El hacking tico es la utilizacin de los conocimientos de seguridad en informtica para

realizar pruebas en sistemas, redes o dispositivos electrnicos, buscando vulnerabilidades que

explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema, explica
Abraham..

Qu es el Hacking tico y para

qu sirve?
La seguridad TI es una de las mayores
preocupaciones de las empresas hoy en
da. Adems de contar con una completa
plataforma de seguridad, capaz de proteger la
infraestructura empresarial, el hacking tico se
ha convertido en un servicio fundamental para
detectar dnde est el peligro o la
vulnerabilidad.
El hacking tico analiza los sistemas y programas informticos corporativos, asumiendo el
rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el
estado real de si seguridad TI. Para llevar a cabo este hacking tico es imprescindible contar
con la autorizacin expresa de la empresa, plasmada en un contrato donde se indiquen las
obligaciones que debe cumplir el auditor (confidencialidad, integridad, secreto profesional,
lmites de la auditora, etc.). El resultado final indica los puntos dbiles de la empresa y que
pasos se deben realizar para eliminar dichas debilidades o mitigarlas caso de no ser posible
su eliminacin.

Vector ofrece a sus clientes el servicio de hacking tico dentro de su rea de seguridad de la
divisin Software Products and Outsourcing, dirigida por Francisco Jose Mateos Ballester y
Christopher McMahon. La principal ventaja del hacking tico es que aporta a las
empresas las claves para protegerse de los ciberataques y conseguir tres objetivos
fundamentales:
o Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden
provocar un ciberataque.
o Concienciar a los profesionales de las compaas de la importancia de la seguridad
informtica en su trabajo diario.
o Mejora sus procesos de seguridad (actualizacin de software, plan de respuesta a
incidentes, etc.).
 Tal y como explica Vector, el hacking tico se
divide en varias fases:
Acuerdo de Auditora: consiste en elaborar un documento, consensuado con el cliente, que
refleje el alcance de la auditora, qu pruebas se van a realizar, qu obligaciones tiene el
auditor, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen,
etc.
Recopilacin de Informacin: En esta fase el auditor tratar de recabar toda la informacin
posible sobre su objetivo (empresa o aplicacin). Para ello emplea las ms diversas
herramientas, desde simples bsquedas en Google, Bing, etc. hasta el empleo de herramientas
como NMap y similares en bsqueda de puntos de entrada a la aplicacin y/o empresa. Se
busca informacin de todo tipo entre las que podemos mencionar:
o Informacin sobre empleados: direcciones de emails, nombres de usuarios, informacin
personal (estilo de vida, gustos sobre ocio, foros donde estn inscritos, etc.) para tratar de
adivinar su contrasea en base a dicha informacin, cargo que ostentan en la
organizacin, etc.
o Informacin corporativa: a que se dedica la empresa, direcciones url de la empresa
(internet e intranet), DNS que utiliza, que empresa les da hosting, directorios y archivos
expuestos, servicios abiertos en los servidores de la empresa (http, https, ftp, ssh, etc.),
versiones que ofrece de dichos servicios, sistemas operativos que emplea la
empresa, documentacin filtrada en internet buscando en sus metadatos, bsqueda de
informacin relevante en comentarios en cdigo de la pgina, etc.
Modelado de Amenazas: Con la informacin proporcionada, se define la importancia de los
activos de la empresa y se crean rboles de ataque con posibles amenazas que puedan afectar
a los activos objetivo de la auditora.
Anlisis de Vulnerabilidades: De forma activa se buscan puertos y servicios existentes para
localizar vulnerabilidades. Se usan recursos como bases de datos de vulnerabilidades de
aplicaciones, exploits que exploten dichas vulnerabilidades. Se usan herramientas manuales
y automticas de escaneo de vulnerabilidades para descubrirlas.
Explotacin: En esta fase, el auditor confirma que las vulnerabilidades detectadas en la fase
anterior son riesgos reales a los que est expuesta la empresa.