Tema1. Introducción Al Hacking Ético
Tema1. Introducción Al Hacking Ético
Tema1. Introducción Al Hacking Ético
Introducción al hacking
ético
Índice
Esquema 3
Ideas clave 4
1.1. Introducción y objetivos 4
1.2. Fases del hacking ético 6
1.3. Tipos de auditorías 9
© Universidad Internacional de La Rioja (UNIR)
A fondo 17
Test 18
Esquema
© Universidad Internacional de La Rioja (UNIR)
Hoy en día, vivimos en un mundo interconectado que nos hace ser cada vez más
vulnerables, debido a la sobreexposición en la que nos encontramos. Por este motivo,
la mayoría de las empresas dotan a sus sistemas de la robustez necesaria para poder
enfrentarse a las nuevas amenazas tecnológicas del momento. En este tema
conoceremos qué procedimientos se siguen a la hora de ejecutar las actividades de
pentesting y podremos entender los diferentes tipos de auditorías existentes. Con
toda esta información, seremos capaces de entender el proceso que siguen los
vectores de ataque más frecuentes.
Una vez se han detectado los fallos de seguridad, será la compañía afectada la que
deberá decidir si dichos riesgos los previene, los corrige, los acepta o los mitiga. Por
parte del auditor técnico, o pentester, recaerá la importante labor de redactar un
informe en el que queden constatadas las evidencias y pruebas que se llevaron a
cabo para explotar dicha vulnerabilidad.
Existe una gran polarización respecto a cómo se conoce a las personas que llevan a
© Universidad Internacional de La Rioja (UNIR)
Black-Hat Hackers. Son personas que no cumplen con la ley en sus acciones. Son
los que comúnmente se conocen como ciberdelincuentes.
© Universidad Internacional de La Rioja (UNIR)
Una vez que conocemos los tipos de personas que pueden llevar a cabo la explotación
de vulnerabilidades, vamos a ver en qué consiste un pentest y sus fases. Un pentest
es la actividad y pasos que se siguen para encontrar y detectar vulnerabilidades en
los sistemas. Para ello, los profesionales se apoyan en diferentes metodologías para
realizar estos trabajos de una manera esquematizada y sistemática. Entre ellas,
podemos destacar las siguientes:
Red Team
Los miembros del Red Team (seguridad ofensiva) se confunden habitualmente con
los pentesters, pero no son lo mismo. Aunque hay una cierta superposición entre las
funciones y habilidades de unos y otros.
Los Red Teams emulan a los atacantes utilizando sus mismas herramientas o
similares, explotando las vulnerabilidades de seguridad de los sistemas y/o
aplicaciones (exploits), técnicas de pivoting (saltar de una máquina a otra) y objetivos
(sistemas y/o aplicaciones) de la organización.
Por lo tanto, el Red Team es un entrenamiento para el Blue Team, donde se evalúa
la capacidad real que tiene una organización para proteger sus activos críticos y sus
capacidades de detección y respuesta considerando tanto el plano tecnológico, como
Blue Team
Por lo tanto, el principal objetivo del Blue Team es realizar evaluaciones de las
distintas amenazas que puedan afectar a las organizaciones, monitorizar (red,
sistemas, etc.) y recomendar planes de actuación para mitigar los riesgos. Además,
en casos de incidentes, realizan las tareas de respuesta, incluyendo análisis de
forense de las máquinas afectadas, trazabilidad de los vectores de ataque, propuesta
de soluciones y establecimiento de medidas de detección para futuros casos.
Purple Team
© Universidad Internacional de La Rioja (UNIR)
Los equipos morados (Purple Team) existen para asegurar y maximizar la efectividad
de los equipos rojo y azul. Lo hacen integrando las tácticas y controles defensivos
del Blue Team con las amenazas y vulnerabilidades encontradas por el Red Team.
1.5. APTs
En 2007, Estonia sufrió un ciberataque sin precedentes, que dejó inoperativos los
servicios de intercomunicación de todo el país durante horas, lo que impidió, entre
otras cosas, la realización de transacciones bancarias. La envergadura del ataque, que
además se relacionó con una protesta política, pone de manifiesto la vulnerabilidad
de los estados frente a ataques informáticos (lo que motiva la instalación del CCDCOE
de la OTAN en Tallin), y arroja un nuevo término que servirá en adelante para
© Universidad Internacional de La Rioja (UNIR)
Se conocen como APT aquellas amenazas que, por las capacidades que demuestran
tener (uso de exploits avanzados, realización de esfuerzos costosos en términos de
Así, por ejemplo, se asocian incidentes como Stuxnet (Wikipedia, 2021) a servicios
israelíes o estadounidenses, porque buscaba frenar el plan nuclear de Irán; o Careto
a fuentes de España, por contener cadenas de texto en español dentro de su código.
Aunque quizá el incidente con mayor impacto en la última década haya sido el
sufrido por SolarWinds entre 2020 y 2021, conocido como Solorigate (Microsoft,
2021). Es un buen ejemplo para caracterizar las APT frente a otras amenazas:
El objetivo fue instalar esa puerta trasera para llegar a sus clientes, en lo que se
conoce como supply-chain attack. Los clientes de SolarWinds eran grandes
compañías, entre las que se encontraba el Departamento de Defensa de Estados
Unidos (tiene como objetivo sistemas críticos).
En este vídeo, titulado Red Team y Blue Team, los estudiantes van a entender, de una
manera más detallada, las diferencias entre los conceptos de Red Team y Blue Team,
indagando sobre el ciclo de vida de la brecha y sus fases.
Microsoft. (2021, enero 20). Deep dive into the Solorigate second-stage activation:
© Universidad Internacional de La Rioja (UNIR)
Ottis, R. (s. f.). Analysis of the 2007 Cyber Attacks against Estonia from the
Information Warfare Perspective. Cooperative Cyber Defence Centre of Excellence.
https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformatio
nWarfarePerspective.pdf
HackIsOn. (2019, junio 25). Penetration testing tutorial - Different types of phases
[Vídeo]. YouTube. https://www.youtube.com/watch?v=uk7bHcfyHig
Se describe cómo se realiza un pentest con varias fases parecidas a las vistas en la
teoría.
Bachiller, J. (2021, octubre 27). Purple Team: ¿pero esto qué es? Security at work.
https://www.securityartwork.es/2021/10/27/purple-team-pero-esto-que-es-i/
vulnerabilidad potencial.
D. Todas las anteriores son ciertas.
7. Llamamos APT a:
A. Una Amenaza Persistente Avanzada.
B. Un protocolo de comunicación alternativo a TCP.
© Universidad Internacional de La Rioja (UNIR)