Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FACULTAD DE INGENIERA
ESCUELA DE SISTEMAS
AUTOR:
OSWALDO ALEJANDRO TAMAYO VEINTIMILLA
DIRECTOR:
Ing. ANDRS JIMENEZ
El concepto de hacking apareci prcticamente en los aos sesenta, que, en esa poca, tena
otro significado, el de una persona preparada y que domina todas las ramas de la informtica.
Sin embargo, a partir de los aos ochenta, se reportaron varios crmenes cibernticos que,
hicieron que el trmino hacker cambiara de bando y se lo relacionara con el crimen
tecnolgico.
A partir de los aos 90, aparece una disciplina que trata de combatir el crimen ciberntico,
con sus mismas armas, el ethical hacking si bien, ataca las redes de datos de las
organizaciones, previene de futuros ataques y fortalece a las empresas que contrataron los
servicios de personas que dominan esta disciplina. Los ethical hackers como se los conoce
son, entonces profesionales que actan como delincuentes informticos a favor de la
proteccin de la informacin.
A partir de esa dcada, ambos bandos, tanto el criminal, como el preventivo se nutrieron de
nuevas iniciativas. Es por ello que el ethical hacking ha crecido hasta en la actualidad situarse
en un aliado para las empresas, y en este caso de las pequeas y medianas, que al no tener
un presupuesto alto como las grandes, quieren protegerse de alteracin de su informacin y
robo. Desde ese entonces, muchas metodologas se han desarrollado con diferente
orientacin, pero con el fin de cuidar los datos.
En la presente disertacin se tratarn temas como: que es un hacker sus valores y las diversas
metodologas y herramientas usadas, hasta el reporte final al cliente.
ii
DEDICATORIA
ii
AGRADECIMIENTOS
Quiero dar las gracias a mi pa y ma que son la razn por la cual puedo alcanzar mis objetivos
trazados a lo largo de mi vida. Su apoyo es trascendental para m. Adems, agradecerles a
mis amigos y compaeros de clase a lo largo de mi carrera, sin ellos la vida universitaria no
hubiera sido la misma.
Tambin, quiero agradecer a mi director de tesis, Andrs, gracias infinitas por las enseanzas
en esta etapa y en la carrera, a mis correctores por sus sugerencias y enseanzas, y a mis
profesores que a lo largo de la carrera impartieron su conocimiento.
Finalmente, y no menos importante por ello, agradezco a mi universidad la PUCE por todo
lo logrado.
iii
TABLA DE CONTENIDO
INTRODUCCIN ................................................................................................................. 1
Antecedentes ...................................................................................................................... 1
Justificacin ....................................................................................................................... 3
Objetivos ............................................................................................................................ 4
Alcance .............................................................................................................................. 4
Metodologa ....................................................................................................................... 4
2.2.4.3. Consultoras..................................................................................................... 14
iv
2.2.5. tica del hacker .................................................................................................. 14
v
4.1. Procesos comunes en Ethical Hacking ..................................................................... 62
Conclusiones .................................................................................................................... 70
Recomendaciones ............................................................................................................ 71
BIBLIOGRAFA ................................................................................................................. 74
ANEXOS ............................................................................................................................. 78
NDICE DE TABLAS:
NDICE DE FIGURAS:
vi
FIGURA 5. THREAT MODELLING _______________________________________________________ 40
vii
CAPTULO 1
INTRODUCCIN
Alrededor del mundo las computadoras son vctimas constantes de ataques de hacker que
pueden manipular e inclusive daar un sistema y sobre todo ser la causa de espionaje y robo
de informacin en tan solo unos instantes. Es por ello que es de gran importancia conocer si
los sistemas informticos y las redes pueden ser vulnerables o estar protegidas a todo tipo de
intrusos.
Es por ello que el Ethical Hacking aparece como una prctica en la cual, con el
consentimiento de la empresa a ser evaluada, se realiza una serie de pruebas o test que
acciones de prevencin ante un probable ataque por parte de los mencionados hackers. Estas
pruebas simulan ataques de diferente ndole, es por ello que resulta recomendable escoger
una de las metodologas de Ethical Hacking que se diferencian en los pasos, formas y
herramientas que utilizan para vulnerar las seguridades de las redes y de los sistemas.
pagadas o libres, y las tcnicas fundamentales para probar la vulnerabilidad de los sistemas
Antecedentes
equipos mviles, servidores, entre otros por parte de instituciones ya sea pblicas o privadas
1
informacin que cada una de estas contiene, aumenta considerablemente de valor debido al
potencial uso que se puede hacer con ella, ya sea beneficioso o perjudicial.
Es por esta razn que existen una o ms personas u organizaciones que juntan esfuerzos
robando informacin para sus diferentes fines delictivos, generando grandes prdidas
El objetivo primordial del Ethical Hacking, es brindar ayuda a las empresas para que de
esta forma tomen acciones preventivas en contra de estas acciones maliciosas; las medidas
de prevencin en las que se basa el Ethical Hacking son test de intrusin, los cuales examinan
servidores, aplicaciones web o mviles etc. Estos test simulan ataques controlados a las
El trmino hacking est asociado a actividades criminales sin embargo puede ser un aliado
cuando el gobierno de Estados Unidos dio luz verde a un grupo de expertos en seguridad a
atacar su sistema de computacin, de esta forma se asegur el nivel de la misma, es por ello
que en la actualidad la idea de probar un sistema atacndolo no suena tan descabellada; cabe
destacar que gracias a esta prctica se basa el concepto del Ethical Hacking.
funcionarios de las TICs determinar las diferentes vulnerabilidades que tienen sus equipos
Por todo lo mencionado previamente es que la razn de esta investigacin es analizar las
respectiva gua. Adems de que la idea de implementar Ethical Hacking en el pas madure
2
Justificacin
optado por automatizar su informacin, para que de esta manera manipular grandes
cuales deben soportar todo lo mencionado previamente. Es por ello que es fundamental en
diferentes empresas.
Para ello se realizar un anlisis comparativo tanto de las metodologas existentes como
de las herramientas de Ethical Hacking, con el objetivo de descubrir cul de ellas abarca
a PyMES.
conocimientos teniendo como objetivo un mejor manejo de informacin. Cabe destacar que
el desarrollo de tcnicas de Ethical Hacking favorecer a una mejor toma de decisiones por
parte de los encargados de la seguridad de las PyMES, lo cual incluye personal experto en
3
Objetivos
Desarrollar una gua tcnica estndar para aplicar herramientas de Ethical Hacking en
Alcance
datos de PyMES.
Metodologa
Para el presente proyecto se aplicar una metodologa lgico deductiva la cual indica que
juicios (Saldao, 2009, p.6). Es decir, est relacionada con bsqueda y personalizacin de
4
CAPTULO 2
MARCO TERICO
La seguridad informtica (Galdmez, 2003: web) al igual que en diferentes reas, se basa
en general de forma no autorizada y sobre todo malintencionada, es por ello que es necesario
la gestin de riesgo; es decir evaluar y cuantificar los bienes informticos como los datos,
disponibilidad de uso que tiene el personal, sin que afecte su uso; y finalmente la
Segn Lpez (2007: web), los elementos primordiales de la seguridad informtica son:
Integridad: los componentes del sistema no son alterados excepto por personal
autorizado.
Disponibilidad: los usuarios tienen al alcance todos los componentes del sistema y
en correcto funcionamiento.
5
Confidencialidad: solo pueden acceder a los distintos componentes del sistema por
usuarios autorizados.
Autenticacin: asegurar que solo los usuarios asignados tengan acceso a los
diferentes recursos.
los ataques a las diferentes redes de datos y sistemas tanto de organizaciones de cualquier
ndole, como a cualquier usuario. Segn Hernndez y Meja (2015: web) un estudio de
McAfee conocida por ser una importante empresa dedicada a la seguridad informtica, los
operativos.
la que un extrao puede insertar cdigo JavaScript o similar en las pginas web de
navegador de un usuario enva una peticin a una aplicacin web con debilidades de
6
La mejor forma de evitar ataques como los mencionados y otros, es la prevencin, y para
Black Box
White Box
Pruebas de penetracin
Pruebas pasivas
Pruebas activas
Tcnica Descripcin
Black Box Permite detectar vulnerabilidades en aplicaciones
web, basndose en un enfoque real, el del atacante.
White Box En sta tcnica, se tiene acceso al cdigo fuente, a
las credenciales vlidas, a la configuracin y datos
tcnicos del servidor.
Anlisis esttico de cdigo Se analiza el cdigo fuente directamente, para
poder determinar vacos de seguridad
Anlisis dinmico de cdigo Al hacer el anlisis, se comunica con la aplicacin
mediante front-end, para identificar debilidades de
la arquitectura de la aplicacin.
Pruebas de penetracin Simula ataques de delincuentes informticos. Se
analiza el sistema en busca de vulnerabilidades las
cuales pueden ser de configuracin, falla de
hardware o software, errores operativos en proceso
o contramedidas tcnicas.
Pruebas pasivas Analizan el trfico de telecomunicaciones. Su
caracterstica es detectar fallas mediante un examen
7
de livetrafficor log files o paquetes capturados.
(Mammar, Cavalli, Jimnez, 2011)
Pruebas activas Se usa un programador de subprocesos para
verificar si las advertencias reportadas en un
anlisis predictivo del programa son errores reales
Fuzz testing o pruebas de caja En una prueba al sistema usa datos aleatorios o
negra alterados para detectar fallas en el comportamiento
del sistema
Autor: Oswaldo Tamayo, marzo 2016.
2.2.1. Definicin
la mejor forma las diferentes amenazas y ataques por parte de los delincuentes informticos
o hacker, es un procedimiento en el que se acta como uno de ellos, para de esta forma
a cargo tiene la capacidad de reportar las vulnerabilidades que tenga el sistema y prevenirlas
y herramientas de software; con las cuales realizar pruebas para encontrar fallas, que luego
sern enviadas como reporte para tomar medidas preventivas. No se daar la red y su accin
(403lab, 2016: web), las cuales simulan un ataque a la red de la infraestructura o aplicaciones
8
Para poder garantizar que las redes de la infraestructura de una organizacin son
decisiones luego de ser reportadas las vulnerabilidades. El Ethical Hacking ms que una
herramienta pasa a ser una disciplina de la seguridad informtica que usa varios mtodos
para hacer test, estos incluyen a la ingeniera social, usa herramientas de un hacker, y dems
tcticas y artimaas que sirvan para violar la seguridad y entrar a las reas ms sensibles de
las organizaciones.
Otro concepto (Manikandan, 2013: web) define al Ethical Hacking como una tcnica
utilizada para evaluar y gestionar el riesgo informtico de una red, sistema o aplicacin. Esta
tcnica la realizan expertos en seguridad que simularn acciones de un cracker para tener
acceso no autorizado a un sistema, adems cabe sealar que estos expertos usan las mismas
Como conclusin y concepto propio, el Ethical Hacking adems de ser una tcnica y
disciplina como muchos expertos la definen; es una medida preventiva usada por las
organizaciones para evaluar que tan segura es la red de datos, aplicaciones y sistemas de
2.2.2. Hacker
La palabra Hacker ha sido malinterpretada desde sus inicios, durante los aos 90 se lo
asoci con el trmino cracker que significa una persona que desempea alguna forma de
9
Sin embargo, a pesar de la mala fama dada al trmino segn Villacorta (2005) su
significado es el de una persona con profundos conocimientos sobre una tecnologa. Esta
tiene ansias por saberlo todo, le gusta la investigacin y sobre todo lo que resulta ms fcil
descifrar (p.141).
Adems, Villacorta (2005) seala que entre las muchas variantes de hacker podemos
distinguir dos: los crackers y los lamers. El cracker es aquel hacker fascinado por su
sistemas. El cracker, a diferencia del hacker, rompe sistemas y se aprovecha con fines ilcitos
Por todo lo sealado previamente se puede definir a los hackers, como expertos en
autoaprendizaje y que disfrutan del proceso de aprendizaje y de ampliar sus capacidades sin
la obligacin de hacerlo.
Son los hackers maliciosos es decir personas que violan la seguridad de un equipo, una
red e inclusive crean virus informticos para sus fines. Estos crackers como los defin
10
buscan maneras de menor resistencia. Su principal motivacin es el valor monetario que
Son profesionales que tienen gran conocimiento en hacking y los usan con fines
preventivos, es decir actan con las tcnicas de los crackers, pero en lugar de usarla para
seguridades que hayan identificado como amenazas. Sus principales amenazas son los
Este tipo de hacker tiene tica ambigua es decir de acuerdo la circunstancia pueden
actuar como hacker de sombrero negro buscando como violar la seguridad de las redes
de datos, y en otras actan como hacker de sombrero blanco, es decir ayudando a las
empresas pueden confiar en sus servicios sin embargo al no tener una tica definida
Ethical hacker
Son profesionales que, al ser contratados por las diferentes organizaciones, gozan de
la confianza total de los empleadores. Al realizar las diferentes pruebas del sistema, este
profesional deber tener total confidencialidad para con su cliente, adems si se filtra
11
Durante las pruebas el hacker tico tiene todo acceso a los diferentes sistemas de la
organizacin para la que presta su servicio, es por ello que su profesionalismo y tica son
que se maneja durante los test o pruebas requiere medidas de seguridad altas. (Gimnez,
2011: web).
Cuando el ethical hacker realiza un anlisis de seguridad, puede requerir varias horas
y das de trabajo ya que en ciertas ocasiones su horario laboral ser en horas pocos usuales
en horas no esperadas.
Como se defini previamente, los hackers ticos trabajan a favor de fortalecer las
seguridades de las diferentes organizaciones para las que son contratados, debido a que
poseen gran conocimiento en seguridad informtica, programacin, redes entre otras ramas.
Consultoras
Tambin denominados ex crackers, son personas que antes se dedicaban a atacar las
12
en las redes usando su metodologa. Por causa de su pasado su credibilidad puede ser causa
La razn por la que se los contrata es por su notable dominio en cuanto a penetracin de
historia hay muchos ejemplos en los que en ocasiones demuestran estar del lado del bien
y en otras del opuesto. A continuacin, hay algunos ejemplos en los que este grupo de
En el 2010 revelaron una falla de seguridad de AT&T, dicha falla permita conseguir
vulnerabilidad.
aquel ao registraban lo que el usuario visitaba. Por esa razn Apple declar que solo
registraba las torres donde el telfono poda tener acceso. (Zarza, 2015: web).
estos hackers estn del lado del bien, es pagarles una gran cantidad de dinero para que de
esta manera estn en su equipo. Por ejemplo, Microsoft paga hasta $150000 por encontrar y
Facebook en la que expona el nmero de telfono de los usuarios y por esta razn le pagaron
13
2.2.4.2. Hacker de sombrero blanco
Como se los defini previamente, usan las mismas tcnicas y tienen habilidades similares
que los crackers o hacker de sombrero negro. Pueden trabajar externamente (consultoras) o
2.2.4.3. Consultoras
de seguridad que avalan su trabajo. Sin embargo, dentro de sus empleados pueden estar
hacker de sombrero gris, hacker de sombrero negro reformados o hacker de sombrero blanco.
hacker es relativamente nueva comparada con la de otras ramas y ciencias, y est aplicada a
La tica hacker es atribuida a Steven Levy quien relata en su libro Hacker: Heroes of the
Computer Revolution acerca del incremento de hacker en Estados Unidos, adems describe
y define los principios de la tica hacker. Estos se los puede generalizar como el acceso libre
de vida de los seres humanos; basados en estas dos ideas se han fomentado las bases de las
Pekka Himanen (2001: web) seala que en la era de la tecnologa de la actualidad existen
hacker los cuales los define como personas apasionadas a la programacin y que para ellos
el compartir y desarrollar software gratuito es una forma de ser. No se los debe relacionar
con los crackers que su objetivo es introducirse en un sistema o crear virus para daar. Por
14
ello la tica hacker es una disciplina filosfica que desafa a la tica protestante del trabajo
debido a que se basa en la creatividad y combina libertad y pasin. El valor monetario queda
Segn Himanen (2001: web) los valores orientados a la vida del hacker son:
Libertad: debido a que los hackers organizan su jornada de trabajo como flujo
Verdad
Anticorrupcin
Igualdad social
Curiosidad
Creatividad
Cabe destacar que todos los sistemas al ser desarrollados por humanos son inseguros;
15
Cabe destacar que es posible atacar la seguridad de un equipo de cmputo desconectado
que mediante seales electromagnticas puede infectar un computador. Este malware extrae
datos de manera remota mediante las pequeas seales electromagnticas de la tarjeta grfica
del equipo con el monitor a modo de antena cada vez que se teclea. Adems, es necesario un
telfono inteligente con receptor de radio FM para recibir las pulsaciones. (Gimnez, 2011:
web).
gran demanda de servicios de red, adems de una direccin IP, se especifican estos servicios
mediante puertos. Por ejemplo, cuando se requiere una pgina web, por ejemplo, la solicitud
se realiza mediante un determinado puerto del ordenador a un puerto del servidor web. En
causa de estos que suceden intromisiones por los hackers, razn por la cual estos puertos
deben permanecer cerrados, es decir solo tener el puerto que se usar, y los dems tenerlos
desactivados.
imprudente creer que un ataque por esta va es poco probable; la realidad es diferente ya que
todos los equipos Windows Vista, Windows 7, Windows 8, Windows server 2008,2008 R2
y 2012 vienen configurados por defecto; en los entornos actuales es muy probable que IPv4
est en convivencia con IPv6. Uno de los ataques en redes de datos IPv6 por su sencillez
es el Neighbor Spoofing. Segn Alonso (2012: web) es habitual que una computadora enve
comunicarse con otro, y el equipo que tenga la direccin IPv6 responda al mensaje multicast
con un mensaje unicast de Neighbor Advertisement NA con su propia direccin fsica MAC;
el receptor del mensaje NA guardar en la tabla de vecinos la direccin IPv6 con la respectiva
16
MAC asociada. Sin embargo, al igual que en IPv4 con el protocolo ARP un atacante puede
enviar un mensaje NA sin haber recibido el mensaje previo de NS y hacer que la cach de la
Es decir, identificar el objetivo, por lo general este puede ser elegido al azar o identificado
informacin de los puertos usando herramientas (Gimnez, 2011: web) como netcat o nmap,
estas permiten detectar los puertos abiertos o disponibles de una mquina, es decir qu
servicios estn activos. Despus de esto el hacker tiene su fuente de datos sobre su objetivo
como: la topologa de red, versin y tipo de sistema operativo que tienen los servidores y si
organizacin, sus usuarios etc. El hacker ahora deber tener la capacidad analtica de estudiar
la informacin que posee para identificar vulnerabilidades, los accesos y puertas de escape.
Los hackers harn uso de servicios como telnet, ssh o ftp para entrar a otros equipos, sin
embargo, deben tener un usuario y una contrasea. Cabe destacar que los servidores tienen
sistemas operativos como Unix y sus derivados (Linux, AIX) o Windows NT, en donde los
Los hackers para poder entrar al sistema tienen que conseguir la carpeta o fichero
17
nombre de usuario de todos los que pertenecen al sistema a vulnerar. Por esto buscan
versiones, con el fin de ejecutar bugs o falencias de programacin y que sirvan para hacer la
entrada ms fcil. Estos bugs son fallas de los sistemas operativos o de las aplicaciones
que corren en los servidores que al ser desarrollados no han sido corregidos y que al ser
atacados de diversas formas permiten el acceso a un sistema. Las aplicaciones pueden ser
servidores de pginas web o puertos de red mal configurados como http, smtp, ftp, que son
Supongamos que el hacker ha obtenido el fichero o carpeta passwd, por lo general este
archivo est encriptado, su siguiente paso ser descifrarlo para obtener la contrasea y el
usuario respectivo. En la actualidad, existe un mtodo que hace invisibles las contraseas
denominado shadow, sin embargo, segn (Gimnez, 2011: web) no es una proteccin
segura ya que cualquier hacker con conocimientos al respecto y con paciencia puede ser
Es por ello que cuando el hacker ha conseguido entrar al sistema usando un usuario
cualquiera, buscar ahora ser un usuario root. En el rea de computacin un usuario root es
aquel que tiene absoluto poder en un sistema, es decir puede revisar el correo de los usuarios,
instalar programas de cualquier tipo y dems. Al haber ingresado al sistema como un usuario
cualquiera, el hacker usa exploits, que segn Albors (2014: web) son programas o cdigos
atacante saca ventaja, es decir es como una llave maestra que permite abrir cualquier puerta
18
c) Borrar las huellas
Cuando el hacker ha accedido al sistema como usuario root, es comn que deje un
sistema. Adems, es importante borrar los registros logs, que indican el instante en que fue
alterada la seguridad.
Antes de saber los beneficios que conllevan aplicar Ethical Hacking en una organizacin,
Informar acerca de los problemas de seguridad encontrados durante los diversos test
Actualizar los sistemas que son vulnerables por falta de las mismas
o software, como switches, routers, firewalls que podran causar fallas de seguridad.
2.3. PYMES
2.3.1. Definicin
Segn el sitio web del Servicio de Rentas Internas (SRI, 2015: web) PYMES es la
activos.
19
Segn el grupo Enroke (2014: web), el concepto vara de acuerdo a la economa de un
pas, es decir si la empresa tiene un volumen de venta de unos $10000000 al ao, se considera
pequea o mediana empresa en un determinado pas, pero en otro puede ser una empresa
grande. De igual forma una empresa que solo tiene un trabajador puede generar ms ingreso
que la que tenga 20 o ms. En el pas una pequea o mediana empresa se mide de acuerdo a
Es decir, una empresa es pequea o mediana si tiene una cantidad limitada de personal,
En el pas existen 3 tipos de negocios: las microempresas, las PyMES y las empresas
grandes. La gran diferencia es que las microempresas tienen un volumen de venta que no
supera los $15000 anuales; las empresas grandes segn la revista Vistazo o Lderes, tienen
un volumen de venta en el pas que va desde los $20 millones hasta los $1000 millones
anuales. Con estos parmetros una pequea y mediana empresa en el Ecuador en trminos
de volmenes de venta es aquella que va entre los $15000 y $20 millones anuales. (Enroke,
2014: web).
2.3.2. Caractersticas
Recursos limitados
Adems de las caractersticas sealadas, segn Morales (2012: web) en el pas las
20
Fortalezas de las PYMES
ya que existen factores internos y externos que en el pas son similares a los de
Caractersticas de la industria
21
CONQuito, realiz una encuesta a 202 empresas manufactureras de Quito, sus condiciones
resultados, se concluye que los sistemas de informacin no son an el eje de gestin en las
PyMES, pero que de a poco, especialmente las grandes y medianas empresas estn
mejorando sus prcticas. Cabe destacar que varias empresas familiares atraviesan un cambio
grandes, con un costo elevado, hoy en da todas las empresas pequeas y medianas, usan
aplicativos diversos como: correo electrnico, archivos en la nube, o pgina web, es muy
probable que si requieren asistencia de un analista de sistemas para una rpida evaluacin
de seguridad sera conveniente para ambas partes el pago de mucho menos de lo que cobra
una empresa de ethical hacking. Este podra ofrecer sus servicios para proteger a la empresa,
metodologas.
Por ello se puede realizar mucho dao a las instituciones pblicas, al poder alterar su
informacin y por ende al ciudadano comn. A pesar de esto, en el 2002 se cre la ley de
comercio electrnico y mensajes de datos con la cual se agrega al cdigo penal artculos
22
sistemas de informacin; para vulnerar el secreto, confidencialidad y reserva, o
Esta ley lo que indica es el castigo para las personas que quieran obtener passwords
usando cualquier mecanismo ya sea fsico o virtual. La pena puede ser prisin y multa
reclusin menor de 3 a 6 aos y una multa de dos mil a diez mil dlares de
obtener la informacin.
nueve aos y una multa de dos mil a diez mil dlares de los Estados Unidos
23
informacin privada, al ser condenado, es el caso que mayores aos de prisin
tiene en el pas.
El artculo 202 se rige para los casos en que, ya sea la forma en que obtuvieron la
informacin, sea esta cedida por el dueo u obtenida de forma ilegal, no pueden
sern sancionados con una pena de prisin de 2 meses a 2 aos y una multa de 1000
informacin importante y trascendental para la empresa, cabe destacar que esta data
persona o personas que con nimo de lucro o bien para causar un perjuicio a un
24
informacin incluida en stos, que se encuentre contenida en cualquier soporte
diferentes de las que hubieren hecho. (Pez, 2009: web). Este caso, detalla la
o intervenciones errneas.
dlares. (Pez, 2009: web). Finalmente, este artculo, indica castigar por la
Es importante sealar que, si bien las leyes contra el delito informtico existen een
25
26
CAPTULO 3
ethical hacking, cada una de ellas se basa en una metodologa propia, sin embargo, cabe
resaltar que todas ellas realizan un test de intrusin el cual, dependiendo la certificacin, la
la informacin.
mejor a las necesidades de las empresas? Segn una de las metodologas ms importantes
como es la OWASP (2016: web), realizar un test de intrusin o pentest, nunca es una ciencia
exacta, ya que existen un sinnmero de factores y diversos problemas y riesgos que deben
Las metodologas que se analizarn a mayor detalle, son procesos de larga duracin que
estarn en funcin de las necesidades y al alcance de cualquiera, ya que son de libre uso.
Estas ofrecen una posibilidad de usarlas tanto para beneficio propio o de la empresa a cargo
como para realizar aportes a una comunidad de internet. Por lo general, las personas que
ponen en prctica estas metodologas poseen una preparacin precisa, sino que tambin
hacking; en este captulo se detallarn las fases de stas para poder tener como referencia al
analizarlas y compararlas.
ethical hacking, las cuales son facilitadores para su trabajo, el cual consiste en buscar
27
vulnerabilidades orientadas a pequeas y medianas empresas. Cabe destacar que, si son
si se pueden usar.
3.1.1. OWASP
El mtodo de aplicacin que usa OWASP se basa en una aproximacin de tipo Caja
negra; es decir el hacker tico no conoce nada o tiene muy poca informacin sobre la
Fase Pasiva:
Segn Prez (2012: web) la fase pasiva trata en hacer pruebas en la cual analiza a la
aplicacin en su parte lgica, la cual est en etapa de prueba, adems se puede comprobar
si lanza algn dato que signifique una puerta abierta u oportunidad para de esta forma,
Fase Activa:
El hacker tico prueba los procesos recomendados de sta metodologa que costa de 9
subcategoras y 66 procesos:
28
Pruebas de autenticacin o Authentication Testing
Herramientas Descripcin
Pruebas: spiders, robots, y Recuperan una pgina web y luego recursivamente a travs de hipervnculos, los
rastreadores o crawlers usan para recuperar el contenido web. Este comportamiento es especificado en el
(owasp-ig-001) archivo robots.txt el cual est el directorio web root.
Search engine Tiene elementos directos e indirectos para buscar en los motores de bsqueda. Los
discovery/reconnaissance o directos realizan la bsqueda en ndices y contenido en las caches. Los indirectos
Descubrimiento y recabar o buscar informacin del diseo e informacin de configuracin usando
reconocimiento de motores de foros de bsqueda y sitios web de licitacin.
bsqueda (owasp-ig-002)
Identify application entry Enumera la aplicacin y la superficie de ataque, es decir la describe
points o Identificacin de los superficialmente lo cual es clave antes de cualquier prueba ms especfica, ya que
puntos de login o entrada de la permite que el tester identifique reas de posible debilidad.
aplicacin (owasp-ig-003)
Testing for web application Permite conocer la versin y tipo del servidor web, es fundamental para los
fingerprint o Pruebas siguientes pasos.
fingerprint enfocadas en
aplicaciones web (owasp-ig-
004)
Application discovery o Permite saber las aplicaciones y el tipo de estas que corren sobre un determinado
Descubrimiento de servidor, entre los cuales puede ser apache tomcat, jboss,swat etc.
aplicaciones (owasp-ig-005)
29
Analysis of error codes o Es comn que las aplicaciones indiquen las vulnerabilidades que tienen, muchas
anlisis en los errores de de ellas detallan inclusive el sistema operativo, el puerto y el protocolo de
cdigo(owasp-ig-006) seguridad que usa, lo cual facilitar el ataque. Por ejemplo, el error 404 da el
siguiente mensaje:
Not found: que indica que la pgina web en esa direccin no fue encontrada
The requested URL /page.html was not found on this server. Aqui especifica lo
que se mencion, sta pgina web no existe en el determinado servidor.
Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g DAV/2 PHP/5.1.2 Server at
localhost Port 80: y aqu provee informacin como el nombre del servidor y su
versin (Apache 2.2.3) el sistema operativo, a pesar de que no especifica que
particin de Unix es, el protcolo que usa openssl, el lenguaje de programacin de
la aplicacin que es php y el puerto 80.
Herramientas Descripcin
SSL/TLS Testing o Pruebas SSL/TLS Permite verificar que tan robusto es el cifrado de la aplicacin a la que se estudiar.
(OWASP-CM-001)
DB Listener Testing o Pruebas a los Permite verificar la configuracin de la base de datos del objetivo, como los
puertos de la Base de datos (OWASP- puertos, el servidor etc.
CM-002)
Infrastructure Configuration Analiza los fallos de infraestructuras web, uno muy simple puede dejar al
Management Testing o Pruebas de descubierto a la infraestructura, esto puede ser el sistema operativo, los puertos y
Gestin de configuracin de protocolos de seguridad usados.
infraestructura (OWASP-CM-03)
Application Configuration Al estudiar el cdigo fuente de las aplicaciones, se puede quedar en evidencia
Management Testing o Gestin de algunos datos sobre los procesos de configuracin.
pruebas de configuracin de la
aplicacin (OWASP-CM-004)
Testing for File Extensions Handling o Existen archivos con extensiones php, asp, jsp entre otros, que revelan que servidor
Pruebas de extensin de archivos de trabaja en las aplicaciones y sus probables conexiones
manipulacin (OWASP-CM-005)
Old, Backup and Unreferenced Files Todos los archivos que se puedan descargar o sean legibles, copias de seguridad
(OWASP-CM-006) entre otros, pueden indicar rutas de instalacin, nombres de usuario o passwords.
Infrastructure and Application Admin La mayora de aplicaciones web, por lo general tienen una interfaz administrativa
Interfaces (OWASP-CM-007) la cual puede ser atacada, o tener una configuracin dada en la instalacin. Eso
facilitar el ingreso, puede ser el caso de routers que tienen interfaz web para
facilitar el uso a usuarios con poco conocimiento.
Testing for HTTP Methods and XST o Prueba que el servidor objetivo, permita o no el uso de comandos xst y http
Pruebas de mtodos HTTP y XST
(OWASP-CM-008)
Autor: Oswaldo Tamayo, mayo 2016
30
iii. Authentication testing O Pruebas de Autenticacin
Indica el perfil y a que usuario pertenece. Las principales herramientas segn Prez
Herramientas Descripcin
Credentials transport over an Permite identificar si se usan protocolos seguros o no, los cuales pueden proteger
encrypted channel (OWASP-AT-001) de ataques
Testing for user enumeration Pruebas de resistencia a ataques de fuerza bruta como querys en el registro de
(OWASP-AT-002) datos, y entrada al sistema por extraos.
Pruebas para invitados con cuentas de Permite encontrar cuentas de usuarios existentes por defecto.
usuario o Testing for Guessable
(Dictionary) User Account (OWASP-
AT-003)
Brute Force Testing o Pruebas de Si falla el encontrar cuentas de usuario en el ataque mencionado previamente,
fuerza bruta (OWASP-AT-004) garantizar otro mediante intentos de fuerza bruta, como atacar la autenticacin
con cuentas falsas para que el servidor colapse.
Testing for bypassing authentication Es comn que existan recursos no protegidos, pero no por ello se los debe
schema o Pruebas para saltarse el descuidar ya que se puede acceder a ellos sin utilizar el proceso de login (bypass)
Sistema de autenticacin (OWASP-
AT-005)
Testing for vulnerable remember Se relaciona con la funcin de recordar la contrasea en los navegadores, es
password and pwd reset o Pruebas importante tener precaucin al respecto
para recuerdo de contraseas
(OWASP-AT-006)
Testing for Logout and Browser Cache Analiza si se sali o no del sistema correctamente usando la funcin log-out.
Management (OWASP-AT-07)
Testing for CAPTCHA o Pruebas para Existen versionas de captcha que son vulnerables lo cual permite que los bots de
Captcha (OWASP-AT-008) registro masivo y ataque ddos sea ms fcil..
Testing Multiple Factors Sirve para realizar pruebas a dispositivos que tienen certificados para
Authentication o Pruebas de factores autenticacin y que son legtimos.
multiples de autenticacin (OWASP-
AT-009)
Pruebas en condiciones reales o Son difciles de desarrollar e instalar. Los resultados son improbables y muestran
Testing for Race Conditions (OWASP- impacto en otras tareas. Ej. Aplicaciones mutihilo.
AT-010)
Autor: Oswaldo Tamayo, mayo 2016
Segn la pgina web de OWASP (web: 2014) las principales herramientas en esta
fase son:
31
Testing for Session Management Schema (OWASP-SM-001)
Usualmente, se ataca a las cookies, las cuales para evitarlo deben estar protegidas.
reutilizadas.
expuesta (OWASP-SM-004)
al sistema.
(OWASP-SM-005)
sistema que se est registrado. Adems, los roles de usuario y los niveles de
(OWASP; 2014; web). Las principales herramientas, segn Prez (2014: web) son:
32
Esta prueba permite acceder a informacin confidencial a travs del ataque de ruta
transversal.
autorizacin (OWASP-AZ-002)
Como se desarroll cada rol de usuario y que privilegio tiene en el sistema para
003)
Se debe revisar que no es posible modificar los roles de usuario y los privilegios de
Es una forma que se basa en la creatividad del hacker para acceder a un sistema web.
muchas maneras, pero lo que se establece en esta fase es pensar de manera nica y
Son tcnicas estables y conocidas para atacar a sistemas como croos site scripting o
XSS, sql injection y otros. Las principales tcnicas segn Prez (2012: web) son:
Testing for Reflected Cross Site Scripting o Pruebas de cross site scripting
Testing for Stored Cross Site Scripting o Pruebas de cross site scripting en data
almacenada (OWASP-DV-002)
33
Testing for DOM based Cross Site Scripting o Pruebas para DOM basadadas en
xss (OWASP-DV-003)
OS Commanding (OWASP-DV-013)
Se lanzar una secuencia de comandos del sistema usando una bsqueda http.
smuggling (OWASP-DV-016)
que no se puede procesar. (OWASP; 2014: web). Las herramientas usadas en la fase
son:
(OWASP-DS-001)
002)
34
User Specified Object Allocation o Asignacin de objeto especificado por el
usuario (OWASP-DS-004)
(OWASP-DS-005)
en el disco (OWASP-DS-006)
DS-007)
001)
002)
004)
REST (OWASP-WS-005)
WS-006)
35
Replay Testing o Pruebas de repeticin (OWASP-WS-007)
x. Pruebas Ajax
XML, la cual es una tcnica usada para determinar si se tiene respuesta de dos
uso de escritorio. Son de gran utilidad, sin embargo, desde un punto de vista de un
atacante, ofrecen una amplia superficie de vectores de ataque. (Prez; 2014: web).
imagen que refleje la evaluacin hecha la cual debe ser lo ms exacta posible.
Las fallas encontradas son importantes, sin embargo, son solo de referencia de los
Lo que significa que, si algo pasa, se puede despreciar el riesgo siempre y cuando
36
2. Que factores o datos ese us para determinar la probabilidad del riesgo o de q
suceda.
(valoracin numrica).
5. Decidir qu corregir.
6. Adaptar el moldeo de valoracin del riesgo con medidas propias. (Perez; 2012:
web).
Segn la pgina del penetration testing execution standard (web: 2014), es una gua de
expertos de seguridad y realizar una gua estndar que favorezca los procesos de auditora
Pre-engagement Interactions:
37
Se define el alcance que tendr el test de intrusin. Adems de tendr un acuerdo con el
cliente de la profundidad o grado de impacto que tendrn las pruebas a realizar, si el test ser
caja negra, gris o blanca y dems puntos a destacar. (Prez; 2012: web)
Intelligence Gathering
que permitir conocer que se est estudiando y de los recursos de la empresa. Adems,
38
incluye informacin del sistema, planificacin de la organizacin, Se analiza e identifica
interna y externamente a los servicios, mapeo, VoIP, protocolos que estn disponibles. Se
uso de redes sociales. Se puede incluir aspectos competitivos como planes de marketing o
Threat Modeling
Al obtener la informacin previa en las dos fases previas, se procede a definir las lneas
realizado para poder definir vectores de ataques posteriores. (Prez; 2012: web).
39
Figura 5. Threat modelling
Vulnerability Analysis:
El nombre de esta fase indica que se analizarn las vulnerabilidades, de forma activa y
organizacin para buscar de forma manual y automtica las vulnerabilidades existentes. Esta
informacin que hace referencia a servicios, redes y web scanner, VoIP entre otros. Una vez
que se identifican los puertos, se analizan posibles ataques y se validan las opciones reales a
40
atacar y se comprueba que se puede realizar incluyendo el riesgo que esto conlleva. Existe
una sub-fase de Investigacin en la que se revisa todo lo encontrado en internet sobre las
que es lo mismo, se tendr total seguridad de las medidas preventivas tomadas (Prez; 2012:
web).
Exploitation:
En esta fase se incluye la evasin de host intrusin detection system o HIDS y de network
intrusin detection system o NIDS, ambos son programas cuya funcionalidad es la deteccin
Se harn revisiones a todo lo probable, es decir desde el acceso fsico como USB, hasta
las redes Wireless, se asegurarn contramedidas de bypass una vez detectadas, cabe destacar
que esto depender de los servicios activos que tiene la empresa. (Prez; 2012: web).
Post exploitation
La fase sirve para recopilar o almacenar pruebas y como poder calificarlas en el punto
conexin inversa). Son demasiados los riesgos que se corre al tener una red vulnerable, es
por ello que se debe hacer la pregunta: Qu se pueden llevar de mi organizacin? Es por
ello que tanto desde el rea de auditora de sistemas como de la gerencia se deben centrar
datos (voz, video, cintas, discos, USB), realizar backups peridicos a la documentacin, etc.
41
Hay que prestar mayor atencin a los ataques que estn dirigidos a directamente al negocio
como lista de clientes, copias de seguridad borradas o discos daados, etc. Es importante
mencionados. Adems, la auditora que se realizar usando esta metodologa deber ser
limpia, es decir, no dejar rastro; garantizar que todo sistema sea recuperable. (Prez; 2012:
web).
Reporting:
En esta fase, contiene los reportes tanto ejecutivo como tcnico que se entrega al finalizar
el estudio de la organizacin.
Los puntos relevantes en el reporte deben ser las razones por las cuales la organizacin
solicit el test. Despus deben ir los riesgos clasificados por prioritarios. Despus las
vulnerabilidades encontradas, y se confirman que dichas fallas fueron explotadas, junto con
Analizar el grado de exposicin que tienen los activos de la empresa es decir si estn al
riesgos derivados.
Finalmente se debe incluir un informe, el cual como se mencion previamente debe ser
tcnico sealando los puntos indicados, y un informe ejecutivo, dirigido al gerente o CEO
de la organizacin o empresa.
42
3.1.3. ISSAF
Esta metodologa ha sido creada para evaluar o probar una red, sistemas y aplicacin de
controles, segn Prez (2013: web) los controles mencionados abarcan IEC/ISO
27001:2005(BS7799).
Segn Prez (2013: web) esta metodologa es usada en su mayora para cumplir con los
informacin.
Adems, se menciona en el sitio web que tiene criterios de evaluacin bien definidos, los
Esta metodologa usa un enfoque que en la prctica se realiza en 3 etapas o fases y se analiza
Planificacin y preparacin
Evaluacin
Planificacin y Preparacin
mencionar que se firmar con el cliente un contrato profesional en el cual se delimitan las
reuniones de trabajo para definir el alcance del test, su enfoque y que metodologa o
43
metodologas usar, se limitan las pruebas y se dan rutas de escalamiento y se establecen las
Evaluacin
En esta fase se realiza el test de penetracin o intrusin definido anteriormente; este test
est enfocado por capas en donde cada una de ellas tiene un nivel a detalle mayor de los
En esta capa se exploran las posibilidades de ataques, los cuales podran ser dentro
de la red o fuera de ella. Es vlido cualquier documento, que podra comprometer los
manera que se desconozcan los datos precisos sobre los dueos de dominios).
Tiene gran similitud con OWASP y con PTES, pero ISSAF adems de detallar las
capas, explica ejemplos de herramientas de posible uso muchas de las cuales son
recomendadas por expertos (dig, nslooup, nmap etc.). (Prez; 2012: web).
de los hosts, servidores y puertos activos en los ordenadores, Netbios, que uso
determinado tienen, los sistemas operativos de uso, las cuentas y privilegios de estas,
En esta fase se profundiza ms acerca de los sistemas que son objetivos. Es decir,
todas las herramientas y tcnicas de intrusin masiva como nikto, nessus, opnevas,
whisker entre otras, estars preparadas para el despliegue. (Prez; 2012: web).
44
Entre la planificacin entran los siguientes tems dados en el siguiente orden:
Servicios vulnerables
Listas de vulnerabilidades
encontradas.
Impactos probables
matriz en la que se establece el riesgo por color y el impacto que se supone tendra
En esta fase se realizan pruebas de concepto para, las cuales son hechas a la medida
hasta el usuario root, ya que de esta forma se pueden controlar y manipular los
archivos de los sistemas y a los mismos. Es por ello que se prueban todos los usuarios
posibles.
45
En esta fase se realizan ataques a las contraseas, se capturan los paquetes del trfico
contraseas, esto lo realizar dentro o fuera de la red objetivo. En esta fase, se usar
firewall en escritorios remotos de los usuarios para de esta forma evitar tener va libre
El objetivo es que el control a los sistemas comprometidos sea eficaz y sobre todo
pase desapercibido para el resto de los usuarios y/o administradores. Se usan canales
SSL tneles, proxys, ssh entre otros. La forma ms general de control oculto de varias
Un crimen nunca es perfecto, pero por lo menos intentarlo vale la pena, es por ello
que en esa fase se trata de cubrir todas las pistas, se usan los mtodos de ocultacin
La siguiente imagen, muestra las reas que hay que tomar en cuenta en la fase de
46
Figura 6. Fases de evaluacin ISSAF
Fuente: dataceta.unad.edu.co
Verbal
Solo se informa si existe una o varias vulnerabilidades graves, es decir que afectan
Informe final
47
o Alcance global del proyecto.
o Herramientas utilizadas
propuestas de solucin.
ser tan extensa. Es constantemente actualizada, y su ltima versin es la 4ta, sin embargo, la
3ra es la que se usa debido a su estabilidad. Cabe destacar que no existe una traduccin
Segn su pgina oficial (OSSTMM, 2016: web) su diseo se pueda repetir varias veces,
Son 7 los pasos para definir las pruebas que realizar el analista, definidas a continuacin:
Definir los mecanismos de control los cuales son controles que, pondrn a prueba los
mecanismos y servicios que protegen los activos, es por ello que es primordial
identificarla.
48
Definir la zona externa la cual es necesaria para proteger las operaciones de los
Definir el alcance del test, si este interactuar dentro o fuera de la empresa. Los
vectores indicarn las direcciones de la interaccin, los cuales pueden ser dentro-
La interaccin entre vectores puede pasar en varios niveles; los cuales pueden ser
varios, pero se han separado a 5 canales por funcin, y cada canal deber ser probado
Asegurarse que las pruebas que se realizarn, cumplan las reglas de Acuerdos o
expectativas.
significa que ser orientada solo para esta metodologa, es decir en la prctica se puede
tcnica, se reflejar en el tipo de test que se haya elegido. Estos podran ser:
sin tener conocimiento de las defensas, canales (vas de acceso) o activos. El tipo de
preparacin.
49
Double blind: o tcnica black box, ya que no se tiene idea de lo que se puede
veces. Igual que el tipo de test previo, depende mucho del nivel de preparacin del
auditor.
Gray box: en este tipo de test, el hacker conoce todo acerca de los canales (vas de
acceso). Es posible determinar el alcance del test. La eficacia de este test radica en
pruebas.
Double gray box: o White box, en la cual el auditor, tiene conocimiento limitado de
las defensas y activos, pero tiene un conocimiento total de los canales. Se diferencia
del test previo en que no solo depende de la calidad de informacin recibida, sino del
Tanto el cliente como el auditor saben los trminos de la auditora. Se probarn los
controles aplicados, as como proteger el objetivo con test reales. El xito depende
de la meticulosidad en la que se preparan los test para tener una visin general de
El hacker tico deber informar en un reporte sobre el o los test que utiliz.
50
Alcance (Scope):
Son 3 las vas de acceso o canales que comprende el alcance, las cuales son
51
A continuacin, se detalla a mayor nivel los canales y las secciones referidas:
El alcance del trabajo debe estar definido perfectamente antes de realizar la auditora.
Adems, la planificacin de cada prueba debe ser hecha para cada uno de los miembros del
52
Resultados de los test:
de ethical hacking las usan como valores aadidos en el trabajo, pero no son obligatorias.
OSSTMM.
Segn esta metodologa y su pgina web (OSSTMM; 2016: web), para elegir el test ms
adecuado para cada empresa, es importante comprender como estn diseados los mdulos
Fase regulatoria
Fase de definiciones
Definido lo que se quiere alcanzar, se tiene constancia real de la definicin precisa y clara
Fase de informacin
a relucir en esos casos a los activos mal ubicados, desatendidos y mal gestionados.
Por lo general es la fase final de los test. En ella se asegura el grado de las perturbaciones
o ataques, el efecto de la informacin extrada, la cual no puede ser dada a conocer hasta
53
que otras fases hayan sido llevadas a cabo. Adems, se debe verificar que las conclusiones
son reales.
Despus de haber analizado a mayor detalle las distintas metodologas que existen, es
importante poder compararlas para de esta forma tener ms claro que ofrece cada una de
ellas, sus ventajas, desventajas, organizaciones a las que estn enfocadas, facilidad y otros
54
Mtodos \ ISSAF PTES OWASP OSSTMM
Patrones (tems)
Niveles de detalle No tiene elementos de cloud Sus procesos estn detallados y Ayuda al auditor en la ejecucin de su No es tan detallada como las anteriores, ya que se
computing y proteccin de datos. Es definidos correctamente, sin trabajo, a pesar de estar enfocada al basa en la formacin previa del auditor antes de la
muy detallada pero a la vez muy embargo desde su ltima mbito web, eso no le quita meticulosidad ejecucin como tal de los requerimientos
sencilla actualizacin no se tienen
novedades.
Rigor de la Desactualizada, ltima versin 2006. Desactualizada, ltima versin 2008. Muy alto rigor, en constante actualizacin, Actualizada constantemente, alto rigor.
Alto rigor Alto rigor a pesar de ser enfocada a web, sirve como
metodologa
instructivo.
Facilidad de uso Se puede utilizar con conocimientos Alta facilidad de uso, requiere de A pesar de ser muy tcnica, existen varios Su facilidad de uso es media. Requiere que el
medios. De fcil uso capacitacin previa ejemplos prcticos. Alta facilidad de uso. auditor tenga entrenamiento y certificaciones., es
muy tcnico.
Entornos de Aplica ms en servidores IBM, sin Al combinarse con la metodologa Se enfoca a servidores web. Debido a la Debido a ser una metodologa dinmica, se aplica
embargo es genrico. OWASP resultara ideal orientacin de esta metodologa. a servidores inclusive inexistentes.
aplicabilidad
mbitos de Aplicada a PYMES Organizaciones financieras complejas Aplica a todas las organizaciones que usen En general para organizaciones grandes y PYMES.
y PYMES orientadas a finanzas aplicaciones web
aplicacin
Uso por los Es de fcil aprendizaje, adems de No es usado por la mayora de Es de gran uso, sobre todo para Quizs la metodologa ms usada, sin embargo,
cubrir las principales etapas de una profesionales por s solo, sino lo complementarlo con otras metodologas. varios profesionales la modifican para su propio
hackers ticos
auditora usando test de intrusin. combinan con otras metodologas. Lo importante de esta metodologa es que uso, simplificndola. Por lo general su uso supone
Respeta los modelos NIST. est en constante revisin y alto conocimiento y experiencia en el tema.
mejoramiento.
Ventajas Su fase de evaluacin es conocida. Su similitud hace que se la relacione Gran facilidad en el uso de los ms Posee mucha documentacin, y soporte de una
Permite la facilidad en la creacin del mucho con la metodologa ISSAF. conocidos controles. Es bien estructurada comunidad a nivel global. Adems, tiene guas de
informe en funcin de los pasos Estn muy bien definidos los y est al tanto de auditoras de la web uso. Pone gran nfasis en los estndares de
seguidos y la data obtenida. Adems controles en el test de intrusin. centradas en el marketing del negocio. Al seguridad de informacin. Adems de su alto
recomienda herramientas para la culminar la auditora, propone le uso de grado de calidad en los resultados.
evaluacin. herramientas. Inclusive al ser una
metodologa prctica, sirve como modelo
de aprendizaje de fundamentos de
pentesting.
Desventajas - No tiene lmites de uso en los test, Sirve como metodologa de consulta Al no existir otras metodologas - No permite combinarse con otras metodologas.
por ende, los acuerdos de uso con el sin embargo al no ser un proyecto orientadas a auditoras web, es difcil - Se basa ms en la experiencia del hacker debido
cliente tienen alto dficit. consolidado ni completo no compararla. Adems cabe destacar que a que no hace referencia el tipo de objetivo de
- Al no tener estabilidad en sus test de proporciona mayores ventajas. los servidores e infraestructura web no es cada test.
intrusin, su nivel de desarrollo es auditada.
inmaduro en cuanto a la prctica en
s.
- No est actualizado.
Opinin personal Su uso es fcil y cualquier hacker con Tiene un buen nivel de precisin de De las estudiadas en el captulo, es la Al contrario de la metodologa ISSAF, sus lmites
o sin experiencia puede usarla, sin vulnerabilidades, que al ser menos agresiva y como consecuencia sus aplicados en los acuerdos con los clientes
embargo, no est actualizada. Es una combinada con otra metodologa se test de penetracin menos intrusivos. Se permiten tener lmites en su uso. Es muy agresiva
55
metodologa agresiva por ende incrementa. Es muy detallada y al pueden borrar las huellas al aplicarla muy e intrusiva. No propone un listado de
intrusiva en alto nivel. igual que la metodologa OWASP, es fcil. herramientas sugeridas.
muy buena para el aprendizaje.
56
3.2. Herramientas del hacker tico
3.2.1. Footprinting
en el caso a estudiar sern las pequeas y medianas empresas, pero se aplica para todo tipo;
para realizar footprinting, no es necesario basarse en una sola metodologa, escenario que
resulta ideal si no se domina una de las mencionadas, usando esta herramienta, el hacker
podr llegar a su objetivo de diversos modos, pero de forma prolija, al finalizar su uso, se
puede encontrar informacin perteneciente a varias capas de red como detalles del
entre otras.
DNS stuff
divisin de subredes.
Whois
forma consultar datos como nombre de un dominio, hasta una direccin IP. Estas
consultas se realizan mediante lneas de comando. Existen varias pginas web que
57
Netcraft
IP-Adress
58
3.2.2. Scanning
Es el escaneo de puertos, el cual sirve para reunir informacin posible de los puertos
abiertos. Segn Gimnez (2011: web), es una de las herramientas ms usadas para el
reconocimiento que usan todo tipo de hackers. Los puertos pueden ser clasificados en tres
tipos:
Si bien es probable escanear puertos 65635 los atacantes no se enfocan en ellos sino en
libro The network security test lab (2015: web) destaca que una de las desventajas de
escaneado, o lo que es lo mismo que se genera un reporte debido a que detectan una
conexin entrante, sin embargo, no reciben ningn dato del atacante. As mismo Gregg
Pinger
Ping
LANguard
VLAD
59
3.2.3. Keyloggers (Grabadores de escritura de teclado)
Son dispositivos que pueden ser software o hardware los cuales monitorean todo tipo de
tranquilamente pueden estar instalados en la parte posterior del computador sin poder
modo de operacin es enviar al correo todo lo que se digite, esta direccin estar
60
CAPTULO 4
mucho de cuanto est dispuesta la empresa en invertir, crecer y de su manejo de las TICs,
es recomendable aplicar ethical hacking guindose de los siguientes pasos, cabe destacar
que, son los pasos ms comunes, tomando el ejemplo en la empresa no quiere invertir mucho
en Tics y que no cuenta con un personal especializado en tecnologa, dicho esto los pasos
seran:
Tcnico
Gerencial.
metodologa que se use, como se mencion previamente, es importante elaborar dos tipos de
informes, los cuales correspondern al cliente, el uno sera tcnico enfocado al jefe o gerente
resumido en las soluciones a tomar. Cabe destacar que ambos informes, se centrarn en el
El informe a nivel de gerencia, deber ser preciso y sin muchos tecnicismos, sino siendo
61
que se resaltarn configuraciones errneas, protocolos de seguridad vulnerados, tipos de
Por ello al momento de firmar el contrato, ambas partes debern acordar como realizar la
resultado mostrado y entregado cumpla con las exigencias del cliente y sirva como base de
mismo deber tener la experiencia requerida y brindar las prestaciones requeridas para
utilizar, el personal comnmente est conformado por un lder tcnico que sirve como
o tareas.
Sirve para analizar los principales inconvenientes y se tomar una decisin de cmo se
trabajar. No se realizar una reunin tcnica sino una explicacin prctica para todos
62
los integrantes de la junta. Se definir el alcance del proyecto, dando relevancia a los
para ambas partes. El cual detalla el alcance de la evaluacin, las tareas a realizar durante
el proyecto. Este documento deber estar al alcance del ethical hacker para prevenir
Depende del acuerdo entre el cliente y la empresa contratada, la cual deber regirse a los
con el cliente, explicando las causas de la demora. Es importante tener una constancia
Esta etapa es interna, ya que el equipo de trabajo realizar su diseo anlisis y reportar
al jefe o lder del grupo para que este consolide todas las tareas en las cuales se
encuentran las fallas encontradas y prepare el informe final que ser entregado al cliente.
En el reporte deben constar todos los entregables previos destacando el alcance que se
63
AL finalizar el proyecto, se entregar un informe con los resultados obtenidos, que se lo
siguiente tabla:
64
4.2. Reporte final
Como se mencion al inicio del captulo pueden ser dos tipos dependiendo el caso, uno para
de la informacin.
En esta seccin del informe se colocan los datos personales de la empresa y del
el siguiente orden:
o Nombre de la empresa
Tiempo establecido
Se relaciona directamente con las fechas de inicio y finalizacin del test realizado en
importante en el que estn de acuerdo ambas partes. Los datos que pueden ir en el
65
Tipo de test realizado
Debido a que existen diferentes tipos de test, es comn que en la estructura del reporte
puede ser:
Caja negra
Caja blanca
Caja gris
Metodologa utilizada
Este tem, depende mucho de la metodologa de trabajo que la empresa que realiza
en este documento se puede saber la orientacin del test, ya sea a una aplicacin web
OWASP
PTES
ISSAF
OSSTMM
Como se mencion en el captulo previo, las metodologas tienen las siguientes fases,
dependiendo de cada una de ellas las denominan de diferentes formas, sin embargo,
66
Tabla 8: Fases comunes de ethical hacking
FASE DESCRIPCIN
Reconocimiento Obtencin de la mayor cantidad de data
del objetivo, la cual puede ser activa o
pasiva. La manera activa es el anlisis
de trfico y de forma pasiva es realizar
el proceso de ingeniera social sobre
empleados de la empresa
Escaneo Se identifican los sistemas que se
ejecutan y que estn activos en el
sistema. Se obtiene informacin de los
usuarios, carpetas compartidas que por
lo general se usan en las pequeas
empresas, el objetivo es un mapa
detallado de los usuarios, servicios,
mquinas y privilegios.
Obtencin de Acceso Se aprovechan las vulnerabilidades que
se encontraron en los pasos previos,
acceder a la red de datos de la empresa
y alterar su informacin.
Mantenimiento de Acceso Para poder acceder al sistema
nuevamente, se carga un software
malicioso. Es similar a instalar una
puerta trasera en una casa.
Borrado de Huellas En esta fase se borra o esconden las
modificaciones en los archivos del
sistema, ya que si son rastreados, los
administradores de red pueden
aumentar las seguridades de la empresa
e impedir la culminacin del test.
Autor: Oswaldo Tamayo, junio 2016.
Resumen Ejecutivo
Debido a su orientacin, la cual es a los gerentes de las compaas, debe ser preciso,
informticos.
Ventajas
67
Se destacan los procesos, formas de instalacin y componentes del sistema
Desventajas
Resumen tcnico
Ataques de diccionario
Encriptaciones encontradas
Vulnerabilidades analizadas
68
Son los errores por diferente motivo que fueron encontrados en las
69
CAPTULO 5
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
1. El hacking tico, es una solucin real, preventiva y que usa pruebas de casos reales
explotadas sino mitigadas. Cabe destacar que la formacin de este hacker tico,
debe ser constante debido al cambio constante del rea de seguridad; cabe destacar
que no solo se debe impartir formacin en el rea sino tambin de la parte tica.
la auditora contratada. Sirven de base para que los empleados sigan el estndar
implementado.
4. Las metodologas estudiadas, tanto las actualizadas como las que no estn, sirven
como gua de construccin de una solucin de ethical hacking, como para ejecutar
70
organizacin, (en el caso de PyMES es probable que el rea sea establecida por
de mayor valor que una que fue anunciada ya que se analizarn todos los
mayora las empresas que utilizan las tecnologas de informacin para verse
Recomendaciones
una crucial prctica que debe ser evaluada en el cronograma de las empresas de
71
cualquier ndole para proteger su informacin. Un mnimo descuido por parte del
consulta debido a que muchos de sus procesos son macro, y pueden ser aplicados
4. Los administradores de sistemas deben estar alerta y ser prudentes acerca del uso
marco legal.
5. Resulta crucial que las organizaciones de cualquier tipo difundan a sus empleados
sus polticas de seguridad y hagan controles peridicos sobre el tema para evitar
como prioridad las Tics o su presupuesto no se centra en ellas. Razn por la cual,
72
7. Si la pequea o mediana empresa no tiene establecido como prioridad el uso de
de mayor relevancia.
passwords fuertes.
importantes en su rea.
73
BIBLIOGRAFA
http://www.computerfutures.com/en/news/articles/the-rise-of-ethical-hacking.
febrero de 2016).
febrero de 2016).
http://recibe.cucei.udg.mx/beta/revista/es/vol4-no1/computacion05.html. Acceso:
de febrero de 2016).
74
VILLACORTA, Alberto. (2005). Enredados. El mundo de la Internet. Recuperado
de:
https://books.google.com.ec/books?id=u0ZeCjcr2S0C&printsec=frontcover#v=one
https://riunet.upv.es/bitstream/handle/10251/11856/memoria.pdf?sequence=1.
de 2016).
https://www.arturogoga.com/microsoft-paga-hasta-100000-dolares-por-encontrar-
SecurityWeek. (Sitio web). Facebook Pays Out $7,500 Bounty for Account
http://www.welivesecurity.com/la-es/2014/10/09/exploits-que-son-como-funcionan
marzo de 2016).
75
Enroke. (Sitio web). Qu son las PYMES? Internet.
http://www.grupoenroke.com/index.php/proyecto-pymes/46-que-son-las-pymes.
marzo de 2016).
http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_29_issaf.html.
2016).
OWASP. (Sitio web). About The Open Web Application Security Project. Internet.
https://www.owasp.org/index.php/About_OWASP#The_OWASP_Foundation.
http://docslide.us/documents/metodologias-mas-usadas-en-pentesting-estudio-
PeritoIT (Sitio web). Footprinting informtico, primer paso del Pentest o Test de
CALLES, Juan & PEREZ, Pablo. (2011). La Biblia del Footprinting. Recuperado
de: https://la-biblia-del-
76
footprinting.googlecode.com/files/La_Biblia_del_Footprinting.pdf. Acceso: (14 de
junio de 2016).
http://www.infodesarrollo.ec/documentos/files/original/459293435d2d451ec86dcbf
http://comunidad.todocomercioexterior.com.ec/profiles/blogs/infracciones-inform-
de 2016).
77
ANEXOS
Ataque dirigido: ataques realizados de manera sigilosa cuyo objetivo puede ser una
Auditor: persona que realiza pruebas, para verificar, comprobar o reportar algn
procedimiento.
Backdoor: tcnica que permite entrar a un sistema sin la forma comn como con un
usuario y contrasea.
Cache: Memoria que tienen las computadoras la cual funciona de manera similar a
robar informacin.
78
Ddos: ataque de negacin de servicios que se realiza en igual tiempo desde varias
TCP/IP.
Hacking: ingreso a sistemas ajenos sin conocimiento de los implicados, puede ser
virtual o fsicamente
Honeypot: software o hardware que simula ser un objetivo vulnerable, sirve como
teclado.
79
L
Log: Archivo que recoge un registro de actividades del sistema para su difusin.
OWASP: metodologa de ethical hacking de cdigo abierto que tiene como objetivo
determinar y prevenir las causas que hacen que el software sea inseguro.
Servidor: Gran computadora que presta todos o algunos servicios y recursos a otras
VoIP: Tipo de recurso que permite que la seal de la voz viaje mediante internet
80