Ciberseguridad · Capítulo 14

Hacking Ético y Pentesting: Atacar los Sistemas para Defenderlos

Los mejores defensores son quienes piensan como atacantes. El hacking ético es la práctica de encontrar vulnerabilidades antes de que lo hagan los criminales — con autorización, metodología y responsabilidad.

El Espectro del Hacker

La palabra "hacker" tiene una historia compleja. Originalmente significaba alguien que exploraba sistemas con curiosidad y creatividad. Hoy se usa para describir un espectro de perfiles muy diferentes, distinguidos principalmente por su motivación y legalidad:

Tipo	Sombrero	Motivación	Legalidad	Ejemplo
Hacker ético / pentester	Blanco	Mejorar la seguridad	Totalmente legal (con contrato)	Consultor de seguridad contratado por un banco
Cibercriminal	Negro	Lucro, daño, espionaje	Ilegal	Grupo de ransomware LockBit
Investigador independiente	Gris	Curiosidad, reputación	Zona gris (sin autorización)	Alguien que encuentra vulnerabilidad y la reporta sin contrato
Hacktivista	Variable	Política, ideología	Generalmente ilegal	Anonymous atacando sitios de gobiernos
Patrocinado por Estado (APT)	Negro	Espionaje, sabotaje nacional	Ilegal internacionalmente	APT28/Fancy Bear (Rusia), APT41 (China), Lazarus (Corea del Norte)
Script kiddie	Negro	Diversión, ego	Ilegal	Adolescente usando herramientas sin entenderlas

    Los grupos APT (Advanced Persistent Threat) más conocidos: APT28 "Fancy Bear" (servicio de inteligencia militar ruso GRU, responsable del hackeo al DNC en 2016); APT41 (China, doble misión: espionaje estatal y lucro criminal); Lazarus Group (Corea del Norte, financió el programa nuclear con el robo de $625M en criptomonedas a Ronin Network en 2022).
  

Marco Legal: La Autorización Lo Es Todo

La diferencia entre un hacker ético y un criminal informático es una sola cosa: autorización escrita. Las mismas técnicas, las mismas herramientas — pero sin un contrato firmado, eres un criminal.

Computer Fraud and Abuse Act (CFAA) — EE.UU.

La ley federal 18 U.S.C. § 1030 tipifica como delito federal el acceso no autorizado a sistemas informáticos. "No autorizado" se interpreta ampliamente — incluso acceder a partes de un sistema para las que no tienes permiso explícito puede considerarse violación. Las penas van de multas a 10-20 años de prisión para casos graves. Aaron Swartz fue perseguido bajo el CFAA por descargar artículos académicos de JSTOR a través de la red del MIT; enfrentaba hasta 35 años de prisión.

Ley 30096 — Perú (Delitos Informáticos)

Promulgada en 2013, tipifica el acceso ilícito a sistemas informáticos (Art. 2), interceptación de datos (Art. 7), fraude informático (Art. 8) y suplantación de identidad (Art. 9). Las penas van de 3 a 10 años de pena privativa de libertad según la gravedad.

El contrato de pentesting: elementos esenciales

Alcance (Scope): qué sistemas pueden atacarse (IPs, dominios, aplicaciones específicas). Todo lo que esté fuera del alcance no puede tocarse.
Período: fechas y horarios en que se puede realizar el pentesting
Reglas de Compromiso (Rules of Engagement): qué tipos de ataques están permitidos y cuáles están prohibidos (ej.: pruebas de denegación de servicio, ingeniería social a empleados)
Contactos de emergencia: a quién llamar si se descubre una brecha activa o se causa interrupción accidental
Confidencialidad: los hallazgos son confidenciales y propiedad del cliente
Indemnización: el cliente indemniza al pentester si acciones autorizadas causan daños accidentales

Metodología PTES: El Estándar de Pentesting

El Penetration Testing Execution Standard (PTES) define siete fases para un pentesting profesional y completo:

Fase 1: Pre-engagement (Acuerdo Previo)

Antes de lanzar una sola herramienta, se define todo el contrato: alcance, metodología, entregables, plazos, honorarios y procedimientos de escalación. El documento firmado es la protección legal de ambas partes.

Fase 2: Recopilación de Inteligencia (OSINT)

La Inteligencia de Fuentes Abiertas (Open Source Intelligence) es información públicamente disponible que un atacante real recopilaría antes de atacar. El objetivo: entender la infraestructura, las tecnologías usadas, las personas clave y las posibles vulnerabilidades — sin tocar aún los sistemas del objetivo.

Técnicas OSINT principales:

Google Dorking: usar operadores avanzados de búsqueda para encontrar información sensible expuesta públicamente. Ejemplos: site:target.com filetype:pdf (documentos PDF del sitio), intext:"password" site:target.com (páginas que mencionan "password"), intitle:"index of" site:target.com (directorios expuestos)
Shodan: el "Google de los dispositivos conectados". Indexa todos los dispositivos con IP pública y sus puertos abiertos. Una búsqueda org:"Target Corporation" revela todos sus servidores públicos, versiones de software y configuraciones.
LinkedIn: revelar la estructura organizacional, nombres de empleados (posibles objetivos de phishing), tecnologías usadas (los desarrolladores publican sus stacks en perfiles)
Maltego: herramienta de análisis de relaciones y mapeo visual. Puede conectar automáticamente dominios, IPs, emails, personas y organizaciones.
theHarvester: recopila automáticamente emails, subdominios, IPs y URLs asociados a un dominio objetivo desde múltiples fuentes (Google, Bing, LinkedIn, Shodan)
Have I Been Pwned: verificar si emails corporativos aparecen en bases de datos de brechas — credenciales filtradas pueden ser reutilizadas para acceso inicial

Fase 3: Modelado de Amenazas

Con la inteligencia recopilada, se construye un modelo: ¿quiénes serían los atacantes reales? ¿Qué activos son más valiosos para ellos? ¿Cuáles son los caminos de ataque más probables? Esto permite priorizar el pentesting hacia los vectores de mayor riesgo real.

Fase 4: Análisis de Vulnerabilidades

Escaneo sistemático de los sistemas en alcance para identificar vulnerabilidades conocidas:

Nessus / OpenVAS: escáneres de vulnerabilidades que identifican versiones de software desactualizadas, configuraciones inseguras y CVEs (vulnerabilidades conocidas) en los sistemas objetivo
Nikto: escáner de servidores web que detecta configuraciones inseguras, archivos sensibles expuestos y cabeceras de seguridad faltantes
Burp Suite: proxy de intercepción para aplicaciones web — permite inspeccionar, modificar y repetir solicitudes HTTP/HTTPS

Fase 5: Explotación

Intentar activamente explotar las vulnerabilidades identificadas para demostrar que son explotables en la práctica, no solo en teoría:

Metasploit Framework: la plataforma de explotación más usada en el mundo. Contiene módulos para cientos de vulnerabilidades conocidas. El pentester selecciona el exploit, configura los parámetros (IP objetivo, puerto) y ejecuta. Un módulo exitoso da acceso al sistema.
Pivoting: una vez comprometido un sistema interno, usarlo como trampolín para atacar sistemas en redes internas que no serían accesibles desde internet
Evasión de detección: en red teams avanzados, el objetivo es actuar como un atacante real que intenta no ser detectado por el SIEM o el EDR

Fase 6: Post-explotación

Simular lo que haría un atacante real después de obtener acceso inicial:

Escalada de privilegios: pasar de usuario normal a administrador/root
Movimiento lateral: comprometer otros sistemas en la red interna usando las credenciales o el acceso obtenido
Persistencia: instalar mecanismos para mantener el acceso aunque el sistema se reinicie (simula lo que haría un atacante real)
Exfiltración simulada: demostrar que los datos más sensibles pudieron haberse extraído

Fase 7: Reporte

El reporte es el producto final y el más valioso del pentesting:

Estructura de un reporte profesional de pentesting:

Resumen ejecutivo (para CEO, CISO, directorio): riesgo general en términos de negocio, impacto potencial en dinero y reputación, las 3 vulnerabilidades más críticas en lenguaje no técnico, inversión recomendada para remediar.

Reporte técnico (para el equipo de seguridad e ingeniería): para cada vulnerabilidad encontrada — descripción técnica, evidencia (capturas de pantalla, logs, payload usado), puntuación CVSS v3, pasos exactos para reproducirla, pasos de remediación específicos, referencias (CVE, OWASP, CWE).

Apéndices: metodología completa, herramientas usadas, cronología del ataque, datos crudos de escáneres.

Bug Bounty: El Mercado del Hacking Ético

Los programas de bug bounty permiten a cualquier investigador de seguridad buscar vulnerabilidades en los sistemas de una empresa y recibir recompensa económica por reportarlas responsablemente. Es el mercado libre aplicado a la ciberseguridad.

Las plataformas principales

HackerOne: la plataforma más grande, con más de 1 millón de hackers registrados. Ha pagado más de $300 millones en recompensas acumuladas. Google paga $31.3M anuales a través de su programa VRP (Vulnerability Reward Program).
Bugcrowd: segunda plataforma más grande, fuerte en empresas de tamaño medio
YesWeHack: líder europeo, con fuertes programas en Francia y España

Pagos reales

Vulnerabilidad crítica (RCE, autenticación bypass): $10,000–$100,000+
Google paga hasta $31,337 por vulnerabilidades en Chrome y hasta $150,000 por exploits de Chrome que afecten ChromeOS
Apple paga hasta $1,000,000 por exploits zero-click de iOS de clase Pegasus
Un investigador ganó $2 millones en recompensas en 2022 solo en el programa de bug bounties de Apple

Cómo empezar

Crea cuentas en HackerOne y Bugcrowd
Comienza con programas marcados como "beginner-friendly" que tienen alcance amplio
Lee el policy del programa cuidadosamente — respeta el alcance al 100%
Escribe reportes detallados y profesionales — la calidad del reporte determina la recompensa tanto como la vulnerabilidad
Incluye siempre: descripción, pasos para reproducir, impacto, evidencia (capturas), sugerencia de remediación

Ruta Profesional: Certificaciones y Aprendizaje

Certificación	Nivel	Costo aprox.	Descripción
CompTIA Security+	Entrada	$370	Fundamentos de seguridad, muy demandada como requisito base
eJPT (eLearnSecurity)	Entrada	$200	Primera certificación práctica de pentesting, muy accesible para principiantes
CEH (EC-Council)	Intermedio	$1,999	Reconocida por el DoD de EE.UU., más teórica que práctica
OSCP (Offensive Security)	Avanzado	$1,499	La más respetada en pentesting real. Examen de 24 horas explotando activamente máquinas. Sin ayuda externa.
CISSP (ISC2)	Gerencial	$699	Requiere 5 años de experiencia, estándar para arquitectos y directores de seguridad

Plataformas de práctica gratuitas o baratas

TryHackMe: guiado, con caminos de aprendizaje estructurados, ideal para principiantes, desde el navegador
HackTheBox: máquinas reales que hackear, nivel intermedio-avanzado, enorme comunidad
PentesterLab: enfocado en vulnerabilidades web, con ejercicios por nivel
PicoCTF: competencia CTF permanente creada por Carnegie Mellon, ideal para comenzar

Laboratorio casero con $0

VirtualBox (gratuito) o VMware Player (gratuito)
Kali Linux como máquina atacante (ISO gratuita, incluye todas las herramientas)
Metasploitable 2/3 como objetivo vulnerable (diseñada para ser hackeada)
DVWA (Damn Vulnerable Web Application) para práctica de vulnerabilidades web
pfSense para simular entornos de red más complejos

Resumen / Summary

El espectro del hacker va de white hat (ético, autorizado) a black hat (criminal); los grupos APT patrocinados por estados (Fancy Bear/Rusia, APT41/China, Lazarus/Corea del Norte) son las amenazas más sofisticadas.
La autorización escrita lo es todo: sin contrato firmado con alcance, reglas de compromiso y período definidos, las mismas técnicas de pentesting son delito bajo el CFAA (EE.UU.) o la Ley 30096 (Perú).
La metodología PTES tiene 7 fases: Pre-engagement → OSINT/Reconocimiento → Modelado de amenazas → Análisis de vulnerabilidades → Explotación → Post-explotación → Reporte.
OSINT con Google Dorking, Shodan, Maltego y theHarvester permite obtener información masiva sobre un objetivo sin tocar sus sistemas.
Los programas de bug bounty (HackerOne, Bugcrowd) han pagado más de $300M a investigadores independientes; Google paga $31.3M anuales y Apple hasta $1M por exploits zero-click de iOS.
La certificación OSCP (examen de 24 horas de explotación activa) es la más respetada en pentesting; TryHackMe y HackTheBox permiten practicar legalmente desde casa.