1. Hacking ético
Autor: MosayhuateGarcia victor julio
Resumen:
El nombre hacker – neologismo utilizado para referirse a un
experto (Gurú) en varias o alguna rama técnica relacionada con las
tecnologías de la información y las telecomunicaciones:
programación, redes, sistemas operativos. Cracker (criminal
hacker, 1985). Un cracker es alguien que viola la seguridad de un
sistema informático de forma similar a como lo haría un hacker,
sólo que a diferencia de este último, el cracker realiza la intrusión
con fines de beneficio personal o para hacer daño a su objetivo.
Hacker ético – profesionales de la seguridad que aplican sus
conocimientos de hacking con fines defensivos (y legales).
Diremos hacker siempre, pero hay que fijarse en el contexto.
Palabras claves: experto, tecnología, informático, seguridad.
Summary:
The name hacker - neologism used to refer to an expert (Guru) in
various technical branch or any related information technology
and telecommunications: programming, networks, operating
systems. Cracker (criminal hacker, 1985). A cracker is someone
who violates the security of a computer system in a similar way as
you would a hacker, only that unlike the latter, the cracker does
the intrusion for personal benefit or to harm their goal.
Ethical hacker - security professionals who apply their knowledge
of hacking for defensive (and legal) purposes. Hacker always say,
but we must look at the context.
Keywords: expert, technology, computer, security.
2. Introduction:
Se refiere a ‘hacking por una causa’. Es el compromiso político o social del hacking Por
ejemplo, atacar y alterar sitios web por razones políticas, tales como ataques a sitios
web del gobierno o de grupos que se oponen a su ideología. Pero hay acciones que son
delito (tengan o no una justificación ideológica)
Expertoenalgúncampo de la informática. Conocimientosprofundosde diversasplataformas
(Windows,Unix,Linux).Conocimientosde redes Conocimientosde hardware ysoftware.
Detallesde losresultadosde lasactividadesypruebasde hackingrealizadas.Comparaciónconlo
acordado previamente enel contrato. Se detallaránlasvulnerabilidadesyse sugiere cómo
evitarque haganuso de ellas. ¡Ojo,que estodebe serabsolutamenteconfidencial! Deben
quedarregistradosenel contratodichascláusulasde confidencialidad.
Objetivo:
Introducirel hackingéticoyterminologíaesencial.
Entenderlasdiferentesfasesseguidasporunhacker.
Revisiónde loshackersycrackersmás famosos.
Valor Inquebrantable:
Un buen informático se debe conocer los suficiente no solo de la manera personal sino
también en el área o en el rol que desempeña. Nadie quiere ser liderado por alguien a
quien le falta valor y confianza en sí mismo; no hay seguidores inteligentes que puedan
ser denominados mucho tiempo por este tipo de hacking.
Autodominio:
Un hombre que no puede dominarse así mismo jamás podrá dominar otros hackers
frente a un problema; el autodominio es justamente un ejemplo para las personas; que
aparten se identificaras, para eso sirve un hackers en gran medida y tratan de emularlo.
Un hacking sin autodominio es justamente un ejemplo a seguir.
Finalidad:
Las computadoras alrededordel mundoestánsiendovíctimassistemáticamente de ataques
de hackers (piratasinformáticos),capacesde comprometerun sistema,robartodolovaliosoy
borrar completamentelainformaciónenpocosminutos.Porestarazónresultade vital
importanciaconocersi los sistemasinformáticosy redesestánprotegidosde todotipode
intrusos.
Precisamente el objetivofundamental de Ethical Hacking,es,brindarayudaa
lasorganizaciones paraque tomentodaslasmedidaspreventivasencontrade agresiones
maliciosas,valiéndoseparaellode los testde intrusión,que evalúanlaseguridad técnicade los
sistemasde información, redesde computadoras,aplicaciones web,servidores,etc.
El servicioconsiste enlasimulaciónde ataqueshostilescontroladosylarealizaciónde
actividadespropiasde delincuentesinformáticos,estafilosofía resultade laprácticaprobada.
1. Hackers: "Paraatrapar a un Hackersdebes de pensarcomoun hackers".
3. Capítulo I
Seguridad Informática:
La seguridad informática consiste en asegurar que los recursos del sistema de
información (material informático o programas) de una organización sean utilizados de
la manera que se decidió y que el acceso a la información allí contenida así como su
modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de
los límites de su autorización.
En la actualidad dicho concepto debe ser incorporado de manera obligatoria en
el proceso de desarrollo de un software, desde las fases iniciales de su diseño hasta
su puesta en funcionamiento, sin embargo la realidad es otra y la seguridad es
incorporada en una aplicación como producto de una reflexión tardía a la fase de diseño
inicial del producto. El desarrollador no sólo debe concentrarse únicamente en los
usuarios y sus requerimientos, sino también en los eventos que puedan interferir con la
integridad del software y la información que éste maneja.
Para garantizar la seguridad informática se requiere de un conjunto de sistemas,
métodos y herramientas destinados a proteger la información, en este punto es donde
entran a desempeñar un rol protagónico las empresas dedicadas a brindar servicios
orientados a estos menesteres, uno de esos servicios lo constituye precisamente el caso
que ocupa este trabajo, los servicios de ethical hacking, disciplina de la seguridad de
redes que se sustenta en el hecho de que para estar protegido se debe conocer cómo
operan y qué herramientas usan los hackers.
Dirigir tráficos en la red “hackers”:
En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan
hackers. Se definen a sí mismos como personas que se dedican a programar de manera
apasionada y creen que es un deber para ellos compartir la información y elaborar
software gratuito. No hay que confundirlos con los crackers, los usuarios destructivos
cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un
experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática. En
este sentido, la ética hacker es una nueva moral que desafía la ética protestante del
trabajo, tal como la expuso hace casi un siglo Max Weber en su obra La ética protestante
y el espíritu del capitalismo, y que está fundada en la laboriosidad diligente, la
aceptación de la rutina, el valor del dinero y la preocupación por la cuenta de resultados.
Frente a la moral presentada por Weber, la ética del trabajo para el hacker se funda en
el valor de la creatividad, y consiste en combinar la pasión con la libertad. El dinero deja
de ser un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre
acceso, la transparencia y la franqueza.
Clonar una web es fácil (usando SET), pero eso no da un link "convencional" sino que da
una ip, con lo que la probabilidad de que un usuario entre a ella es casi nula si no la
enviamos. Se dé otra técnica que es dirigir el tráfico de red, pero no se hacerlo Podrían
decirme cómo hacerlo y quería saber si se puede por ejemplo hacer que cuando el
usuario entre a You are not allowed to view links. Register or Login entre a la web
clonada, ingrese las credenciales y luego use esas credenciales para entrar a su perfil
real.
4. Capitulo II
La informáticacomo nuevaforma de poder:
Cuando nos asomamos al fenómeno de la denominada “Era Digital” es inevitable llegar a
la conclusión que todas aquellas historias de ciencia-ficción creadas por las mentes
brillantes de Bradbury, Asimov y Verne, entre muchos otros, no sólo han sido
confirmadas, sino que resultan, a poco que se efectúe el contraste respectivo,
anacrónicas e ingenuas. Las posibilidades que ofrecen la biotecnología, la
nanotecnología y la ingeniera genética son ilimitadas y plantean numerosos dilemas
éticos, porque, por un lado, arrastran al hombre a un futuro donde se dispondrá de
tiempo para hacer solamente las cosas placenteras, descartando las faenas laborales
que tanto tiempo nos insumen y, en no pocas ocasiones, nos molestan, pero, por otro,
se rompen límites morales: clonación de seres humanos, patentamiento de la
codificación de las cadenas de ADN de determinadas partes del cuerpo humano con
fines comerciales (a partir de la decodificación del genoma humano), desarrollo de
sistemas de agentes inteligentes (IA -inteligencia artificial-) que potencialmente tienen
capacidad de reemplazar a los expertos humanos en las más diversas áreas
profesionales y, en el caso del derecho, podrían -por definición- analizar un caso
determinado y emitir una decisión como lo haría un Juez.
Derechofrente ala tecnología:
Huelga señalar que este panorama afecta al Derecho, como instrumento regulador de
las relaciones humanas en procura del orden social, pudiendo formularnos, entonces,
algunos interrogantes.
perjuicio de estudiar, paralelamente, el nuevo paradigma del conocimiento y la sociedad
toda que impone la realidad actual. Y los problemas surgen del nuevo espectro de
fenómenos de cierta complejidad tecnológica que no parecen encontrar adecuada
solución ni en el ordenamiento jurídico vigente ni en las viejas elaboraciones doctrinales:
el teletrabajo (esta curiosa modalidad de traspolar la oficina al hogar para el desempeño
laboral) puede identificarse con la jornada laboral? Cómo establecer si existe un abuso
por parte del empleador? El software, incluído actualmente en la Ley 11.723 de
propiedad intelectual, puede identificarse ontológicamente con la obra artística? El mail,
en su esencia, reúne las notas típicas del objeto de los delitos previstos en los arts. 153 y
ss. del Código Penal? Cuál es el régimen de responsabilidad que corresponde aplicar a
los proveedores de Internet (ISP) según el tipo de servicio que prestan? Es correcto que
se le imponga el deber de controlar lo que publica o difunde el usuario? Podemos hablar
de un dolo general en la conducta del programador que diseña un virus o bomba lógica
para enviarlo a un conocido o con fines experimentales, pero finalmente se disemina
infectando la computadora de otras personas? De aceptarse la tentativa, es acabada o
inacabada? La información, como entidad lógica, es cosa mueble en los términos del
artículo 162 del Código Penal? Es susceptible de ser apropiada en los términos del delito
de hurto, cuando la víctima sigue conservando la disposición sobre la información y no
media afectación a su patrimonio? Cuál es el acto voluntario expresado en la celebración
de un contrato cuándo el mismo constituye simplemente un doble click?
5. Capitulo III
Jurídicos tutelados enlos delitos Informáticos:
Sentadoloexpuesto,debemosdejarenclarocuál esel bienjurídicoprotegidoenlosdelitos
informáticos.AsumimosconMUÑOZCONDE que lanorma penal tiene unafunciónprotectora
de bienesjurídicosyque para cumplirdichafunción,elevaala categoríade delito,pormediode
la tipificaciónlegal,aquelloscomportamientosque másgravemente loslesionanoponen en
peligro.Encuantoal bienjurídicoensí, compartimoslosalcancesde lasconcepciones
trascendentes,encuantoaque la realidadsocial eslaque le otorgasu contenido.Losbienes
jurídicossoninteresesvitalesdelindividuoolacomunidad,el orden nopuede crearlo,locreala
vida,perola proteccióndel Derechoelevael interésvital abienjurídico.Noobstante es
imposiblesoslayaralgunasde lasconclusionesque emanande losestudiosde algunasescuelas
criminológicas,comoladel “labellingapproach”,oladefiniciónoetiquetamientode
determinadoscomportamientosdesviados,que dierapasoalas modernasdoctrinas
criminológicascríticas,cuyasbúsquedasse centranendosdirecciones:el estudiode la
formaciónde laidentidaddesviadayde loque se define como“desviaciónsecundaria”,esdecir
el efectode laaplicaciónde laetiquetade “criminal”y,porotro lado,el problemade la
constituciónde ladesviacióncomocualidadatribuídaacomportamientosya individuosenel
curso de la interacción,loque conduce al problemade ladistribucióndelpoderde definición
(quienesdetentanenmayormedidadichopoder:lasagenciasde control social).Endefinitiva,si
bienesciertoque el legisladorreceptalosinteresesvitalescolectivoscomo bienjurídicoal
otorgarlesespecial protecciónjurídicopenalyque,enese contexto,verdaderamenteson
compartidosporla mayoría de losintegrantesde lacomunidad,noloesmenosque,
determinadasconductasmeramente desviadas,respondiendoadiversos intereses,pueden
etiquetarse tambiéncomodelitos,sinque,esencialmente,ostentendichocarácter.Ellono
significa,enmodoalguno,que nodebanserprotegidoslosinteresesinvolucrados,sinoque la
respuestadebe serhalladamediante algúnotromecanismode control social ynoen el que
representael poderpunitivodel Estado.
Delitos Informáticos II:
Disentimos,acorde conlaposturasustentadaentornoal bienjurídicotuteladoenlosdelitos
informáticos,conlastradicionalesdistincionesdoctrinalesde estasconductasilícitasendelitos
informáticosde caráctereconómicoyaquellosque atentancontralaprivacidad.Enprimerlugar,
porque todala información –aúnlaprivada- posee unvalorapreciable económicamenteyen
segundo,porque losinteresesvulneradossuperanel marcomeramente patrimonial,
verificándose unverdaderocarácterpluriofensivode lasconductasdisvaliosas,porimplicar
afectaciónde cuestionesque atañenalaseguridadya la confianzaenel correcto
funcionamientode lossistemasinformáticosque repercutenenlavidasocial colectiva.Porotra
parte,tal reduccionismoharíainnecesarialacreaciónde lacategoría de los delitosinformáticos,
puestoque noserían más que delitoscontralapropiedad,obien,contralaintimidado
privacidad.Conel mismocriterioequívoco,KlausTIEDEMANN señalaque,conlaexpresión
criminalidadmediantecomputadoras(adviértase que enel ámbitotecnológicoactual las
computadorasu ordenadorestal comolosconocemosse encuentrancasi obsoletos),se aludea
todoslosactos, antijurídicossegúnlaleypenal vigente (locual nosignificamásque decirque los
delitosinformáticosnosonotrosque losque la leydefinecomotal),realizadosconel empleode
un equipoautomáticode procesamiento de datos.Estadefiniciónllevaal absurdode calificar
como delitoinformáticoo“criminalidadmediante computadoras”(términopordemás
deficiente paraabarcar el fenómenoenestudio).
6. Clasificaciones del Hacking
El juristachilenoMANZURseñalaque el hackingpuede clasificarse endirectooindirecto.El
hackingpropiamente dicho,explicaeste autor,esundelitoinformáticoque consiste enacceder
de manera indebida,sinautorizaciónocontraderechoaun sistemade tratamientode la
información,conel finde obtenerunasatisfacciónde carácterintelectual porel desciframiento
de loscódigosde accesoo passwords,nocausandodañosinmediatosytangiblesenlavíctima,o
bienporla meravoluntadde curiosearo divertirse de suautor. La voluntadde divertirse
generalmente se traduce enpaseosporel sistemahaciendoalarde de laintromisión.Esloque
se ha llamadoJOY RIDING,o paseosde diversión.Característicasde estaclase de hacking.El
hackeres unapersonaexpertaenmaterias informáticasygeneralmente susedadesfluctuarán
entre los15 y los25 años. Es por elloque estadelincuenciase hanominado"SHORTPANTS
CRIMES", esdecir,crímenesenpantalonescortos;sumotivaciónnoesla de causar un daño,
sinoque se trata de obtenerpersonalessatisfaccionesyorgullos,basadosprincipalmenteenla
burlade lossistemasde seguridaddispuestos.Estaclase de hackingnorepresentaun
importante nivel de riesgo,todavezque el hackernobusca causar undaño.
En loque atañe al hackingindirecto,el Dr.MANZUR consideraque esel medioparalacomisión
de otros delitoscomofraude,sabotaje,piratería,yespionaje.Señalaque enel casodel hacking
indirecto,el ánimodel delincuente estádeterminadoporsuintenciónde dañar,de defraudar,
de espiar,etc.,entendiendoque nodesaparece el delitode accesoindebido,dándosela
hipótesisdel concursoideal oformal de delitos.Esmenesterformularalgunasaclaraciones,en
ordena la clasificaciónantesexpuesta.Si el accesoilegítimoal sistemainformáticoesel medio
para alterar,modificarosuprimirlainformación,nohabráhackingsinocrackingque supone una
acción concretade daño sobre la informaciónyel elementosubjetivoenel autor –dolo-
constitutivodel conocimientoyla voluntadde provocarlo.El hackingesel presupuestodel
crakingy es por ello,fundamentode supunibilidadcomodelitode peligro.Sinembargo,como
expusiéramos,el meroingresoilegítimoposee consecuenciassobre el sistema,aménde que
privaa sutitularde la confidencialidadyexclusividadde lainformaciónyvulnerael ámbitode su
intimidad(comoextensiónde losatributosde lapersona),motivoporel cual nocompartimosla
afirmaciónde que norepresentaunimportante nivel de riesgo.Enloque atañe a lasfigurasde
hackingy craking,discrepamosenque se verifique el supuestode concursoideal de delitos.
Comoseñalamos,el hackingesel presupuestonecesariodelcraking(todocraksupone unhack
previo),perocuandose consumaeste ilícito,el anteriorquedasubsumidoenél porreunirlas
exigenciasdeltipo,dándoseunconcursoaparente de delitosporrazonesde especialidad.Lo
contrarioimportauna doble persecuciónpenal (nonbisinidem),situaciónque se encuentra
proscriptapor el principioconstitucionalde legalidad.
Para el legisladorchileno,comoconstaenlosantecedentesde laley19.223, el delitosub
examine consisteenlaviolaciónde lareservaosecretode informaciónde unsistemade
tratamientode lamisma.Este delitose encuentraensusdiversasmodalidadescontempladoen
losartículos 2º y 4º de la ley19.223, losque reproducimosacontinuación:Artículo2º.- "El que
con el ánimode apoderarse,usaro conocerindebidamentede lainformacióncontenidaenun
sistemade tratamientode lamisma,lointercepte,interfieraoaccedaa él,serácastigadocon
presidiomenorensugradomínimoa medio".Artículo4º.- "El que maliciosamenterevele o
difundalosdatoscontenidosenunsistemade información,sufrirálapenade presidiomenoren
su grado medio.Si quienincurre enestasconductasesel responsable delsistemade
información,lapenase aumentaráenungrado". Comoseñalamos,paralaleychilena,el acceso
a los sistemasde información,requiere unespecial elementosubjetivoque recae sobre el bien
jurídicopenalmenteprotegido(laintenciónde apoderarse,usar,conocer,revelarodifundirla
7. información),locual nosparece atinadoalosfinesde evitarloscuestionamientos
constitucionalesque puedanformularseentornoaeste tipopenal comodelitode peligro
abstracto.En España,la situaciónlegal eslasiguiente (CódigoPenal):Hackingmaligno:
Apoderarse de mensajesde e-mailajenosointerceptarlosque circulanporlaRed (sniffing) está
penadoconhasta cuatro años de cárcel (artículo197). La mismapenarecae en el que roba o
alteradatos de una base de datosinformática,oal que simplementeaccede aestabase de
datos.Si estosdatosse difunden,lapenapuede alcanzarloscincoañosde cárcel.Se castiga más
al que accede ilegítimamenteysustrae losdatosque al que simplementelossustrae mediante
un accesoilegal creadoporotra persona
No esnecesarioque hayaánimode lucro,esdecir,se puede producirel delitosi se accede por
simple curiosidad.Se establecenagravantesparael casoque el acceso lohaya hechoun
funcionarioencargadode guardarla base de datos,que losdatos afectenala ideología,religión,
salud,raza o vidasexual de personasycuandomediaánimode lucro.Es imprescindible la
denunciadel afectado.Lapenapuede alcanzartambiénloscuatroañossi se trata de espionaje
"industrial"de documentosensoporte electrónico(artículo278).Daños mediante hacking
malignoointroducciónde virus:Causardañossuperioresa50.000 pesetasmedianteviruso
accionesde hackingestápenadocon multa.Si el dañose produce enun programao documento
electrónico,lapenapuede alcanzarlostresañosde cárcel (artículo 264). Si unviruso una acción
de hackingafecta a un establecimientomilitar, lapenapuede alcanzarloscuatroaños de prisión
(artículo265). Hackingcatastrófico:Hackear una instalaciónnuclearse encuentrapenadocon
hasta veinte añosde cárcel e inhabilitación(artículo342 y ss.).
Hackear un aeropuerto,edificiopúblicoovía de comunicaciónse encuentrapenadoconhasta
veinte añosde cárcel si se pone enpeligroalgunavidahumana(artículo346). Hackingmilitar:El
que destruya,falsee orevele informaciónreservadarelacionadaconlaseguridadnacional puede
sercastigadocon hasta cuatro años de cárcel.
Si bienla técnicalegislativanoresulta,anuestrocriterio,adecuada,porlafaltade definiciónde
lasconductas involucradasenformasistemática,podemosdecirque laleyespañolareprime casi
todaslas modalidades conocidasde hacking,craking,espionaje ysabotaje informático,
estableciendofigurasagravadasenrazónde la importanciade lossistemasde información.Por
últimomanifestamosnuestrosreparos,frente al principiode legalidad,enordenala
constitucionalidadde lafiguraque reprime el accesoilegítimosinningunamotivaciónespecial,
loque será motivode análisisenlospárrafossubsiguientes.
En definitiva,enamboscasosse encuentraenjuegolaconfidencialidadde lainformación.Con
rigor académicoypretensionesde encasillamientosdogmáticos,podemosdecirque cuandonos
situemosfrente aunataque a la informacióndescriptaenel puntoa),se veráafectadala
intimidadde lapersona,mientrasque,enel otrocaso,existirá,predominantemente, una
violaciónala exclusividadde lainformación.Sinembargo,laclasificaciónantesexpuestano
puede resultartajante,habidacuentaque determinadaclase de información(porejemplola
financiera),ostentalascaracterísticasde ambosgrupos,puestoque,si bienpuede incluirseenel
b),contiene elementosrelativosalascondicionesocircunstanciaspersonalesde losindividuos.
8. Conclusiones:
En mi opiniónserunhackersería algomaravillosoyaque notieneslímitesypuedeshacer
cualquiercosa, para hacerel bienclaro,no para maldadescomoromperseguridadesymeterte
enarchivosconfidenciales.
Antesde empezarahacer este trabajopensabaque con saberrobar contraseñasyapuedes
estaren el mundode loshacker, que lo hackersson losque manejanmuybienel ordenador,
peroal ir avanzandoenel trabajome he dadocuentaque eso noes así y para convertirse enun
verdaderohackernoesnecesariosermuybuenoenlosque hacer sinotambiénque te
reconozcancomo tal.
Los hackerno son solamente losque manejanmuybienel ordenadorsinotambiénaquellosque
manejanmuybienlaslíneastelefónicas.
Tambiénme he dadocuenta que esmuyimportante tantocontrolarmuy bienlaprogramación
encasi todosloslenguajesyluegocombinarloscomosaber muybienel inglés.
Esto últimoesimportante paraque puedasestarsiempre al díaya que la informaciónsiempre
sale eninglésysi el inglésnoestu leguamaternatienesque esperaraque esa informaciónse
traduzca si es que se traduce.
Por últimoquierodecirque despuésde hacerel trabajotengoaúnmás ganasde hacertodo lo
que estáen mi mano para acercarme lo máximoposible al nivelde loshackersde verdad.
Fuente consultada:
Mosayhuate Garcia Victor Julio soy estudiante de la escuela Ingeniería de computación y
sistema <EPICS> de la universidad San Juan Bautista <SJB>quien desarrolla el presente
artículo para la asignatura de ética y Deontología asesorado por David Auris Villegas,
master de la universidad De la Habana Peru2015