 
Internet actualmente. El hacking podríamos definirlo como el arte 
de hacer que las cosas funcionen de manera diferente a como su 
creador inicialmente pudo pensar. A continuación, se pueden aclarar 
algunos conceptos sobre nomenclatura:
• Hacker es la persona que quiere conocer, descubrir o aprender 
nuevas cosas y entender el funcionamiento de éstas. 
• Cracker utiliza su conocimiento con fines maliciosos, o ilegales. 
Por ejemplo, la intrusión en redes, el acceso ilegal a un sistema, 
el robo de información confidencial, …
• Phreaker es un individuo que orienta sus estudios hacia el 
aprendizaje y comprensión del mundo de las telecomunicaciones, 
planteándose retos relacionados con incidencias de seguridad.
• Lammer es una persona que presume de conocimientos, pero 
solo utiliza herramientas de botón automáticas ya que no conoce 
realmente lo que sucede a bajo nivel.
1. Conceptos básicos
Introducción al hacking ético | TELEFÓNICA // 4
La seguridad está presente en nuestro día a 
día. Podemos observarla en las cajas fuertes, 
los seguros de vida o del hogar, el cinturón 
de seguridad del coche, los extintores, ... 
Respecto a las diferencias de la seguridad 
de la información y la seguridad informática 
podemos encontrar el siguiente gráfico. En 
esta imagen se pueden ver las principales 
diferencias entre lo que es seguridad de la 
información y seguridad informática. Se 
puede entender la seguridad informática 
como una necesidad dentro de todo el 
ámbito de la seguridad de la información.
Imagen 1 Seguridad de la Información vs Seguridad Informática
SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA
Se entiende por seguridad de 
la información a todas aquellas 
medidas preventivas y reactivas 
del hombre, de las organizaciones 
y de los sistemas tecnológicos que 
premitan resguardar y proteger la 
información buscando mantener la 
confidencialidad, la disponibilidad e 
integridad de la misma.
La seguridad informática es el área 
de la informática que se enfoca en 
la protección de la infraestructura 
computacional y todo lo relacionado 
con esta (incluyendo la información 
contenida). Para ello existen una 
seria de estándares, protocolos, 
métodos, reglas, herramientas y 
leyes concebidas para minimizar los 
posibles riesgos a la infraestructura 
o a la información. La seguridad 
informática comprende software, 
bases de datos, metadatos, archivos 
y todo lo que la organización valore 
(activo) y signifique un riesgo si ésta 
llega en manos de otras personas. 
Este tipo de información se conoce 
como información privilegiada
o confidencial. 
Introducción al hacking ético | TELEFÓNICA // 5
La información es sin duda el elemento clave. Uno de los activos más 
importantes de cualquier organización es la información. Cualquier 
organización debe garantizar la seguridad de la información, 
entendida como la protección de la información de cualquiera 
amenaza. 
El objetivo es claro: 
• Asegurar la continuidad del negocio.
• Minimizar los riesgos del negocio.
• Maximizar el retorno de inversión, ROI.
La seguridad que una organización puede alcanzar únicamente por 
medios técnicos es limitada, es decir, debe ser completada con una 
correcta gestión y con los procedimientos adecuados. 
Aun partiendo de la premisa de que la seguridad absoluta no puede 
ser alcanzada, las noticias que se publican con regularidad en medios 
de comunicación, reflejan carencias en las organizaciones a la hora 
de manejar la seguridad.
En la siguiente imagen se puede observar un esquema respecto a 
las diferentes partes de la seguridad. 
Imagen 2 Esquema Seguridad
SEGURIDAD
HARDENING AUDITORÍA CRIPTOGRAFÍA SGSIFORENSE
De
sa
rr
ol
lo
 
se
gu
ro
Ba
st
io
na
do
in
fr
ae
st
ru
ct
ur
as
Ex
te
rn
a
In
te
rn
a
Em
ai
l
PC
Se
rv
id
or
Ta
bl
et
Co
ns
ol
a
Sm
ar
tp
ho
ne
Ci
fr
ad
o
De
sc
ifr
ad
o
Et
c
Et
c
Introducción al hacking ético | TELEFÓNICA // 6
Las empresas suelen disponer de modelos 
de defensa por capas. Quizá uno de los 
modelos de fortificación de entornos 
corporativos sea el modelo defensa en 
profundidad, también denominado Depth in 
Defense. 
Como se puede visualizar en la imagen 
de seguridad física las empresas utilizan 
diversos medios físicos para proteger sus 
activos. De nada sirve disponer de elementos 
de seguridad lógica, si la información no es 
protegida por medidas físicas. En la imagen 
de seguridad lógica se puede observar 
cómo se van añadiendo capas de seguridad 
a los datos, protegiendo el perímetro de la 
organización con firewalls, VPNs, ... Después 
la red de comunicación es protegida con 
sistemas de detección de intrusos y de 
prevención (IDS e IPS). Las máquinas 
también deber ser fortificadas mediante 
Hosts ID, antivirus, ... Las aplicaciones y los 
datos son el eslabón más cercano al usuario 
y lo más preciado. El cifrado es de lo más 
valorado. 
Imagen 3 Seguridad Física - Lógica
SEGURIDAD FÍSICA SEGURIDAD LÓGICA
Entorno
Valla/muro perimetral
Espacio entre valla y edificio
Muros del edificio
Salas
Activos
Datos
Aplicaciones
Host
Red de comunicaciones
Perímetro
Encriptación
Hosts IDs
Hosts IDs
IDs
Firewall EncriptaciónVPN
IPS
Input Validation
Control Acceso
Gestión de vulnerabilidades
Protección virus
Introducción al hacking ético | TELEFÓNICA // 7
Un proceso de auditoría recorre ciertas prácticas enfocadas a las 
distintas pruebas que se deberán realizar para satisfacer la demanda 
del cliente. En otras palabras, el proceso puede ser dividido en etapas 
que serán semejantes para las distintas auditorías, y agregados al 
proceso comentados anteriormente, de las que puede consistir el 
Hacking Ético.
El equipo de auditoría
En toda propuesta para realizar un proceso de Hacking Ético se debe 
explicar la composición del equipo de auditoría que participará en 
el proceso. Además, es importante reflejar las características de 
cada uno de los integrantes del equipo, y por supuesto, reflejar que 
cada integrante del equipo aporta un punto de vista distinto, siendo 
experto en una rama concreta de la seguridad.
Siempre existirá un responsable al cargo del proyecto, el cual 
seguramente hará tareas de interlocución con los responsables 
del proyecto por arte de la empresa contratante. A continuación, 
se especifican detalles de los integrantes: Cargo en la empresa, 
titulaciones disponibles de cada integrante, charlas y conferencias 
realizadas, certificaciones de seguridad de cada integrante, 
experiencia en años, proyectos similares en los que se ha participado, 
premios individuales tanto académicos o profesionales, …
Alcance del proyecto
Se deberá estudiar el alcance del proyecto global, especificando las 
tareas comprendidas, y los distintos alcances de proyecto de los 
distintos procesos de auditoria. Además, se debe indicar el número 
de jornadas efectivas para llevar a cabo las distintas pruebas, 
proporcionando un valor en jornadas, el cual será presupuestado.
En el alcance del proyecto se especificará la vía de comunicación y 
notificación entre la empresa que ofrece el servicio y la contratante. 
En otras palabras, se especificará ante qué situación la empresa 
que realizael proceso deberá notificar vulnerabilidades detectadas, 
y cuál es la vía para llevar a cabo las notificaciones; por ejemplo, 
utilizando el correo electrónico, mediante el uso de claves PGP, para 
proteger la confidencialidad de los documentos.
Por último, se puede indicar cuantos contactos se realizarán al día 
con la empresa contratante para informar de las pruebas realizadas. 
También puede ser necesario indicar las pruebas que se realizarán 
a corto plazo, con el fin de notificar posibles peligros de calidad de 
servicio en ciertas pruebas críticas, como denegaciones de servicio 
o escaneos intensivos de auditorías perimetrales.
2. Metodologías
Introducción al hacking ético | TELEFÓNICA // 8
Selección e información del objetivo
En todo proceso de Hacking Ético existe una etapa donde el auditor 
dedicará tiempo a la selección e información del objetivo, es decir, 
es totalmente necesario conocer el entorno al que se enfrenta el 
auditor para, una vez analizado y entendido exponer las pruebas de 
evaluación de seguridad.
En esta primera etapa dependerá del objeto de la auditoria o proceso 
agregado al que se enfrente el auditor. Por lo que dependiendo 
de dicho objetivo se necesitará un tipo de información u otro. A 
continuación, se muestran la información necesaria según el tipo:
• Auditoría perimetral: dispone de las fases de footprinting y 
fingerprinting con la que se realiza una recogida de información 
global y pública de Internet, para después analizarla y determinar 
que roles disponen los sistemas perimetrales, puertos abiertos, 
versiones de servicios, sistemas operativos, …
• Auditoría interna: dispone de una fase de recogida de información 
donde se determina la topología de la red, conectividad directa 
con máquinas adyacentes, versiones de productos, …
• Auditoría de caja blanca: Se deberá indicar de qué equipos y 
sistemas se debe realizar la muestra de configuraciones y las 
credenciales con privilegios a utilizar. Esta información será 
otorgada por la propia empresa contratante del servicio.
• Pruebas de stress: Se necesitará conocer la infraestructura 
perimetral de la empresa y analizar por donde llevar el ataque 
DDoS.
• Pruebas APT: dispone una de sus fases a la recolección de 
información pública de las personas que formaran el grupo 
objetivo de la acción. Mayoritariamente obtenida desde 
Internet mediante técnicas OSINT. Una vez recolectada la 
información se estudia los distintos tipos de amenazas a las 
que se expondrán.
• Fuga de información: La recogida de información se realiza 
exactamente igual que en la auditoria interna.
• Pruebas Wireless y VoIP: necesitan una fase de reconocimiento 
de la infraestructura mediante analizadores del medio para 
visualizar los tipos de cifrado, número de puntos de acceso 
a que tiene la empresa, canales por lo que se emite, clientes 
conectados, … 
Confección del ataque e intrusión controlada
En todas las pruebas del Hacking Ético hay una fase en la que 
el auditor realizará distintos ataques con distintos enfoques u 
objetivos. Todos ellos tienen una característica común y es que 
todas estas pruebas deben estar bajo control de la empresa y grupo 
de auditores que realizan los ataques. 
En las distintas pruebas se debe confeccionar una serie de pruebas 
que se realizarán, buscando la automatización en las tareas del 
auditor. Pero la realidad es diferente, ya que cada empresa es 
distinta y tiene un entorno y circunstancias diferentes.
En un alto porcentaje se puede crear dicho checklist, aunque 
la experiencia del auditor y el conocimiento de las diferentes 
tecnologías a las que el auditor se puede enfrentar es algo vital para 
completar el abanico de pruebas, como son: verificación y validación 
de las comunicaciones, validación de entradas, manipulación de 
parámetros, autenticación y gestión de sesiones, conocimiento y 
descubrimiento de la implementación de la red, …
Introducción al hacking ético | TELEFÓNICA // 9
Revisión del proceso
Una vez los ataques han ido desvelando los fallos de seguridad en 
las distintas auditorias, el auditor debe informar y recopilar unas 
medidas correctoras que solventen los problemas de seguridad 
descubiertos. No será el auditor quien solvente estos fallos de 
seguridad, pero sí será el que recomiende la aplicación de diferentes 
tareas para mitigar o solventarlos.
Una de las medidas que se suelen llevar a cabo es la de otorgar 
a la empresa de un tiempo determinado para solventar el fallo 
encontrado, y poco tiempo después llevar a cabo alguna jornada 
donde se realicen pruebas definidas para comprobar y verificar que 
se ha solventado el fallo descubierto.
Documentación
Toda prueba deberá estar correctamente documentada, en dos 
tipos de informes, el primero a modo ejecutivo informando de 
las observaciones más destacadas, y el segundo a modo técnico 
detallando todo el proceso efectuado en la organización y las 
pruebas realizadas.
Es altamente recomendable que el auditor documente desde el 
primer día las pruebas y resultados que se van obteniendo, tanto 
para que pueda realizar su trabajo correctamente, como porque 
después el informe se realizara en un periodo de tiempo menor.
Interlocutores y almacenamiento de la información
Es importante que la comunicación con el cliente siempre vaya 
protegida, en función del ámbito en que dicha comunicación se 
produzca. Por ejemplo, mediante la utilización de claves PGP y uso 
de certificados digitales.
Otro aspecto será el almacenamiento de la información recibida 
por la empresa contratante que deberá ser almacenada de forma 
segura, a través de un sistema de autenticación y control de accesos, 
protegiendo la confidencialidad de esta información mediante el uso 
de cifrado robusto. Almacenarla durante una vigencia máxima, la 
cuál será acordada con el cliente, pero es común destruirla de forma 
segura al finalizar el trabajo.
Introducción al hacking ético | TELEFÓNICA // 10
En el hacking ético se parte de 3 grandes tipos de auditoría. Se 
identifican por colores, como se puede visualizar en la imagen inferior 
y cada una tiene unas propiedades. Cuando se habla de auditoría 
web, auditoría interna, auditoría de código o auditoría Wireless, por 
ejemplo, se pueden clasificar en alguna de estas 3 cajas:
• Caja blanca: es en la que el auditor tiene todo el conocimiento y 
el privilegio. En otras palabras, el auditor tiene todo lo necesario 
para evaluar la seguridad de un sistema o aplicación. Por 
ejemplo, una auditoría de código sería de caja blanca, ya que se 
tiene acceso al código y se puede evaluar. Otro ejemplo sería la 
comprobación de la seguridad de la configuración de un servidor 
de correo electrónico, ya que de nuevo se tiene acceso y privilegio 
para poder evaluarlo.
• Caja gris: es la que sitúa al auditor en un rol de empleado sin privilegio 
o invitado a la organización. Además, el auditor, generalmente, 
ejecutará el trabajo de la auditoría desde el interior de la organización. 
El auditor estará en el día a día de la empresa. La auditoría de caja 
gris permite al auditor conocer algo del interior de la organización; 
por ejemplo, tener conectividad con algunos equipos internos, pero 
no tiene ningún tipo de privilegio en la red. Comúnmente, uno de los 
objetivos del auditor en este tipo de auditoría es obtener privilegio 
en la red para poder sacar un beneficio.
• Caja negra: es la que sitúa al auditor en un rol de atacante 
externo. El auditor no tiene ningún conocimiento sobre qué hay 
dentro de la organización o su estructura de red. El objetivo es 
evaluar hasta dónde podría llegar un atacante externo y cuánto 
daño se podría realizar a la organización.
3. Tipos de auditoría
Imagen 4 Tipos de auditoria
USER: admin
PASS: 123456
USER: paco
PASS: 123456
USER: ******
PASS: ******
Introducción al hacking ético | TELEFÓNICA // 11
Fases del proceso en una auditoría de seguridad
Generalmente, siempre se podrán realizar la mayoría de las 
siguientes fases en las distintas auditoríasde seguridad. Ahora, se 
enumeran las distintas fases del proceso:
• Footprinting. Esta primera fase propone recolectar información 
pública. También es conocida como parte del Information 
Gathering. Es una fase menos importante cuando el entorno es 
interno; por ejemplo, en una auditoría interna a una empresa. En 
el caso de una auditoría web y auditoría perimetral (ambas son 
caja negra) es una fase inicial importante. 
• Fingerprinting. Esta fase permite al auditor analizar los servicios 
localizados en la fase de footprint. El objetivo es claro conseguir 
información detallada de los servicios que ofrece la organización. 
El análisis de puertos abiertos, el análisis de mecanismos de 
protección y la obtención de versiones de aplicaciones expuestas 
es algo muy útil en una auditoría y se obtiene en esta fase. 
• Análisis de vulnerabilidades. En esta fase se analizan las 
vulnerabilidades conocidas sobre los servicios analizados 
en la fase de fingerprinting. Se suelen utilizar herramientas 
automáticas que tienen bases de datos de vulnerabilidades y 
se puede contrastar lo encontrado en el fingerprinting con la 
existencia de vulnerabilidades.
• Explotación de vulnerabilidades. En esta fase se lleva a cabo 
la explotación de vulnerabilidades en la fase de análisis de 
vulnerabilidades. Una de las herramientas que se verá en el 
módulo es Metasploit Framework, una de las más potentes 
herramientas de auditoría.
• Generación de informes. En esta fase se presenta el trabajo 
llevado a cabo por el auditor a la empresa que contrató el servicio. 
Hay dos tipos de informes: ejecutivo y técnico.