Definición del concepto hacking ético y cómo éste puede ayudar en la búsqueda de vulnerabilidades de seguridad, mejorando así la protección de la información de una emrpesa.

1. White paper
© 2015 Base10 Informática. All rights reserved. 1
El Hacking ético, las auditorias de seguridad o los Pen-testing son procesos dirigidos a
mejorar la seguridad del activo más importante de la empresa, la información. El
impacto económico de la explotación de una vulnerabilidad en un servidor o una fuga
de información en su red de datos puede reducirse, e incluso evitarse, tomando las
medidas adecuadas de protección.
Comprobar la seguridad perimetral, el bastionado de servidores, el estado de los certificados, la
seguridad de las aplicaciones, las fugas de información, etc… Todos esos procesos complejos
pueden ser testeados y verificados por un equipo técnico, y así promover los cambios necesarios
para reducir el frente de exposición de la red de datos.
“Si conoces a los demás y te conoces a ti mismo, ni en cien batallas
correrás peligro” – Sun Tzu, El arte de la guerra
Vamos a comenzar distinguiendo entre dos conceptos altamente controvertidos y
constantemente confundidos, de manera que nos permita entender la existencia de un “hacking
ético”. Estos términos son “Hacker” y “Cracker”.
El término hacker se utiliza para designar a alguien que posee elevados conocimientos de
sistemas y seguridad informática, los cuales utiliza en beneficio propio y/o de la comunidad con
la que comparte intereses; por ejemplo, los desarrolladores de software libre.
El concepto cracker (del inglés to crack, ‘romper’, ‘quebrar’) se utiliza para referirnos a los
“piratas informáticos”, es decir, las personas que contando con altos conocimientos en
sistemas informáticos (de la misma manera que los hackers), los utilizan para beneficio propio o
para la realización de actividades delictivas, como por ejemplo penetrar en las redes y acceder a
infomación protegida sin autorización.
De esta manera, hackers y crackers, son personas con conocimientos similares pero con ideas
totalmente distintas. De forma general, podemos establecer que el hacker posee un código de
ética al contrario que el cracker, cuyas intenciones son únicamente maliciosas.

2. White paper
© 2015 Base10 Informática. All rights reserved. 2
¿En qué consiste el hacking ético?
Se trata de utilizar conocimientos informáticos para realizar determinadas pruebas
denominadas pen-test1
, en redes, sistemas informáticos o aplicaciones web, para evaluar la
seguridad o comprobar el cumplimiento de la política de seguridad de una organización, de
manera que se puedan descubrir vulnerabilidades de seguridad y prevenirlas.
Hacking ético es un término que se utiliza para describir la actividad de “hackeo” realizada por
una empresa o un profesional individual con el objetivo de ayudar a identificar amenzas
potenciales en un ordenador o red informática de una compañía o institución pública. Un hacker
ético intenta evitar la seguridad del sistema y busca de los puntos débiles que podrían ser
explotados por los crackers. La información obtenida es utilizada posteriormente por la
organización, de manera que su sistema de seguridad pueda verse reforzado minimizando o
eliminando estos ataques potenciales.
La persona encargada de realizar los pen-tests debe seguir los siguientes procedimientos:
- Contar con una autorización expresa por escrito para realizar la penetración de la red en
busqueda de riesgos potenciales.
- Firmar un documento que incluya un compromiso de confidencialidad.
- Compromiso firmado de informar de todas las vulnerabilidades encontradas tras el análisis.
- Detalle de las vulnerabilidades encontradas y como evitarlas.
Todo esto debe ser presentado en un informe final denominado Ethical Hacking Report.
1
Conjunto de técnicas utilizadas para la simulación de un ataque informático en un escenario controlado, para evaluar
la seguridad de un sistema o de una red informática, y así encontrar vulnerabilidades.

3. White paper
© 2015 Base10 Informática. All rights reserved. 3
¿Por qué se deben realizar pen-test periódicos?
La seguridad de una red es un aspecto variable. Una compañía puede lograr un nivel de
protección óptimo en un momento determinado y ser completamente sensible poco después,
tras realizar ligeros cambios de configuración. Al mismo tiempo, aparecen asiduamente nuevos
fallos de seguridad.
A través del Hacking Ético es posible revelar el nivel de seguridad interno y externo de los
sistemas de información de una organización.
Los pen-test dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por
individuos ajenos a la organización.
Procedimientos o tipos de pen- test
Auditoría de Seguridad Externa o Perimetral – BlackBox
Detección de servicios y aplicaciones desde el exterior de la infraestructura sin conocimiento de
los dispositivos o servidores implicados en la gestión de la información.
En este tipo de análisis el “hacker” no tiene acceso al código, ni a la documentación. Lo único
con lo que cuenta para trabajar es la información pública de la aplicación. En este caso se
simula un ataque que podría llevar a cabo un cracker, el escenario más común es la
introducción de para obtener información.
• Fingerprinting:
o Descubrimiento de información publicada.
o Registros DNS: fiscalización, otros dominios, noticias, logs, imágenes.
• Escaneo:
o Detección de puertos y servicios.
o URL’s y servicios publicados.
• Detección y explotación de vulnerabilidades:
o Denegación de Servicio.
o Secuestro de navegadores.
o Cross-Scripting.
o Inyección SQL.

4. White paper
© 2015 Base10 Informática. All rights reserved. 4
Auditoría de Seguridad Interna - WhiteBox
Con el conocimiento de la infraestructura y los servicios provenientes tanto del análisis externo
como de la información proporcionada por el cliente, se pueden obtener resultados mucho más
exhaustivos, relativos a valores tan intrínsecos como las vulnerabilidades del propio sistema
operativo, motores de bases de datos y servidores de aplicaciones, además de los servicios que
se publican al exterior.
• Detección y análisis de Sistemas Operativos.
• Detección de parches y agujeros de seguridad de las aplicaciones.
• Escaneo de puertos y servicios interior.
• Análisis de la seguridad de la información publicada.
• Control de intercambio de información entre servidores.
• Protección frente a ataques desde el interior.
Auditoría de Seguridad Wireless
La funcionalidad y seguridad del servicio de acceso a la red de datos corporativa mediante un
acceso Wireless no tiene que ser incompatible con la seguridad de la información de la red de
datos cableada.
• Medición de niveles de servicio y cobertura.
• Detección de señales interferentes.
• Diseño y mejora de la calidad del servicio.
• Comprobación de seguridad frente a cracking de contraseñas.
• Protección y validación de usuarios.
• Detección de ataques desde el interior.
Ingeniería de infraestructuras
Con la información obtenida tras la realización de los pen-test tenemos dos soluciones:
- Proponer y mejorar la infraestructura actual de seguridad de la información de la
organización resolviendo las debilidades descubiertas.
- Crear una infraestructura nueva que proporcione mayor seguridadLa mejora, actualización y
optimización del diseño de una red segura es parte de ese mismo proceso de evolución.

5. White paper
© 2015 Base10 Informática. All rights reserved. 5
Beneficios
1. Comprobar el nivel de exposición de los sistemas de información ofreciendo un
panorama de las vulnerabilidades detectadas.
2. Reducción de los riegos relacionados con las vulnerabilidades detectadas.
3. Formación y concienciación respecto a una infraestructura y servicios seguros, que
redunda en una ventaja estratégica de la empresa frente a sus competidores.
4. Documentación, normalización y cumplimiento ajustado a los nuevos requerimientos
administrativos y/o reglamentarios.
5. Disminuir el tiempo de reacción y solución requeridos para afrontar situaciones
adversas en la organización.
Para más información:
Valencia Juan de la Cierva 27 Edificio Wellness 46980 Paterna 961169980
Alicante Muelle de Poniente, s/n, 03001 966140744
Castellón Vicente Gimeno Michavila, 11, 12003 964340027
media@base10informatica.com