Web sobre Tecnología y Seguridad Informática
Seguridad

Como ser un hacker ético al igual que Sean Connery

7

Ser hacker ético como Sean Connery , si es que te esfuerzas claro

Sí, sé lo que estás pensando…”uyyyy…una formulita más para captar la atención del lector, y después, na de na…”

Pues mira, no, te equivocas de medio a medio, aunque si quieres saber como ser hacker, este artículo es de lectura obligada.

Quiero Aprender Hacking Ético

Precisamente, Sean Connery interpretó en una de sus películas a uno de los primeros hackers éticos de la historia, al gran investigador, monje franciscano, Guillermo de Baskerville en la extraordinaria película “El nombre de la rosa”; su origen estaba en la obra literaria del mismo nombre, de Umberto Eco editada en 1980.

Por favor, contempla ahora un trailer de la pelicula, dónde con un poco de perspicacia podrás captar qué cualidades tenía Guillermo de Baskerville para ser un hacker ético…si no, yo te lo explicaré…

Es el epílogo, la conclusión de la película, pero nos hace visualizar las magníficas cualidades y habilidades que ha de tener alguien para ser hacker ético.

Empecemos..

  • Extrema curiosidad
  • Afán por descubrir la verdad
  • Valor para exponer dónde está el mal
  • Intrepidez para sortear obstáculos
  • Deseo irrefrenable de resolver problemas (pero nunca se debería resolver el mismo problema dos veces)
  • Resistirse a seguir los usos y las costumbres de la mayoría
  • Defender la justicia
  • Compartir el conocimiento con todos….”A nadie debería de prohibírsele….”
  • Saber quién es su auténtico enemigo …”Buenas noches, venerable Jorge…”
  • Investigar para descubrir cuál es su objetivo….”el segundo libro de poética de Aristóteles”
  • Anticiparse a las maquinaciones del “hacker maligno” [Jorge]…”enfundarse el guante de la mano derecha antes de coger el libro”
  • Leer y meditar hasta entender la sabiduría oculta en los libros
  • Recrear hipotéticas acciones delictivas a fin de comprender cómo piensa el delincuente, y poder actuar con eficacia
  • Restituir la justicia allí donde se necesite y para el que tenga el legítimo derecho

Bien, hasta aquí la lista, pues solo es un anticipo de lo que veremos y ya aplicado a la formación como hacker ético.

¿Cómo definiríamos a un hacker ético del Siglo XXI?

Dado que en muchos foros sigue siendo algo que inspira temor, resquemor y desconfianza, para podernos pronunciar con propiedad hemos de explicarnos con claridad.

La gente ve en un hacker a un intruso que viola la ley y la privacidad  de otros, por diversión malsana o cruel o por lucro económico al apropiarse de información confidencial.

Un hacker se define como un pirata informático, por lo que siempre se asocia a un delincuente.

Si nos ceñimos a la acepción literal en inglés “hack” nos encontramos con que significa para nosotros “cortar” “desmochar” “la acción de un machete”; es decir, una herramienta incisiva que corta o desgarra, como la que usaba el “Capitán Hook” –su garfio–[por cierto un pirata] en la película Peter Pan…

Así, de un hacker se piensa que es un personaje siniestro, cabizbajo, con capucha, escondido en una habitación desordenada y rodeado de tazas de café y  cajas de pizza con restos endurecidos.

Se le ve con varias pantallas oscuras con líneas de código parpadeante de color verde, y detrás la sombra de un personaje siniestro que le presiona para conseguir algo a lo que no tiene derecho.

Bien, estas personas sí existen, pero no son hackers, son “cibercriminales” “delincuentes” tal y como explicó en cierta ocasión Angel-Pablo Avilés “Angelucho”: ‘Un hacker es un experto en seguridad. El que comete el delito es delincuente, no hacker’  ..

http://elblogdeangelucho.com/elblogdeangelucho/

¿No se enreda más al añadir el ‘ético’ detrás de hacker?

Sin embargo, hay que reinvidicar el término hacker tal y como se le entiende hoy, con su complemento “ético”.

La ética estudia la moral de las acciones del ser humano en su relación con lo bueno o malo.

Así, por ejemplo, una acción “poco ética” es la que se aleja de la moral de la honradez y de la honestidad cuando explicamos la verdad a medias, o con ‘tecnicismos manipulatorios’ para que el interlocutor entienda “A” sobre el asunto “B” usando palabras de contenido “C”.

Para ilustrarlo: el empleado explica a su jefe que ha de salir más temprano del trabajo, tres horas antes, porque “ha estado enfermo” y “tiene una cita médica” [son palabras C] no miente literalmente porque sí estuvo enfermo la semana pasada [asunto B] y su jefe entiende que hoy está enfermo y ha de ir al médico [palabras A].

En realidad estaba encubriendo que lo  que quería de verdad era irse a la playa con su novia, y de paso, eso sí era cierto, iría a darse una inyección a la farmacia. Le ocuparía solo 20 minutos, no tres horas. = Falto de ética.

El hacker ético es aquel experto en ciberseguridad que tiene todas cualidades y habilidades descritas en  la tabla inicial.

Hay que seguir usando el término hacker porque la gente común entiende rápidamente que es un súper-experto en programación, con conocimiento de diferentes sistemas operativos, que domina el arte de la intrusión y  porque puede averiguar dónde hay una vulnerabilidad.

Pero le añadiremos “ético” porque se desenvuelve del lado de la ley, con una moral impoluta porque no conculca el derecho a la privacidad ni la propiedad de otros.

¿A quién se parece el hacker ético?

Es como el criminólogo que perfila los patrones criminales, se mete en la mente del delincuente y recrea situaciones del facineroso para poder a) capturar al malhechor b) reparar un mal mayor latente o c) prevenir agresiones futuras.

¿Le hemos de tener miedo? ¡Claro que no!

Es como si dudáramos de las intenciones del toxicólogo [Doctor en medicina o química] porque trata con la mamba negra, serpiente mortal de necesidad, diez veces más mortífera que su prima la mamba verde.

¿No recurriremos a él en caso de una mordedura de un áspid venenosa? ¿Pensaremos que está conchabado con la familia mafiosa de la víbora? ¿O acaso que se va a pasar al lado oscuro la semana próxima?

Aquí os dejo un video muy clarificador de Chema Alonso sobre el tema…

Especímenes de los hackers en jerga propia

Como os gustan las listas, venga otra sobre la clasificación de los hackers dentro de este mundillo…

  • Sombrero blanco
    • Es el perfil de hacker ético que previa autorización contractual con su cliente, y por tanto por razones no maliciosas, rompe el perímetro de seguridad con sus pruebas de pentesting. Evalua los riesgos, recrea posibles actuaciones de los cibercriminales y recomienda acciones a implementar para la protección de su cliente.
  • Sombrero negro
    • Es La maldad personificada, porque el objetivo no es ya el lucro propio o de terceros, o tan solo la estúpida diversión de un domingo por la tarde, no. El “sombrero negro” se deleita en arrasar, destruir, aplicar la política de tierra quemada, es un “cracker”. [aquí entrarían las acciones ciber-terroristas]
  • Sombrero gris
    • Otro semi-sinvergüenza. Es un “mix”entre ‘blanco’ y ‘negro’: Irá navegando en su velero virtual un sábado por la tarde y como el que no quiere la cosa, se da cuenta de que el sistema “X” de la empresa Pepitoria, SA tiene un “bug” o “vulnerabilidad”
      • Rápidamente se pone encontacto con ellos y se ofrece a reparar el sistema que él mismo violó [¿o ayudó a romper?] por una tarifa decente, no abusiva.
  • Scrip kiddie
    • Es un inexperto aficionado que entra como un elefante en una cacharerría valiéndose de poderosas herramientas empaquetadas, suites, multi-poli-valentes, pero con poca comprensión de lo que puede desencadenar. Ahora atrevido sí que es. Es un “scrip” o “guión” escrito por otro, que se comporta como un niño peligroso inmaduro mete patas.
  • Newbie
    • Es un novato o neófito que no busca aprender, sino que directamente va preguntando a uno y a otro como hackear Facebook, Whatsapp, etc. Ni caso.
  • Sombrero azul
    • Es primo hermano del ‘sombrero blanco’ pues ha sido contratado por una empresa de consultoría informática de seguridad, para pulsar el nivel de permeabilidad del sistema, pruebas de errores, antes del lanzamiento; busca exploits para poder cerrarlos.
    • Lo podemos comparar al “sparring” del boxeador, o al “cliente cebo” que visita una oficina bancaria para pulsar los “bugs” de los empleados o del Director.

¿Qué formación técnica necesitas para ser un hacker ético?

ser hacker ético

Dado que las cualidades y las habilidades sociales ya las he comentado al principio, ahora solo comentaré sobre la parte técnica que necesita el aspirante.

En realidad no se necesita ser ingeniero informático para ser un brillante profesional del hacker ético, pues una gran mayoría son autodidactas. Si lo eres, pues mejor, porque tienes una base de partida más amplia.

No obstante lo cual, la pasión les lleva a una especialización muy profunda que va mucho más allá del barniz generalista del ingeniero.

Empecemos.

  1. Aprende programación: C, C++, Java, Python, Perl [práctica, práctica y práctica]
  2. Profundiza en los diferentes sistemas operativos del mercado: Linux [el santo grial de los hackers] Windows, Mac OS (apple)
  3. Aprende inglés
  4. Únete a comunidades/foros de hackers que hay en la red.
    1. Haz tus aportes en forma de comentarios bien fundados, prepara sencillas guías, explica tus experimentos
    2. Sé consciente de tu nivel y no hables de lo que no sepas
    3. No hagas preguntas indiscretas y tontorronas que haría un “newbie” o un “scrip kiddie” en el sentido de …¿Cómo puedo hackear el whasapp de mi novia?
    4. Cuando tengas una pregunta interesante que lleve a la reflexión exponla, te habrás ido ganando la confianza  de los más expertos
  5. Comunícate con otros hackers a través de sus blogs, pues puedes hacer comentarios interesantes, más allá de decir que está muy bien el post. Aporta alguna experiencia tuya que esté ligada con lo expuesto, u ofrece algún dato más relacionado con el material del post y que tenga coherencia, pero siempre bien lejos del auto-bombo. Siempre modestia y humildad.
  6. Usa Twitter, una excelente herramienta que ofrece una acción recíproca muy rápida.
    1. Allí me encontrarás a mí como @dagofredo
    2. Crea listas de expertos, sígueles, responde  a sus twits, entrarás rapidamente en su círculo de seguidores activo
  7.  Hay un amplio abanico de disciplinas adicionales que al final acaban siendo de utilidad..
    1. Redes y telecomunicaciones
    2. Criptografía
    3. Electrónica
    4. Ingeniería del software
    5. Forensic
    6. Ingeniería inversa
    7. Ingeniería Social
    8. Arquitectura de computadoras
    9. Estrategias de anonimato
  8.  Elementos propios de la seguridad y el hacking
    1. Seguridad perimetral
    2. Zonas desmilitarizadas
    3. Estrategias de detección de vulnerabilidades
    4. Planificaciones de control a distancia de un dispositivo
    5. Adaptaciones de seguridad y diagnóstico para Pc’s, Macs, Android
    6. Técnicas de detección y recopilación de datos previas a la fijación de un objetivo
    7. Tratamiento forense para descubrir pistas conducentes a la afloración de un delito
    8. Dominio exhaustivo de las cónsolas de los diferentes S.O.
  9. Herramientas que has de acabar dominando…[aunque hay muchas más, para no asustarte]
    1. Nmap (Scanea direcciones IP y puertos de red)
    2. Wireshark (Es un “sniffer”, pues puede capturar el tráfico que atraviesa cierta red)
    3. Cain & Abel (Se puede usar para capturar paquetes VoIP para escuchar conversaciones telefónicas, hackear redes wifi, para analizar protocolos de enrutamiento, y hasta para penetrar mediante la fuerza bruta y romper contraseñas de otras redes
    4. Metasploit (Actos intrusivos con “exploits” y “payloads” pre-diseñados según las vulnerabilidades conocidas o potenciales de un sistema o dispositivo)
    5. Kali-Linux (Suite completa, con unas 600 herramientas de auditoría y recreación de escenarios de pentesting)
    6. Wifislax (Suite completa, muy parecida a la anterior, pero según algunos puristas más decantada a la auditoría que al pentesting) [Aquí hay que profundizar mucho, porque algunos de los más entendidos están acabando por decantarse por esta herramienta. ¿Mayor soporte? ¿Más intuitiva? ¿Actualiza con mayor rapidez? … Pronto podrás saber más de esta herramienta tan codiciada, te lo aseguro, únete a nuestra comunidad para recibir más información.
    7. Plataformas de entrenamiento para practicar  todo tipo de acciones intrusivas y preventivas

Quiero Unirme a la Comunidad de WifiBit Ahora!

 

Situación del mercado laboral de un Hacker

La transformación digital de las empresas ha sido el catalizador para que se diera el caldo de cultivo necesario para la expansión cibercriminal.

Lo que antes se guardaba en una carpeta, y ésta en un armario de oficina, ahora está en una carpeta virtual.

El ladrón ha tenido que evolucionar.

Ahora la ganzúa y la lanza térmica son los dedos y la mente del cibercriminal.

¿No se dice por ahí, que los servicios de inteligencia rusos se han entrometido en las elecciones de USA? (Me guardo mi técnica opinión de si tiene sentido o no expulsar a 35 señores hackers rusos que estaban de paseo en Washington o en Nueva York) (¿De verdad tenían que estar puerta con puerta de una sede del partido demócrata para la presunta intrusión?) .. Bueno..lo dejo…

Se ha cogido tal pavor, que en esta semana los medios han  informado que en Holanda van a celebrar elecciones con papeleta, a mano alzada y seis personas haciendo el recuento a mano, sin computadores, por el pánico de las intrusiones cibercriminales.

En realidad es que en España se dan 4.000 intrusiones por día, que son 166 a la hora…

Los casos “Snowden” y “Assange” van removiendo el caldero….

La gente acaba concluyendo que sí, que es verdad que la NSA nos está leyendo todo el día, y el FBI por la noche..

Y en realidad no van equivocados…

Por tanto hay una enorme oportunidad en el mercado laboral relativa a la ciberseguridad…

De otro lado la rápida obsolescencia de métodos, aplicaciones y softwares, empuja a un reciclaje continuo de estos profesionales, aparte de la todavía importantísima parcela del sector servicios e industria que tiene la asignatura pendiente de la transformación digital.

Qué perfiles y competencias se necesitan en el mercado

Vale la pena que analices con calma la valiosa información que presenta ..http://revistadigital.inesem.es/informatica-y-tics/perfil-profesional-en-ciberseguridad/

Transcribo el estudio de perfiles  que recoge la publicación..

  • Administradores de seguridad de red
  • Administradores de sistemas de seguridad
  • Administradores de seguridad perimetral
  • Analistas senior de seguridad
  • Arquitectos de seguridad
  • Arquitectos de sistemas de seguridad TI
  • Comerciales de software de seguridad
  • Consultores de seguridad y análisis de riesgos
  • Consultores senior de seguridad y hacking ético
  • Especialistas en seguridad de la información
  • Ingenieros de instrumentación y control de Ciberseguridad
  • Expertos en seguridad informática
  • Técnicos en Ciberseguridad

Y de competencias…

  • Principalmente se busca que el especialista en Ciberseguridad tenga soltura en el manejo de diferentes sistemas operativos, redes y lenguajes de programación, desde el punto de vista de la seguridad informática y de las comunicaciones.
  • Ser capaz de implantar protocolos criptográficos y usar herramientas de seguridad basadas en dichos protocolos.
  • Analizar y detectar amenazas de seguridad y desarrollar técnicas de prevención.
  • Conocer e interpretar la normativa de centros de respuesta a incidentes de seguridad.
  • Capacidad para establecer seguridad informática en centros financieros y de negocios, seguridad en infraestructuras de defensa y auditoría de sistemas.
  • Crear y desarrollar proyectos de seguridad informáticas y de las comunicaciones
  • Análisis forense y de malware: Mediante el análisis de los sistemas de archivos, la adquisición de evidencias, el análisis de la memoria, la reconstrucción de ficheros, los métodos de infección y persistencia, la desinfección del malware, la ingeniería inversa o la criptografía
  • Debe conocer diferentes entornos tecnológicos (SCADA, Smart GRid) y otras arquitecturas
  • Debe analizar y evaluar las vulnerabilidades técnicas para el descubrimiento y explotación de vulnerabilidades tanto en servidores como puestos, mediante los test de intrusión, el análisis forense, etc.
  • Debe gestionar incidentes mediante el networking, IDS, IPS, análisis de logs o el análisis del tráfico de red.

Resumen para recordar

  • Medita si tus motivaciones están en armonia con las cualidades y habilidades sociales que he descrito
  • Reflexiona sobre la capacitación que se espera de tí en cuanto a formación técnica
  • Analiza si estarás dispuesto a poner en práctica una y otra vez lo que aprendas, pero en entornos seguros
  • Conócete a tí mismo, y averigua si estás dispuesto a rechazar el lucro por pasar al lado oscuro y mantener así tu integridad
  • Escudriña si tienes adaptabilidad para un mercado laboral exigente con una obsolescencia que va  300.000 km por segundo.

¿Deseas seguir el camino de Sean Connery –Guillermo de Baskerville– y llegar a ser un auténtico hacker ético?

Si tu respuesta es afirmativa, puedes contar conmigo, yo puedo ser tu “mentor”

Espero tus comentarios, los voy a contestar el mismo día.

¡Participa! ¡No cuesta nada!

¡Difúndelo! ¿No es bonito compartir?

Primero uno da, y después recibe de todos.

Tu amigo, Carlos Puig.

Mentor en seguridad informática y hacking ético para “dummies”.
El lenguaje críptico e ininteligible del hacking te lo traduzco a un lenguaje fácil de entender.
Aprende conmigo Seguridad, Google Hacking y Hacking Ético.

2 Comentarios
  1. Reply
    John Marzo 18, 2017 at 3:40 pm

    existe software mas potente no importa de paga mejor que wifislax

    • Reply
      Carlos Puig Marzo 20, 2017 at 11:13 am

      John, muchas gracias por participar.
      ¿Podrías compartir con nosotros otras alternativas de software? Seguro que nuestros compañeros de comunidad que están formándose lo agradecerán, aunque sea de pago. Pero de hecho la mayoría que están en etapa de entrenamiento primero se “forjan” con sistemas gratuitos de calidad como el mencionado.
      Esperamos tus noticias y aportes, recibe un cordial saludo,
      Carlos Puig.

    Dejar Comentario