2019

HACKING ETICO Y
ANALISIS FORENSE
ENTREGABLE 1

JUAN CARLOS RODRIGUEZ SANCHEZ

UNITEC CAMPUS CUITLAHUAC
19/07/2019
 Nombre: Juan Carlos Rodriguez
Número de cuenta: 09081299
Sanchez
Nombre del curso: Nombre del profesor:
Hacking Ético y Análisis Forense Dr. Alejandro Gomez Ramos
Entregable 1
Actividad: Ensayo

Fecha: 19/07/19

Bibliografía sugerida:

The “Ethics” of Teaching Ethical Hacking, International Information Management

Association, Inc. 2013, Volume 22, Number 4 2013.

CONTENIDO

INTRODUCCION.............................................................................................................................2
DESARROLLO................................................................................................................................3
CONCLUSION.................................................................................................................................7
BIBLIOGRAFÍA................................................................................................................................9

8
TITULO

HACKING ETICO: BLACK-HAT, WHITE-HAT Y LA VULNERABILIDAD EN LAS

EMPRESAS.

INTRODUCCION

En la actualidad las empresas y sus operaciones dependen en gran medida de la

tecnología y por ende esta dependencia digital requiere protección, con el
incremento de actividades maliciosas, las organizaciones invierten en recursos
adicionales dentro de sus estrategia de seguridad cibernética.

A pesar de que México ha sido posicionado como el número 28 de 193 países en

términos de preparación en seguridad cibernética, en el Índice de Ciberseguridad
Global (ICG) de La Unión Internacional de Telecomunicaciones (UIT), el promedio
mexicano se coloca entre los tres primeros países de la región de las Américas,
precedido sólo por los Estados Unidos y Canadá. (IDC ONLINE, 2018).

La seguridad de las TI protege la integridad de las tecnologías de la información

de los ataques, aquellas empresas que compiten en una transformación digital,
deben de comprender como adoptar las soluciones de seguridad y hacer que esta
sea parte de la infraestructura y por ende esto permite que sea una seguridad
proactiva y reactiva.

Aunque México se encuentra en el tercer lugar de los países más preparados y

consientes en seguridad cibernética. Las empresas tienen un camino por recorrer
para lograr asegurar apropiadamente sus empresas desde el interior. Es esencial
invertir y tomar acciones correctas debido al actual panorama de riesgos
cibernéticos. Para los 2019 especialistas del Economista plantearon que habría
más ataques para los cuales el país no está preparado. El phishing, es decir el
engaño cometido contra una persona a través de medios digitales con el fin de
que entregue información de manera voluntaria, es la puerta de entrada de
amenazas. (RIQUELME, 2018).

8
El Hacking ético se ha convertido fundamentalmente un servicio que detecta
donde está la vulnerabilidad, este se encarga de analizar los sistemas informáticos
corporativos, este asume un rol de un pirata informático y simula ataques a la
empresa todo esto con el objetivo de evaluar el estado real de la Seguridad TI.

Para lograr el objetivo del hackig ético se debe de contar con la autorización de la
empresa y esta debe de estar plasmada en un contrato donde se indique las
obligaciones que debe cumplir el auditor:

 Confidencialidad
 Integridad
 Secreto profesional
 Límites de la auditoria.

Lo que nos lleva al resultado final donde se indican los puntos débiles de la
empresa y los pasos a seguir para eliminar dichas debilidades o bien mitigar en
caso de no poderse eliminar.

DESARROLLO

La seguridad de TI su punto principal era fortalecer, mantener y vigilar el perímetro

del centro de datos, actualmente ese perímetro ya no existe, la manera en la que
se desarrolla, implementa, integra y gestiona cambio. Las transformaciones
digitales exigen un cambio en los programas de seguridad de forma continua y
flexible integrándose en un mundo digital. Uno de los factores en seguridad que le
preocupa a la empresa son los ciberataques, estos son ataques informáticos que
pueden dañar los equipos, que se caiga la red de trabajo, sustraer información
secreta o privada de la empresa. Es por eso que se debe destinar recursos
necesarios para evitar que esto pase. Al paso de los años se ha intentado frenar
los ataques, pero ahora la tendencia cambio, el objetivo no es solo prevenir si no
informar y formar al personal para que hagan buen uso de los equipos y no
pongan en peligro a la empresa. Y se hace más frecuente detectar problemas por
el mal uso de los empleados.

Las principales amenazas a la seguridad de los sistemas digitales en la empresa

se encuentran a través de programas maliciosos, malware, spyware, virus,

8
gusanos o troyanos, estos pueden acceder a las cuentas o a las estructuras
informáticas de la empresa. Algunas amenazas pueden entrar a través de
sistemas mal programados y estos pueden ser utilizados por piratas informáticos
estos facilitan puertas de entrada a elementos digitales no deseados. Los intrusos
fuera de la organización pueden entrar a los sistemas y vulnerarlos sin contar con
autorización previa y pueden sustraer datos.

El hacking ético debe calcular los riesgos de los dispositivos y componentes que
están bajo su alcance, de esta manera se protegen adecuadamente y se evalúan
los bienes, las amenazas y vulnerabilidades, el hacking ético está basado en:

 En el conocimiento de la red del sistema

 La interacción del usuario
 Las políticas
 Los procedimientos
 La seguridad física
 La cultura empresarial

Se requiere una comprensión amplia de las estrategias de ataque y un

conocimiento de las tácticas y herramientas del pirata informático para proteger los
sistemas y redes de una empresa. El uso de metodologías de ataque va creciendo
por tal motivo la Ingenieria Social exige que la organización y los hábitos de los
usuarios de las TI o bien el personal se haga de manera consiente.

El hacking ético se define, a través de lo que hacen los profesionales dedicados a

esto; estos son contratados para hackear un sistema e identificar las
vulnerabilidades y repáralas, se previene eficazmente. Estos expertos se
especializan en las pruebas de penetración del sistema y del software con el fin de
fortalecer y mejorar la seguridad.

Las denominaciones para los piratas informáticos son las siguientes:

 White-hat: Mejora de seguridad, encontrar vulnerabilidades, notifica para

mitigar o prevenir.

8
  Black-hat: Sus razones son egoístas, financieras, venganza, causar
confictos, robos, fraude, extorsión.
 Grey-hat: Puntos de vista morales, hacking para grupos opositores
ideológicos o lanzar protestas, hacktivistas.

El termino ethical hacking surge porque era necesario aclarar que el hacking no
necesariamente tiene que ser malo, un verdadero profesional en el área de
seguridad de la información utiliza todas sus habilidades y conocimientos para
identificar y administrar las brechas de un sistema de seguridad en una compañía
o sistema.

Los piratas informáticos han sido el arma más poderosa contra los
ciberdelincuentes, los profesionales con un profundo conocimiento de cómo
penetrar en la seguridad de una infraestructura en línea se implementan
comúnmente para encontrar vulnerabilidades que aquellos del otro lado del
espectro de piratería moral buscarían explotar.

Porque es ético; para anular el ataque de un criminal informático y no serlo, tiene

que haber ética de por medio. Se puede simular ser el atacante y posterior
informar las vulnerabilidades del sistema, pero esta interacción solo se puede
lograr si la persona que efectúa este acto es ética y profesional, la ética implica
que el trabajo y la intervención del White-hat en seguridad informática no
comprometa en ninguna forma los activos de la empresa.

Los lineamientos de conducta del hacking ético en los cuales debe de estar
enfocado:

 Reportes completos
 Un precio justo
 Confidencialidad
 No dar criticas ni inculpar
 No aceptar sobornos
 No manipular los resultados
 Delegar a los mejores capacitados

8
  No prometer lo imposible de cumplir
 Responsabilidad en su rol
 Manejar los recursos de manera eficiente

La Ingenieria Social es una técnica utilizada por los piratas informáticos black-hat
para engañar a las personas y extraer información personal o bien sustraer
información confidencial de una empresa, mientras que los piratas informáticos
White-hat se emplean para aprobar las defensas de una compañía, para probar
los sistemas de una empresa.

Las grandes organizaciones corporativas a menudo cuentan con fuertes medidas

de seguridad, por lo que es natural centrarse en los elementos más débiles de la
cadena de suministro, sus proveedores o clientes. Pueden ser compañías más
pequeñas con protecciones limitadas, pero que tienen acceso privilegiado a los
sistemas proporcionados por la gran empresa.

La organización necesita transformar sus estrategias de seguridad como parte de

la transformación digital, según un último informe de CHECK POINT, uno de cada
cinco empleados causará una brecha de seguridad mediante el mal uso de su
dispositivo móvil. Es por ello que, los ciudadanos en general, y los profesionales y
empleados en particular, subrayan que son el “eslabón más débil” de la cadena en
la ciberseguridad. El phishing y la ingeniería social son las técnicas más
empleadas para llegar hasta ellos.  

Por tanto, sin una cultura básica y la formación y conocimiento adecuados, el

problema puede volverse cada vez más complejo y mayor, ya que los
ciberdelincuentes tienen espacios abiertos a través de los que pueden vulnerar y
explotar cualquier dominio o dispositivo. Es fundamental que los usuarios y
empleados reciban la formación adecuada sobre los riesgos y las amenazas y
cómo prevenir ser víctima y sus consecuencias.

Como consecuencia de todo lo anterior, la ciberseguridad se convierte en un “bien

común”, que debe ser buscado, cuidado y asegurado por todos los participantes

8
de la transformación y desarrollo digital, puesto que su inadecuada administración
y descontrolada utilización, puede traer inesperadas y graves consecuencias para
infraestructuras. Esto supone comprender que la convergencia tecnológica, las
nuevas tecnologías digitales y los intereses estratégicos de las entidades exigen
plantear cambios en la manera de producir, regular y proteger su valor
institucional. Basado en esta definición, la ciberseguridad se puede configurar
como un “bien común” que requiere un marco jurídico de actuación, una serie de
acuerdos y compromisos entre los interesados.

CONCLUSION

Hacking ético es una forma de referirse al acto de una persona usar sus
conocimientos de informática y seguridad para realizar pruebas en redes y
encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin
hacer daño.  La idea es tener el conocimiento de cuales elementos dentro de una
red son vulnerables y corregirlo antes que ocurra hurto de información, por
ejemplo. Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En
español se conocen como "pruebas de penetración", en donde se intenta de
múltiples formas burlar la seguridad de la red para robar información sensitiva de
una organización, para luego reportarlo a dicha organización y así mejorar su
seguridad. (GLOSARIO DE INFORMATICA E INTERNET, 2019)

La ventaja del hacking ético es la aportación que se hace a las empresas, la

protección de los ciberataques y conseguir los siguientes objetivos fundamentales:

Prevención: adelantarse a los posibles ataques de los cibercriminales

solucionando las vulnerabilidades que estos puedan causar.
Concientizar: salvaguardar la confidencialidad, integridad y disponibilidad
de los sistemas informáticos, los datos y su gestión.
Mejorar los procesos de seguridad.
Actualización de software
Plan de respuesta a incidentes.

8
 Acuerdo de auditoria: consensuado con el cliente donde se refleja el
alcance la auditoria.
Recopilación: Recaba la información de su objetivo, para ello se emplea
diversas herramientas de búsqueda: información de empleados, emails,
nombres de usuarios, información personal (para tratar de adivinar su
contraseña); información corporativa.
Amenazas: el moldeado de amenazas con la información se define la
importancia de los activos.
Vulnerabilidades: Se analiza los puertos y servicios para localizarlas, se
usan recursos como las bases de datos.
Explotación: Confirmación de las vulnerabilidades y los riesgos reales.
Post: Se recopilan las evidencias y se valora el impacto.
Reporte: Se elabora un informe detallado con todas las vulnerabilidades,
como explotarlas y como corregirlas o bien mitigarlas.
Plan de mitigación de vulnerabilidades.

El hacking ético puede enfocarse en el análisis de las redes tanto internas como
externas de la empresa o bien de las aplicaciones web.

En conclusión el White-hat identifica las posibles amenazas que las empresas

tienen y el reto de reducir e identificar los riesgos; estos deben de comprenderse y
administrarse de manera oportuna y segura, asegurando así la productividad. Algo
muy importante es un presupuesto y/o un plan anual donde se reserven los
recursos necesarios para la realización de los proyectos en temas de seguridad,
penetración interna y perimetral, exposición de vulnerabilidades, en función que la
empresa disponga una imagen global sobre su gestión tecnológica.

8
BIBLIOGRAFÍA

GLOSARIO DE INFORMATICA E INTERNET. (25 de ENERO de 2019). Recuperado el 18 de JULIO de

2019, de https://www.internetglosario.com/1131/Hackingetico.html

IDC ONLINE. (26 de ABRIL de 2018). Recuperado el 20 de JUNIO de 2019, de

https://idconline.mx/corporativo/2018/04/25/mexico-lider-en-el-indice-de-
ciberseguridad-global-de-al-y-el-caribe

INSTITUTO NACIONAL DE CIBERSEGURIDAD. (20 de JUNIO de 2019). Recuperado el 21 de JUNIO de

2019, de INCIBE: https://www.incibe.es/

MEDIAKIX. (20 de JUNIO de 2019). Recuperado el 2019 de 06 de 21, de https://mediakix.com/

RIQUELME, R. (29 de DICIEMBRE de 2018). NO PINTA UN 2019 SOLIDO PARA LA CIBERSEGURIDAD

DE MÉXICO. EL ECONOMISTA, pág. SITIO WEB.