Hacking Ético: ¿Que es? ¿Que objetivos persigue?

   Hoy vamos a hacer un pequeño acercamiento al concepto de Hacking Ético; ¿Qué es? ¿Objetivos?  y Herramientas.

   Definiciones del Hacking Ético profesional:

  • Consiste en romper la seguridad de una organización de forma sistemática y organizada con previa autorización escrita por dicha organización.
  • Es un método que permite comprobar los mecanismos de seguridad y verificar la postura de seguridad de una organización frente a un ataque.

   Esta práctica se ha convertido en una necesidad ya que es el único método efectivo para verificar la seguridad de una organización.

Antes de nada, vamos a aclarar ciertos conceptos que en muchas ocasiones se confunden.

¿Qué es un Hacker?

Podemos encontrar dos definiciones:

  • Persona con talento, conocimiento, inteligencia e ingenuidad, relacionada con operaciones de computadoras, redes, seguridad, etc.
  • Persona que disfruta aprendiendo detalles de los sistemas de programación y cómo extender sus capacidades, tan intensamente como, al contrario, muchos usuarios prefieren aprender solo el mínimo necesario.

   Luego de estas definiciones podemos extraer que un hacker es una persona inquieta apasionada por saber cada vez más, en este caso de sistemas informáticos. Y no la creencia común de que Hacker = malo. Así que para nosotros un hacker es un erudito de la informática a priori bueno.

formatear-ordenador

¿Qué es un Cracker?

   Es una persona que “rompe” algún sistema de seguridad. Los crackers pueden moverse por una amplia multitud de razones incluyendo fines lucrativos, protesta (Hacktivista) o por el simple desafío de conseguir el objetivo.

   Entonces concluimos que un Hacker Ético es un profesional de la seguridad informática que aplica sus conocimientos al hacking con fines defensivos y de manera legal.

   Hay que diferenciar también entre llevar a cabo un Hacking Ético (a partir de ahora HE) y un mero escaneo de vulnerabilidad. El HE es una metodología sistemática que verifica de forma efectiva la seguridad de una organización, sin embargo, un escaneo de vulnerabilidades es una prueba reducida y concreta que identifica vulnerabilidades.

   Debemos tener en cuenta que, en un escenario real, cuando un atacante intenta franquear nuestras defensas éste no tiene reglas que seguir.

Una buena metodología para el HE se compone de 6 fases:

1ª Preparación: Definición de parámetros de la prueba.

2ª Reconocimiento: Recoger información del objetivo.

3ª Escaneo: Identificación de puertos y vulnerabilidades.

4ª Explotación: Explotar las vulnerabilidades encontradas en la fase anterior.

5ª Análisis: Analizar la info obtenida, identificar riesgos y determinar mitigaciones.

6ª Informe: Documentos con resultados, riesgos, etc…

   Existen diferentes marcos de HE que podemos utilizar como punto de partida: PTES, OSSTMM, PTF, OWASP TF, NIST…

Herramientas para el Hacking Ético:

   Existen diferentes distribuciones para realizarlo, la mayoría de ellas basadas en Linux. Os dejo unas cuantas ya que son de libre acceso y distribución:

Kali Linux (La que yo utilizo a fecha de hoy)

kali

NodeZero

nodezero_7

BackBox Linux

backbox-linux

Blackbuntu

menu

   Y un largo etc. Ni que decir tiene que cada uno puede montar su propia distribución con la que nos sintamos más a gusto. Todas ellas contienen prácticamente las mismas herramientas.

   En resumen, hoy en día las empresas y organizaciones, ya sean grandes, medianas o pequeñas, poseen y manejan gran cantidad de datos, propios y/o de terceros. Estos deben ser convenientemente guardados y asegurados por ello se está creando una gran demanda de profesionales de la seguridad que mantengan a salvo esos datos.

   Espero que este artículo haya sido de vuestro interés. Ya sabéis que si tenéis cualquier duda o aclaración esperamos vuestros comentarios.

Un saludo

Alex G.

dest-mateo-algo

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s