blog

Los expertos en seguridad generalmente clasifican los crímenes por computadora en dos categorías: crímenes facilitados por una computadora y aquellos en los cuales la computadora es el objetivo.

El hacking ético es una evaluación de seguridad estructurada y organizada, usualmente como parte de una prueba de penetración o auditoría de seguridad, siendo un componente crucial en la evaluación de riesgos, auditoría, combatir fraude, y mejores prácticas en seguridad de los sistemas de información. Es utilizado para identificar riesgos y resaltar las acciones para remediarlas. También es utilizado para reducir los costos en las Tecnologías de Información y Comunicación (TIC) mediante la resolución de vulnerabilidades.

Los hackers éticos determinan el alcance de la evaluación de seguridad acorde a las preocupaciones en seguridad del cliente. Muchos hackers éticos son miembros de un "Equipo Tigre". Un equipo tigre trabaja en conjunto para realizar una prueba a gran escala abarcando todos los aspectos de la red, como también la intrusión física y del sistema.

Un hacker ético debe conocer las penalidades por hacking no autorizado en un sistema. Ninguna actividad del hacking ético asociada con una prueba de penetración a red o auditoría de seguridad, debe iniciarse antes de recibir un documento legal firmado autorizando expresamente al hacker ético realizar las actividades de hacking desde la organización objetivo. Los hackers éticos deben ser juiciosos con sus habilidades de hacking y reconocer las consecuencias de un mal uso de estas habilidades.

El hacker ético debe seguir ciertas reglas para cumplir sus obligaciones éticas y morales. Debe hacer lo siguiente:

• Obtener autorización del cliente y tener un contrato firmado autorizando al profesional realizar la prueba.
• Mantener la confidencialidad cuando se realice la prueba y seguir un Acuerdo de Confidencialidad (NDA) con el cliente para la información confidencial expuesta durante la prueba. La información recolectada podría contener información sensible, y el hacker ético no debe exponer ninguna información sobre la prueba o  datos confidenciales de la compañía hacia terceros.
• Realizar la prueba hasta los límites acordados pero sin ir más allá. Por ejemplo los hackers éticos solo deben realizar ataques DoS si lo han acordado previamente con el cliente. Una organización cuyos servidores o aplicaciones no estén disponibles para los clientes debido a las pruebas podría perder ingresos, perder prestigio, y tener consecuencias aún peores.

Los siguientes pasos proporcionan un marco de trabajo para realizar una auditoría de seguridad en una organización, lo cual ayudará a garantizar la prueba es organizada, eficiente, y ética:

• Hablar con el cliente y discutir las necesidades a ser abordadas durante la prueba
• Preparar y firmar documentos NDA con el cliente
• Organizar un equipo de hacking ético y preparar el cronograma para pruebas
• Conducir la prueba
• Analizar los resultados de la prueba y elaborar un reporte
• Presentar el reporte de hallazgos hacia el cliente

Sin embargo existen limitaciones también. A menos las empresas primero conozcan aquello lo cual están buscando y porque están contratando un proveedor externo para hackear sus sistemas, es probable no obtengan mucha ganancia desde la experiencia. Un hacker ético por lo tanto puede únicamente ayudar a la organización a comprender mejor su sistema de seguridad. Es responsabilidad de la organización implementar las salvaguardas correctas sobre la red.

Fuentes:

https://ieeexplore.ieee.org/document/9155846
 

Conforme la tecnología crece a un ritmo rápido, también crecen los riesgos asociados con este. Para vencer a un hacker es necesario pensar como uno de ellos.

El hacking ético es necesario pues permite contrarrestar los ataques de hackers maliciosos anticipando los métodos utilizados para acceder hacia un sistema. El hacking ético ayuda a predecir varias posibles vulnerabilidades con suficiente antelación y a rectificarlas sin incurrir en ningún tipo de ataque externo. Dado el hacking involucra pensamiento creativo, probar vulnerabilidades, y auditorías de seguridad, estas solas no pueden garantizar la red sea segura. Para alcanzar seguridad las organizaciones deben implementar una estrategia de “defensa en profundidad”, penetrando sus redes para estimar y exponer vulnerabilidades.

Razones por las cuales las organizaciones contratan hackers éticos

• Para prevenir los hackers ganen acceso hacia los sistemas de información de la organización
• Para descubrir vulnerabilidades en los sistemas y explorar su potencial como un riesgo
• Para analizar y fortalecer la postura en seguridad de una organización, incluyendo políticas, infraestructura de protección para la red, y prácticas de usuario final
• Para proporcionar medidas preventivas adecuadas para evitar brechas de seguridad
• Para ayudar a salvaguardar los datos de los clientes
• Para mejorar la concienciación sobre seguridad a todos los niveles en una empresa

La evaluación realizada por un hacker ético sobre la seguridad del sistema de información de un cliente busca responder tres preguntas básicas:

1. ¿Qué puede un atacante ver en el sistema?

Las verificaciones de seguridad normales por los administradores de sistemas frecuentemente pasan por alto vulnerabilidades. El hacker ético debe pensar como un atacante podría ver durante las fases de reconocimiento y escaneo de un ataque.

2. ¿Qué puede hacer un intruso con esta información?

El hacker ético debe discernir la intención y propósito detrás de los ataques para determinar las medidas correctivas adecuadas. Durante las fases de ganar acceso y mantener acceso de un ataque, el hacker ético necesita ir un paso por delante del hacker para proporcionar la protección adecuada.

3. ¿Son los intentos de los atacantes notados por los sistemas?

Algunas veces los atacantes intentan irrumpir un sistema durante días, semanas, o incluso meses. Otras veces ganan acceso pero esperan antes de causar algún daño. En lugar de esto se toman el tiempo para evaluar el posible uso de la información expuesta. Durante las fases de reconocimiento y cubrir  rastros, el hacker ético debe detectar y detener el ataque.

Después de realizar ataques los hackers pueden borrar sus rastros modificando archivos para el registro de eventos y creando puertas traseras, o desplegando troyanos. Los hackers éticos deben investigar si tales actividades han sido registradas y cuales mecanismos preventivos han sido tomados. Esto no únicamente les provee con una evaluación sobre la proeficiencia de los atacantes, sino también les proporciona indicios sobre los mecanismos de seguridad existentes del sistema siendo evaluado. El proceso entero del hacking ético y la subsecuente aplicación de parches de las vulnerabilidades descubiertas depende de preguntas tales como:

• ¿Qué es aquello lo cual la organización intenta proteger?
• ¿Contra quién o qué está intentado protegerla?
• ¿Están todos los componentes del sistema de información adecuadamente protegidos, actualizados, y parcheados?
• ¿Cuánto tiempo, esfuerzo, y dinero está el cliente dispuesto a invertir para ganar una protección adecuada?
• ¿Los mecanismos de seguridad de información cumplen con los estándares de la industria y legales?

Algunas veces para ahorrar recursos o prevenir posteriores descubrimientos, el cliente podría decidir finalizar la evaluación después de la primera vulnerabilidad es encontrada; por lo tanto es importante el hacker ético y el cliente establezcan previamente un marco de trabajo adecuado para investigación. El cliente debe estar convencido sobre la importancia de estos ejercicios de seguridad a través de descripciones concisas de aquello lo cual está sucediendo y aquello lo cual está implicado. El hacker ético también debe recordar transmitir hacia el cliente nunca es posible proteger los sistemas completamente, pero estos pueden siempre ser mejorados.

Fuentes:

https://www.knowledgehut.com/blog/security/need-of-ethical-hacking
 

El hacking ético es la práctica de emplear conocimientos sobre computadoras y redes para ayudar a las organizaciones a evaluar su seguridad en redes, por posibles agujeros o vulnerabilidades. Los hackers de sombrero blanco (también conocidos como analistas de seguridad o hackers éticos) son individuos o expertos quienes realizan hacking ético. En la actualidad muchas organizaciones (como empresas privadas, universidades, y organismos gubernamentales) están contratando Sombreros Blanco para les ayuden a mejorar su ciberseguridad. Realizan hacking de manera ética, con el permiso del propietario de la red o sistema, sin intención de causar daño. Los hackers éticos reportan todas las vulnerabilidades hacia el propietario del sistema y red para aplicar un remedio, incrementando por lo tanto la seguridad del sistema de información de la organización. El hacking ético involucra el uso de herramientas, trucos, y técnicas típicamente utilizadas por un atacante para verificar la existencia de vulnerabilidades explotables en la seguridad del sistema.

En la actualidad el término hacking está cercanamente asociado con actividades ilegales y no éticas. Existe un debate continuo sobre si el hacking puede ser ético o no, dado el hecho un acceso no autorizado hacia cualquier sistema constituye un crimen. Considerar las siguientes definiciones:

• El sustantivo "hacker" se refiere a una persona quien disfruta aprender detalles sobre los sistemas de cómputo y ampliar sus capacidades
• El verbo "hackear" describe el rápido desarrollo de nuevos programas o la ingeniería reversa de software existente, para hacerlo mejor o más eficiente de maneras nuevas e innovadoras.
• Los términos "cracker" y "atacante" se refieren a personas quienes emplean sus habilidades de hacking con propósitos ofensivos.
• El término "hacker ético" se refiere a profesionales en seguridad quienes emplean sus habilidades de hacking con propósitos defensivos.

Muchas compañías emplean profesionales de TI para auditar sus sistemas por vulnerabilidades conocidas. Aunque esta es una práctica beneficiosa, los crackers están usualmente más interesados en utilizar vulnerabilidades nuevas y menos conocidas, por lo cual estas auditorías a sistemas basadas en datos no son suficientes. Una compañía necesita a alguien quien piense como un cracker, quien se mantenga actualizado con las más recientes vulnerabilidades y exploits, además de poder reconocer potenciales vulnerabilidades donde otros no puedan. Este es el rol del hacker ético.

Los hackers éticos usualmente emplean las mismas herramientas y técnicas utilizadas por los hackers tradicionales, con la importante excepción de no dañan el sistema. Evalúan la seguridad del sistema, informan a los administradores sobre cualquier vulnerabilidad descubierta, y recomiendan procedimientos para parchar estas vulnerabilidades.

La importante distinción entre hackers éticos y crackers es el consentimiento. Los crackers intentan obtener acceso no autorizado hacia sistemas, mientras los hackers éticos son siempre completamente abiertos y transparentes sobre lo cual están haciendo y como lo están haciendo. El hacking ético por lo tanto siempre es legal.

Fuentes:

https://www.ibm.com/think/topics/ethical-hacking
 

Un Hacker; en su acepción maliciosa; es una persona quien irrumpe en un sistema o red sin autorización para destruir, robar datos sensibles, o realizar ataques maliciosos. Un hacker es un individuo inteligente con excelentes habilidades en computadoras, además con la habilidad de crear y explorar el software y hardware de computadoras. Usualmente un hacker es un ingeniero o programador experto con los conocimientos suficientes para descubrir vulnerabilidades en un sistema. Generalmente tienen experiencia en la materia y disfrutan aprendiendo detalles sobre varios lenguajes de programación y sistemas de cómputo.

Para algunos Hackers, “hackear” es un pasatiempo para ver cuantas computadoras o redes pueden comprometer. Su intención puede ser ya sea ganar conocimiento o curiosear para realizar cosas ilegales. Algunos hackean con intenciones maliciosas, como robar datos comerciales, información de tarjetas de crédito, números de identificación personal, y contraseñas de correo electrónico.

Fuentes:

https://csrc.nist.gov/pubs/sp/800/12/r1/final
 

En el ámbito de la seguridad en computadoras, el hacking se refiere a explotar las vulnerabilidades del sistema y comprometer los controles de seguridad para ganar acceso no autorizado o inapropiado hacia los recursos del sistema. Involucra modificar características del sistema o aplicación para alcanzar una meta ajena al propósito original de su creador. El hacking puede ser hecho para robar, sustraer, o redistribuir propiedad intelectual, lo cual conduce hacia pérdidas empresariales.

El hacking en redes de computadoras es generalmente hecho utilizando scripts u otros programas de red. Las técnicas de hacking a redes incluyen la creación de virus y gusanos, realizar ataques para denegación de servicio (DoS), establecer conexiones de acceso remoto no autorizado hacia un dispositivo mediante troyanos o puertas traseras, crear botnets, husmear paquetes, phishing, y romper contraseñas. El motivo detrás del hacking puede ser el robo de información o servicios críticos, por emoción, desafío intelectual, curiosidad, experimentación, conocimiento, ganancias económicas, prestigio, poder, reconocimiento de pares, venganza y afán de venganza, entre otras razones.

Fuentes:

https://en.wikipedia.org/wiki/Hacker
 

El término guerra de información o InfoWar se refiere al uso de las tecnologías de información y comunicación (TIC) para obtener ventajas competitivas sobre un oponente. Ejemplos de armas para la guerra de información incluyen virus, gusanos, caballos de troya, bombas lógicas, puertas trampa, nanomáquinas y microbios, interferencias electrónicas, además de exploits y herramientas para penetración.

Martin Libicki dividió la guerra de información en las siguientes categorías:

Guerra de Comando y Control (Guerra C2): En la industria de seguridad en computadoras la guerra C2 se refiere al impacto poseído por un atacante sobre un sistema o red comprometidos los cuales controla.

Guerra basada en inteligencia: La guerra basada en inteligencia es una tecnología basada en sensores el cual corrompe directamente los sistemas tecnológicos. Según Libicki la "guerra basada en inteligencia" es una guerra consistente en el diseño, protección, y denegación de sistemas los cuales buscan el suficiente conocimiento para dominar el campo de batalla.

Guerra electrónica: De acuerdo a Libicki la guerra electrónica utiliza técnicas radioelectrónicas y criptográficas para degradar la comunicación. Las técnicas radioelectrónicas atacan los medios físicos de enviar información, mientras las técnicas criptográficas utilizan bits y bytes para interrumpir los medios para enviar información.

Guerra psicológica: La guerra psicológica es el uso de varias técnicas tales como propaganda y terror para desmoralizar al adversario en un intento de tener éxito en la batalla.

Guerra de hackers: De acuerdo a Libicki el propósito de este tipo de guerra puede variar desde el apagado de sistemas, errores de datos, robo de información, robo de servicios, vigilancia de sistemas, mensajes falsos, y acceso a datos. Los hackers generalmente utilizan virus, bombas lógicas, caballos de troya, y sniffers para realizar estos ataques.

Guerra económica: Libicki anota la guerra de información económica puede afectar la economía de una empresa o nación, bloqueando el flujo de información. Esto podría ser especialmente devastador para las organizaciones realizando muchos negocios en el mundo digital.

Ciberguerra: Libicki define la ciberguerra como el uso de sistemas de información contra identidades virtuales de individuos o grupos. Esta es la más amplia de todas las guerra de información. Incluye el terrorismo de información, ataques semánticos (similar a la guerra de hackers, pero en lugar de dañar un sistema, tienen control sobre el sistema mientras mantienen la percepción de opera correctamente) y la guerra simulada (por ejemplo adquirir armas para una mera demostración en lugar de hacer uso real).

Cada forma de guerra de información mencionada anteriormente consta ya sea estrategias defensivas y ofensivas.

• Guerra de Información Defensiva: Involucra todas las estrategias y acciones para defenderse contra ataques a los activos de TIC.
• Guerra de Información Ofensiva: Involucra ataques contra los activos de TIC de un oponente.

Fuentes:

https://iwar.org.uk/
 

Los ataques de seguridad son clasificados en cinco categorías: pasivos, activos, de proximidad, internos, y distribución.

Ataques Pasivos

Los ataques pasivos involucran interceptar y vigilar tráfico de red y el flujo de datos sobre la red, además de no alterar los datos. Los atacantes realizan un reconocimiento sobre las actividades de la red utilizando sniffers. Estos ataques son muy difíciles de detectar, pues el atacante no tiene interacción activa con el sistema o la red. Los ataques pasivos permiten a los atacantes capturar datos o archivos siendo transmitidos en la red sin el consentimiento del usuario. Por ejemplo un atacante puede obtener información como datos en tránsito sin encriptar, credenciales en texto plano, u otra información sensible útil para realizar ataques activos.

Ataques Activos

Los ataques activos alteran los datos en tránsito o interrumpen la comunicación o los servicios entre los sistemas para eludir o irrumpir en sistemas asegurados. Los atacantes lanzan ataques sobre el sistema o la red enviando tráfico activamente el cual puede ser detectado. Estos ataques son realizados sobre la red para explotar la información en tránsito. Penetran o infectan la red interna y ganan acceso hacia un sistema remoto para comprometer la red interna.

Ataques de Proximidad

Los ataques de proximidad son realizados cuando el atacante está en cercana proximidad física con el sistema o red. La meta principal de realizar este tipo de ataque es recopilar o modificar información o interrumpir su acceso. Por ejemplo un atacante podría mirar por sobre el hombro las credenciales de un usuario. Los atacantes ganan cercana proximidad a través de entradas clandestinas, acceso abierto, o ambos.

Ataques Internos

Los ataques internos son realizados por personas de confianza quienes tienen acceso físico hacia los activos críticos. Un ataque interno involucra utilizar acceso privilegiado para violar las reglas o intencionalmente causar una amenaza hacia la información o sistemas de información de la organización. Los usuarios internos pueden fácilmente eludir reglas de seguridad, corromper recursos valiosos, y acceder hacia información sensible. Hacen un uso indebido de los activos de la organización para directamente afectar la confidencialidad, integridad, y disponibilidad de los sistemas de información. Estos ataques impactan las operaciones comerciales, la reputación, y ganancias de la organización. Es difícil identificar un ataque interno.

Ataques de Distribución

Los ataques de distribución ocurren cuando los atacantes manipulan el hardware o software antes de su instalación. Los atacantes manipulan el hardware o software en su origen o cuando están en tránsito. Ejemplos de ataques de distribución incluyen puertas traseras creadas por los proveedores de software o hardware al momento de la fabricación. Los atacantes aprovechan estas puertas traseras para ganar acceso no autorizado hacia la información, sistemas o red.

Fuentes:

https://ntrl.ntis.gov/NTRL/dashboard/searchResults/titleDetail/ADA60635…
 

Una vulnerabilidad se refiere a una debilidad en el diseño o implementación de un sistema el cual puede ser explotado para comprometer la seguridad del sistema. Frecuentemente es una falla la cual permite al atacante ingresar al sistema eludiendo la autenticación del usuario. Existen generalmente dos causas principales para sistemas vulnerables en una red, inadecuadas configuraciones en software o software y malas prácticas en programación. Los atacantes explotan estas vulnerabilidades para realizar varios tipos de ataques sobre recursos de la organización.

Razones Comunes para la Existencia de Vulnerabilidades

Incorrecta Configuración de Hardware o Software

La configuración insegura de hardware o software en una red puede conducir hacia vulnerabilidades de seguridad. Por ejemplo una incorrecta configuración o el uso de un protocolo sin encriptar puede conducir a intrusiones en la red, resultando en exposición de información sensible. Aunque una incorrecta configuración de hardware puede permitir a los atacantes obtener acceso hacia la red o sistema, una incorrecta configuración de software puede permitir a los atacantes obtener acceso hacia las aplicaciones y datos.

Diseño Inseguro o Deficiente de la Red y las Aplicaciones

El diseño inadecuado e inseguro de una red puede hacerla susceptible a varias amenazas y potencial  pérdida de datos. Por ejemplo si las tecnologías firewall, IDS y VPN no son implementadas de manera segura pueden exponer la red a numerosas amenazas.

Debilidades Tecnológicas Inherentes

Si el hardware o software no son capaces de defender la red contra ciertos tipos de ataques, la red será vulnerable a estos ataques. Cierto hardware, aplicaciones, o navegadores web tienden a ser propensos ante ataques como ataques DoS o ataques Man-in-the-Middle. Por ejemplo sistemas ejecutando versiones antiguas de navegadores web son propensos ante ataques distribuidos. Si los sistemas no son actualizados el pequeño ataque de troyano puede forzar al usuario a escanear y limpiar todo el almacenamiento en la máquina, lo cual frecuentemente conduce a la pérdida de datos.

Descuido del Usuario Final

El descuido del usuario final impacta considerablemente la seguridad de la red. El comportamiento humano es bastante susceptible a varios tipos de ataques, y puede ser explotado para tener serios efectos, incluyendo pérdida de datos y fuga de información. Los intrusos pueden obtener información sensible mediante varias técnicas de ingeniería social. Compartir información de cuentas o credenciales para inicio de sesión con entidades potencialmente maliciosas, puede conducir hacia la pérdida de datos o explotación de información. Conectar sistemas hacia una red insegura también puede conducir hacia ataques desde terceros.

Actos Intencionales del Usuario Final

Los ex empleados quienes siguen teniendo acceso hacia unidades compartidas pueden hacer uso indebido de estos revelando información sensible de la compañía. Este tipo de acto es denominado un acto intencional del usuario final, y puede conducir hacia pérdidas financieras y de datos para la compañía.

Fuentes:

https://www.rapid7.com/fundamentals/vulnerabilities-exploits-threats/
 

Los términos "tácticas, técnicas y procedimientos" se refieren a patrones de actividades y métodos asociados con actores específicos de amenazas o grupos de actores de amenazas. Las TTPs son útiles para analizar amenazas y perfilar a los actores de amenazas, además pueden ser utilizados para fortalecer la infraestructura de seguridad de una organización.

El término "tácticas" es definido como una estrategia seguida por un atacante para realizar el ataque de inicio a fin.

La palabra "técnicas" es definida como los métodos técnicos utilizados por un atacante para lograr resultados intermedios durante el ataque.

Finalmente la palabra "procedimientos" es definida como una perspectiva sistemática seguida por los actores de amenazas para lanzar un ataque.

Para entender y defenderse de los actores de amenazas es importante comprender las TTPs utilizadas por los adversarios. Entender las tácticas de un atacante ayuda a predecir y detectar amenazas en evolución durante sus primeras etapas. Entender las técnicas utilizadas por los atacantes ayuda a identificar vulnerabilidades e implementar medidas defensivas con anticipación. Por último analizar los procedimientos utilizados por los atacantes ayuda a identificar aquello lo cual un atacante está buscando dentro de la infraestructura de la organización.

Fuentes:

https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures
 

Un ataque es una acción realizada con la intención de vulnerar la seguridad de un sistema TI explotando sus vulnerabilidades. Un ataque involucra un intento de obtener, editar, eliminar, destruir, implantar, o revelar información sin acceso autorizado. También se refiere a software o comandos maliciosos los cuales explotan vulnerabilidades para causar un comportamiento imprevisto en software o hardware legítimo. Por lo tanto un ataque puede conceptualizarse como la combinación de un motivo y un método para ejecutar el ataque, lo cual explota una o más vulnerabilidades del sistema.

Ataques = Motivo (Objetivo) + Método (TTP – Tácticas Técnicas y Procedimientos) + Vulnerabilidad

Motivos (Metas)

Los atacantes generalmente tienen motivos (metas) y objetivos detrás de sus ataques a la seguridad de información. Un motivo se origina en la noción de un sistema almacena o procesa algo valioso, lo cual genera la amenaza de un ataque sobre el sistema. El propósito del ataque puede ser interrumpir las operaciones comerciales de la organización, robar información valiosa por curiosidad, o incluso vengarse. Por lo tanto estos motivos o metas dependen del estado de ánimo del atacante, su razón para realizar esta actividad, como también sus recursos y capacidades. Una vez el atacante determina su meta, puede emplear diversas herramientas, técnicas de ataque, y métodos para explotar las vulnerabilidades en un sistema de cómputo o políticas y controles de seguridad.

Motivos detrás de ataques a la seguridad de información

• Interrumpir la continuidad del negocio
• Realizar robo de información
• Manipular datos
• Generar miedo y caos mediante la interrupción de infraestructuras críticas
• Provocar pérdidas financieras
• Propagar creencias religiosas o políticas
• Lograr los objetivos militares de un estado
• Dañar la reputación
• Venganza
• Exigir un rescate

Fuentes:

https://www.startupdefense.io/blog/understanding-the-motivations-and-go…