blog

El hacking ético es la práctica de emplear conocimientos sobre computadoras y redes para ayudar a las organizaciones a evaluar su seguridad en redes, por posibles agujeros o vulnerabilidades. Los hackers de sombrero blanco (también conocidos como analistas de seguridad o hackers éticos) son individuos o expertos quienes realizan hacking ético. En la actualidad muchas organizaciones (como empresas privadas, universidades, y organismos gubernamentales) están contratando Sombreros Blanco para les ayuden a mejorar su ciberseguridad. Realizan hacking de manera ética, con el permiso del propietario de la red o sistema, sin intención de causar daño. Los hackers éticos reportan todas las vulnerabilidades hacia el propietario del sistema y red para aplicar un remedio, incrementando por lo tanto la seguridad del sistema de información de la organización. El hacking ético involucra el uso de herramientas, trucos, y técnicas típicamente utilizadas por un atacante para verificar la existencia de vulnerabilidades explotables en la seguridad del sistema.

En la actualidad el término hacking está cercanamente asociado con actividades ilegales y no éticas. Existe un debate continuo sobre si el hacking puede ser ético o no, dado el hecho un acceso no autorizado hacia cualquier sistema constituye un crimen. Considerar las siguientes definiciones:

• El sustantivo "hacker" se refiere a una persona quien disfruta aprender detalles sobre los sistemas de cómputo y ampliar sus capacidades
• El verbo "hackear" describe el rápido desarrollo de nuevos programas o la ingeniería reversa de software existente, para hacerlo mejor o más eficiente de maneras nuevas e innovadoras.
• Los términos "cracker" y "atacante" se refieren a personas quienes emplean sus habilidades de hacking con propósitos ofensivos.
• El término "hacker ético" se refiere a profesionales en seguridad quienes emplean sus habilidades de hacking con propósitos defensivos.

Muchas compañías emplean profesionales de TI para auditar sus sistemas por vulnerabilidades conocidas. Aunque esta es una práctica beneficiosa, los crackers están usualmente más interesados en utilizar vulnerabilidades nuevas y menos conocidas, por lo cual estas auditorías a sistemas basadas en datos no son suficientes. Una compañía necesita a alguien quien piense como un cracker, quien se mantenga actualizado con las más recientes vulnerabilidades y exploits, además de poder reconocer potenciales vulnerabilidades donde otros no puedan. Este es el rol del hacker ético.

Los hackers éticos usualmente emplean las mismas herramientas y técnicas utilizadas por los hackers tradicionales, con la importante excepción de no dañan el sistema. Evalúan la seguridad del sistema, informan a los administradores sobre cualquier vulnerabilidad descubierta, y recomiendan procedimientos para parchar estas vulnerabilidades.

La importante distinción entre hackers éticos y crackers es el consentimiento. Los crackers intentan obtener acceso no autorizado hacia sistemas, mientras los hackers éticos son siempre completamente abiertos y transparentes sobre lo cual están haciendo y como lo están haciendo. El hacking ético por lo tanto siempre es legal.

Fuentes:

https://www.ibm.com/think/topics/ethical-hacking
 

Un Hacker; en su acepción maliciosa; es una persona quien irrumpe en un sistema o red sin autorización para destruir, robar datos sensibles, o realizar ataques maliciosos. Un hacker es un individuo inteligente con excelentes habilidades en computadoras, además con la habilidad de crear y explorar el software y hardware de computadoras. Usualmente un hacker es un ingeniero o programador experto con los conocimientos suficientes para descubrir vulnerabilidades en un sistema. Generalmente tienen experiencia en la materia y disfrutan aprendiendo detalles sobre varios lenguajes de programación y sistemas de cómputo.

Para algunos Hackers, “hackear” es un pasatiempo para ver cuantas computadoras o redes pueden comprometer. Su intención puede ser ya sea ganar conocimiento o curiosear para realizar cosas ilegales. Algunos hackean con intenciones maliciosas, como robar datos comerciales, información de tarjetas de crédito, números de identificación personal, y contraseñas de correo electrónico.

Fuentes:

https://csrc.nist.gov/pubs/sp/800/12/r1/final
 

En el ámbito de la seguridad en computadoras, el hacking se refiere a explotar las vulnerabilidades del sistema y comprometer los controles de seguridad para ganar acceso no autorizado o inapropiado hacia los recursos del sistema. Involucra modificar características del sistema o aplicación para alcanzar una meta ajena al propósito original de su creador. El hacking puede ser hecho para robar, sustraer, o redistribuir propiedad intelectual, lo cual conduce hacia pérdidas empresariales.

El hacking en redes de computadoras es generalmente hecho utilizando scripts u otros programas de red. Las técnicas de hacking a redes incluyen la creación de virus y gusanos, realizar ataques para denegación de servicio (DoS), establecer conexiones de acceso remoto no autorizado hacia un dispositivo mediante troyanos o puertas traseras, crear botnets, husmear paquetes, phishing, y romper contraseñas. El motivo detrás del hacking puede ser el robo de información o servicios críticos, por emoción, desafío intelectual, curiosidad, experimentación, conocimiento, ganancias económicas, prestigio, poder, reconocimiento de pares, venganza y afán de venganza, entre otras razones.

Fuentes:

https://en.wikipedia.org/wiki/Hacker
 

El término guerra de información o InfoWar se refiere al uso de las tecnologías de información y comunicación (TIC) para obtener ventajas competitivas sobre un oponente. Ejemplos de armas para la guerra de información incluyen virus, gusanos, caballos de troya, bombas lógicas, puertas trampa, nanomáquinas y microbios, interferencias electrónicas, además de exploits y herramientas para penetración.

Martin Libicki dividió la guerra de información en las siguientes categorías:

Guerra de Comando y Control (Guerra C2): En la industria de seguridad en computadoras la guerra C2 se refiere al impacto poseído por un atacante sobre un sistema o red comprometidos los cuales controla.

Guerra basada en inteligencia: La guerra basada en inteligencia es una tecnología basada en sensores el cual corrompe directamente los sistemas tecnológicos. Según Libicki la "guerra basada en inteligencia" es una guerra consistente en el diseño, protección, y denegación de sistemas los cuales buscan el suficiente conocimiento para dominar el campo de batalla.

Guerra electrónica: De acuerdo a Libicki la guerra electrónica utiliza técnicas radioelectrónicas y criptográficas para degradar la comunicación. Las técnicas radioelectrónicas atacan los medios físicos de enviar información, mientras las técnicas criptográficas utilizan bits y bytes para interrumpir los medios para enviar información.

Guerra psicológica: La guerra psicológica es el uso de varias técnicas tales como propaganda y terror para desmoralizar al adversario en un intento de tener éxito en la batalla.

Guerra de hackers: De acuerdo a Libicki el propósito de este tipo de guerra puede variar desde el apagado de sistemas, errores de datos, robo de información, robo de servicios, vigilancia de sistemas, mensajes falsos, y acceso a datos. Los hackers generalmente utilizan virus, bombas lógicas, caballos de troya, y sniffers para realizar estos ataques.

Guerra económica: Libicki anota la guerra de información económica puede afectar la economía de una empresa o nación, bloqueando el flujo de información. Esto podría ser especialmente devastador para las organizaciones realizando muchos negocios en el mundo digital.

Ciberguerra: Libicki define la ciberguerra como el uso de sistemas de información contra identidades virtuales de individuos o grupos. Esta es la más amplia de todas las guerra de información. Incluye el terrorismo de información, ataques semánticos (similar a la guerra de hackers, pero en lugar de dañar un sistema, tienen control sobre el sistema mientras mantienen la percepción de opera correctamente) y la guerra simulada (por ejemplo adquirir armas para una mera demostración en lugar de hacer uso real).

Cada forma de guerra de información mencionada anteriormente consta ya sea estrategias defensivas y ofensivas.

• Guerra de Información Defensiva: Involucra todas las estrategias y acciones para defenderse contra ataques a los activos de TIC.
• Guerra de Información Ofensiva: Involucra ataques contra los activos de TIC de un oponente.

Fuentes:

https://iwar.org.uk/
 

Los ataques de seguridad son clasificados en cinco categorías: pasivos, activos, de proximidad, internos, y distribución.

Ataques Pasivos

Los ataques pasivos involucran interceptar y vigilar tráfico de red y el flujo de datos sobre la red, además de no alterar los datos. Los atacantes realizan un reconocimiento sobre las actividades de la red utilizando sniffers. Estos ataques son muy difíciles de detectar, pues el atacante no tiene interacción activa con el sistema o la red. Los ataques pasivos permiten a los atacantes capturar datos o archivos siendo transmitidos en la red sin el consentimiento del usuario. Por ejemplo un atacante puede obtener información como datos en tránsito sin encriptar, credenciales en texto plano, u otra información sensible útil para realizar ataques activos.

Ataques Activos

Los ataques activos alteran los datos en tránsito o interrumpen la comunicación o los servicios entre los sistemas para eludir o irrumpir en sistemas asegurados. Los atacantes lanzan ataques sobre el sistema o la red enviando tráfico activamente el cual puede ser detectado. Estos ataques son realizados sobre la red para explotar la información en tránsito. Penetran o infectan la red interna y ganan acceso hacia un sistema remoto para comprometer la red interna.

Ataques de Proximidad

Los ataques de proximidad son realizados cuando el atacante está en cercana proximidad física con el sistema o red. La meta principal de realizar este tipo de ataque es recopilar o modificar información o interrumpir su acceso. Por ejemplo un atacante podría mirar por sobre el hombro las credenciales de un usuario. Los atacantes ganan cercana proximidad a través de entradas clandestinas, acceso abierto, o ambos.

Ataques Internos

Los ataques internos son realizados por personas de confianza quienes tienen acceso físico hacia los activos críticos. Un ataque interno involucra utilizar acceso privilegiado para violar las reglas o intencionalmente causar una amenaza hacia la información o sistemas de información de la organización. Los usuarios internos pueden fácilmente eludir reglas de seguridad, corromper recursos valiosos, y acceder hacia información sensible. Hacen un uso indebido de los activos de la organización para directamente afectar la confidencialidad, integridad, y disponibilidad de los sistemas de información. Estos ataques impactan las operaciones comerciales, la reputación, y ganancias de la organización. Es difícil identificar un ataque interno.

Ataques de Distribución

Los ataques de distribución ocurren cuando los atacantes manipulan el hardware o software antes de su instalación. Los atacantes manipulan el hardware o software en su origen o cuando están en tránsito. Ejemplos de ataques de distribución incluyen puertas traseras creadas por los proveedores de software o hardware al momento de la fabricación. Los atacantes aprovechan estas puertas traseras para ganar acceso no autorizado hacia la información, sistemas o red.

Fuentes:

https://ntrl.ntis.gov/NTRL/dashboard/searchResults/titleDetail/ADA60635…
 

Una vulnerabilidad se refiere a una debilidad en el diseño o implementación de un sistema el cual puede ser explotado para comprometer la seguridad del sistema. Frecuentemente es una falla la cual permite al atacante ingresar al sistema eludiendo la autenticación del usuario. Existen generalmente dos causas principales para sistemas vulnerables en una red, inadecuadas configuraciones en software o software y malas prácticas en programación. Los atacantes explotan estas vulnerabilidades para realizar varios tipos de ataques sobre recursos de la organización.

Razones Comunes para la Existencia de Vulnerabilidades

Incorrecta Configuración de Hardware o Software

La configuración insegura de hardware o software en una red puede conducir hacia vulnerabilidades de seguridad. Por ejemplo una incorrecta configuración o el uso de un protocolo sin encriptar puede conducir a intrusiones en la red, resultando en exposición de información sensible. Aunque una incorrecta configuración de hardware puede permitir a los atacantes obtener acceso hacia la red o sistema, una incorrecta configuración de software puede permitir a los atacantes obtener acceso hacia las aplicaciones y datos.

Diseño Inseguro o Deficiente de la Red y las Aplicaciones

El diseño inadecuado e inseguro de una red puede hacerla susceptible a varias amenazas y potencial  pérdida de datos. Por ejemplo si las tecnologías firewall, IDS y VPN no son implementadas de manera segura pueden exponer la red a numerosas amenazas.

Debilidades Tecnológicas Inherentes

Si el hardware o software no son capaces de defender la red contra ciertos tipos de ataques, la red será vulnerable a estos ataques. Cierto hardware, aplicaciones, o navegadores web tienden a ser propensos ante ataques como ataques DoS o ataques Man-in-the-Middle. Por ejemplo sistemas ejecutando versiones antiguas de navegadores web son propensos ante ataques distribuidos. Si los sistemas no son actualizados el pequeño ataque de troyano puede forzar al usuario a escanear y limpiar todo el almacenamiento en la máquina, lo cual frecuentemente conduce a la pérdida de datos.

Descuido del Usuario Final

El descuido del usuario final impacta considerablemente la seguridad de la red. El comportamiento humano es bastante susceptible a varios tipos de ataques, y puede ser explotado para tener serios efectos, incluyendo pérdida de datos y fuga de información. Los intrusos pueden obtener información sensible mediante varias técnicas de ingeniería social. Compartir información de cuentas o credenciales para inicio de sesión con entidades potencialmente maliciosas, puede conducir hacia la pérdida de datos o explotación de información. Conectar sistemas hacia una red insegura también puede conducir hacia ataques desde terceros.

Actos Intencionales del Usuario Final

Los ex empleados quienes siguen teniendo acceso hacia unidades compartidas pueden hacer uso indebido de estos revelando información sensible de la compañía. Este tipo de acto es denominado un acto intencional del usuario final, y puede conducir hacia pérdidas financieras y de datos para la compañía.

Fuentes:

https://www.rapid7.com/fundamentals/vulnerabilities-exploits-threats/
 

Los términos "tácticas, técnicas y procedimientos" se refieren a patrones de actividades y métodos asociados con actores específicos de amenazas o grupos de actores de amenazas. Las TTPs son útiles para analizar amenazas y perfilar a los actores de amenazas, además pueden ser utilizados para fortalecer la infraestructura de seguridad de una organización.

El término "tácticas" es definido como una estrategia seguida por un atacante para realizar el ataque de inicio a fin.

La palabra "técnicas" es definida como los métodos técnicos utilizados por un atacante para lograr resultados intermedios durante el ataque.

Finalmente la palabra "procedimientos" es definida como una perspectiva sistemática seguida por los actores de amenazas para lanzar un ataque.

Para entender y defenderse de los actores de amenazas es importante comprender las TTPs utilizadas por los adversarios. Entender las tácticas de un atacante ayuda a predecir y detectar amenazas en evolución durante sus primeras etapas. Entender las técnicas utilizadas por los atacantes ayuda a identificar vulnerabilidades e implementar medidas defensivas con anticipación. Por último analizar los procedimientos utilizados por los atacantes ayuda a identificar aquello lo cual un atacante está buscando dentro de la infraestructura de la organización.

Fuentes:

https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures
 

Un ataque es una acción realizada con la intención de vulnerar la seguridad de un sistema TI explotando sus vulnerabilidades. Un ataque involucra un intento de obtener, editar, eliminar, destruir, implantar, o revelar información sin acceso autorizado. También se refiere a software o comandos maliciosos los cuales explotan vulnerabilidades para causar un comportamiento imprevisto en software o hardware legítimo. Por lo tanto un ataque puede conceptualizarse como la combinación de un motivo y un método para ejecutar el ataque, lo cual explota una o más vulnerabilidades del sistema.

Ataques = Motivo (Objetivo) + Método (TTP – Tácticas Técnicas y Procedimientos) + Vulnerabilidad

Motivos (Metas)

Los atacantes generalmente tienen motivos (metas) y objetivos detrás de sus ataques a la seguridad de información. Un motivo se origina en la noción de un sistema almacena o procesa algo valioso, lo cual genera la amenaza de un ataque sobre el sistema. El propósito del ataque puede ser interrumpir las operaciones comerciales de la organización, robar información valiosa por curiosidad, o incluso vengarse. Por lo tanto estos motivos o metas dependen del estado de ánimo del atacante, su razón para realizar esta actividad, como también sus recursos y capacidades. Una vez el atacante determina su meta, puede emplear diversas herramientas, técnicas de ataque, y métodos para explotar las vulnerabilidades en un sistema de cómputo o políticas y controles de seguridad.

Motivos detrás de ataques a la seguridad de información

• Interrumpir la continuidad del negocio
• Realizar robo de información
• Manipular datos
• Generar miedo y caos mediante la interrupción de infraestructuras críticas
• Provocar pérdidas financieras
• Propagar creencias religiosas o políticas
• Lograr los objetivos militares de un estado
• Dañar la reputación
• Venganza
• Exigir un rescate

Fuentes:

https://www.startupdefense.io/blog/understanding-the-motivations-and-go…
 

La seguridad de información es “el estado de la información e infraestructura donde la posibilidad de robo, manipulación, o interrupción de información y servicios se mantiene bajo o tolerable”. Se basa en cinco elementos principales: Confidencialidad, integridad, disponibilidad, autenticidad, y no repudio.

Confidencialidad

La confidencialidad es la garantía de la información es accesible unicamente para autorizados. Las brechas a la confidencialidad pueden ocurrir debido a un inapropiado manejo de datos o un intento de hacking. Los controles de confidencialidad incluyen la clasificación, encriptación de datos, y una apropiada eliminación de equipos (como DVD, unidades USB y discos Blu-ray).

Integridad

La integridad es la fiabilidad de los datos o recursos en la prevención de cambios inapropiados o no autorizados; es decir la garantía de la información es lo suficientemente precisa para su propósito. Los mecanismos para mantener la integridad de datos pueden incluir una suma de verificación (un número producido por una función matemática para verificar un bloque de datos determinado no ha cambiado) y control de acceso (lo cual garantiza únicamente personas autorizadas puedan actualizar, añadir, o borrar datos).

Disponibilidad

La disponibilidad es la garantía los sistemas responsables para la entrega, almacenamiento, y procesamiento de información sean accesibles cuando sean requeridos por usuarios autorizados. Los mecanismos para mantener la disponibilidad de los datos puede incluir arreglos de discos para sistemas redundantes y equipos en clúster, software antivirus para combatir malware, y sistemas para la prevención de negación de servicio distribuido (DDoS).

Autenticidad

La autenticidad se refiere a la característica de las comunicaciones, documentos, o cualquier dato garantiza la calidad de ser genuino o sin corrupción. El rol principal de la autenticación es para confirmar un usuario es genuino. Controles como biometría, tarjetas inteligentes, y certificados digitales garantizan la autenticidad de los datos, transacciones, comunicaciones, y documentos.

No repudio

El no repudio es una manera de garantizar el remitente de un mensaje no pueda negar posteriormente haberlo enviado, y tampoco el receptor no pueda negar haber recibido el mensaje. Individuos y organizaciones utilizan firmas digitales para garantizar el no repudio.

Fuentes:

https://destcert.com/resources/five-pillars-information-security/
 

Los servicios en la nube han permitido a las empresas hacer más por menos. Aunque esto tiene beneficios cuantitativos inmediatos, existen riesgos inherentes de ciberseguridad los cuales deben ser resueltos antes de los proveedores de la nube puedan establecer una relación de confianza.

Recomendaciones para la Continuidad del Negocio

• Revisar el contrato de compromisos con terceros para mantener y continuar los servicios.
• Revisar los procesos para Continuidad del Negocio de terceros y cualquier certificación necesaria
• Conducir una evaluación in situ sobre las instalaciones del Proveedor de Servicios en la Nube (CSP)
• El cliente debe asegurarse de recibir confirmación de cualquier prueba BCP/DR realizada por el CSP.

Recomendaciones para Recuperación ante Desastres

• Los clientes de la nube no deben depender sobre un solo proveedor, y deben tener un plan para Recuperación ante Desastres en el evento el proveedor falle
• Los proveedores IaaS deben tener acuerdos contractuales con múltiples proveedores, y estar listos para restaurar rápidamente los sistemas en el evento de una falla crítica

Es importante revisar el plan para restauración documentada del proveedor de servicios, incluyendo los detalles de las prioridades para la restauración. Este debe estar alineado con el SLA.

Acordar detalladamente los controles para seguridad de la información los cuales se consideran e implementan durante el proceso para restauración, tales como:

• Autorizaciones del personal
• Seguridad en sitios alternativos
• Dependencia sobre otros proveedores y servicios
• Separación física y lógica del sitio secundario

Fuentes:

https://cloudsecurityalliance.org/