Hacker (seguridad informática)

En seguridad informática y en lenguaje cotidiano, un hacker es alguien que irrumpe en computadoras y redes informáticas. Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío.^[1] La subcultura que se ha desarrollado en torno a los hackers a menudo se refiere a la cultura clandestina de computadoras, pero ahora es una comunidad abierta. Aunque existen otros usos de la palabra hacker que no están relacionados con la seguridad informática, rara vez se utilizan en el contexto general. Están sujetos a la antigua controversia de la definición de hacker sobre el verdadero significado del término. En esta controversia, el término hacker es reclamado por los programadores, quienes argumentan que alguien que irrumpe en las computadoras se denomina cracker,^[2] sin hacer diferenciación entre los delincuentes informáticos (sombreros negros) y los expertos en seguridad informática (sombreros blancos). Algunos hackers de sombrero blanco afirman que ellos también merecen el título de hackers, y que sólo los de sombrero negro deben ser llamados crackers.

Costumbres

La palabra Wikipedia en forma de leet speak.

Un equipo compitiendo en el DEF CON 17 (una convención de hackers) en Las Vegas, Nevada, Estados Unidos.

La comunidad informática clandestina^[1] ha producido su propia jerga y diversas formas de uso poco comunes del alfabeto, por ejemplo leet speak. La actitud política por lo general incluye puntos de vista de libertad de información, libertad de expresión y el derecho de mantener el anonimato, y la mayoría tiene una fuerte oposición contra los derechos de autor. La escritura de programas y la realización de otras actividades para apoyar estos puntos de vista se conoce como el hacktivismo. Algunos van tan lejos como ven el craqueo ilegal éticamente justificado para alcanzar este objetivo; una forma común es la desfiguración de cibersitios. La comunidad informática clandestina se compara con frecuencia al Viejo Oeste.^[3] Es común entre los hackers utilizar alias con el propósito de ocultar su identidad en vez de revelar sus verdaderos nombres.

Grupos y convenciones de hackers

La comunidad informática clandestina recibe el apoyo de reuniones regulares en el mundo real llamadas convenciones de hackers. A principios de la década de 1980, los grupos de hackers se hicieron populares y dieron acceso a información y recursos, y a un lugar para aprender de los demás miembros. Los hackers también podrían ganar credibilidad por estar afiliados a un grupo de elite.^[4]

Actitudes de los hackers

Eric S. Raymond, historiador de la cultura hacker, aboga por el término cracker.

Varios subgrupos de la comunidad informática clandestina con diferentes actitudes y metas usan diferentes términos para demarcarse los unos de los otros, o tratan de excluir a algún grupo específico con el que no están de acuerdo. Eric S. Raymond, responsable del nuevo Jargon File, aboga por que los miembros de la comunidad informática clandestina deban llamarse crackers. Sin embargo, esas personas se ven a sí mismas como hackers, e incluso tratan de incluir las opiniones de Raymond en lo que ven como una cultura hacker en general; opinión duramente rechazada por el propio Raymond. En lugar de una dicotomía hacker/cracker, dan más énfasis a un espectro de diferentes categorías, tales como sombrero blanco, sombrero gris, sombrero negro y script kiddie. En contraste con Raymond, por lo general se reservan el término cracker. Sin embargo, crackear significa obtener acceso no autorizado a un ordenador con el fin de cometer otro delito como la destrucción de la información contenida en ese sistema.^[5] Estos subgrupos también pueden ser definidos por el estatuto jurídico de sus actividades.^[6]

Sombrero blanco

Un hacker de sombrero blanco rompe la seguridad por razones no maliciosas; por ejemplo, para poner a prueba la seguridad de su propio sistema. El término sombrero blanco en la jerga de Internet se refiere a un hacker ético. Esta clasificación también incluye a personas que llevan a cabo pruebas de penetración y evaluaciones de vulnerabilidad dentro de un acuerdo contractual. El Consejo Internacional de Consultores de Comercio Electrónico, también conocido como EC-Council, ha desarrollado certificaciones, cursos, clases y capacitaciones en línea cubriendo toda la esfera del hacker ético.^[6]

Sombrero negro

Un hacker de sombrero negro es un hacker que viola la seguridad informática por razones más allá de la malicia o para beneficio personal.^[7] Los hackers de sombrero negro son la personificación de todo lo que el público teme de un criminal informático.^[8] Los hackers de sombrero negro entran a redes seguras para destruir los datos o hacerlas inutilizables para aquellos que tengan acceso autorizado. La forma en que eligen las redes a las que van a entrar es un proceso que puede ser dividido en dos partes:

Elección de un objetivo

La elección de un objetivo se hace cuando el hacker determina a cuál red irrumpir. El objetivo puede ser de especial interés para el hacker, o el hacker puede revisar los puertos de una red para determinar si es vulnerable a ataques. Un puerto se define como una abertura por la que la computadora recibe datos a través de la red.^[7] Los puertos abiertos le permitirían a un hacker tener acceso al sistema.

Recopilación de información e investigación

Es en esta etapa que el hacker visita o hace contacto con el objetivo de alguna manera con la esperanza de descubrir información vital que le ayudará a acceder al sistema. La principal forma en que los hackers obtienen los resultados deseados durante esta etapa es la de la ingeniería social. Además de la ingeniería social, los hackers también pueden utilizar una técnica llamada recolección urbana, que es cuando un hacker, literalmente, bucea en un contenedor de basura con la esperanza de encontrar los documentos que los usuarios han tirado, lo cual le ayudará a obtener acceso a una red.

Sombrero gris

Artículo principal: Sombrero gris

Un hacker de sombrero gris es una combinación de un hacker de sombrero negro con uno de sombrero blanco. Un hacker de sombrero gris puede navegar por la Internet y haquear un sistema informático con el único propósito de notificar al administrador que su sistema ha sido hackeado, por ejemplo. Luego se puede ofrecer para reparar su sistema por un módico precio.^[8]

Hacker de elite

Como nivel social entre los hackers, elite se utiliza para describir a los expertos. Los exploits recientemente descubiertos circularán entre estos hackers. Grupos de elite como Masters of Deception confieren una especie de credibilidad a sus miembros.^[4]

Script kiddie

Un script kiddie es un inexperto en que irrumpe en los sistemas informáticos mediante el uso de herramientas automatizadas preempaquetadas y escritas por otros, generalmente con poca comprensión del concepto subyacente; de ahí el término script ('guion', plan preestablecido o conjunto de actividades) kiddie ('niño', un individuo carente de conocimiento y experiencia, inmaduro).^[9]

Neófito

Un neófito o newbie es alguien que es nuevo en el haqueo o en el phreaking y casi no tiene conocimiento o experiencia sobre el funcionamiento de la tecnología y el haqueo.^[8]

Sombrero azul

Un hacker de sombrero azul es una persona fuera de las empresas de consultoría informática de seguridad que es utilizado para hacer una prueba de errores de un sistema antes de su lanzamiento en busca de exploits para que puedan ser cerrados. Microsoft también utiliza el término sombrero azul (en inglés: BlueHat) para representar una serie de eventos de información de seguridad.^[10]^[11]^[12]^[13]

Hacktivista

Artículo principal: Hacktivismo

A hacktivista es un hacker que utiliza la tecnología para anunciar un mensaje social, ideológico, religioso o político. En general, la mayoría de hacktivismo implica la desfiguración de cibersitios o ataques de denegación de servicio.

Ataques

Artículo principal: Inseguridad informática

Un abordaje típico en un ataque contra sistemas conectados a Internet es:

Enumeración de red: Descubrimiento de información sobre el objetivo previsto.
Análisis de agujeros de seguridad: Identificación de las posibles formas de intrusión.
Explotación: Intento de comprometer el sistema mediante el empleo de las vulnerabilidades encontradas a través del análisis de vulnerabilidad.^[14]

Con el fin de hacerlo, hay varias herramientas recurrentes de canje y técnicas utilizadas por los delincuentes informáticos y expertos en seguridad.

Exploits de seguridad

Artículo principal: Exploit

Un exploit de seguridad es una aplicación software preparada para aprovechar las debilidades conocidas de los sistemas. Los ejemplos más comunes de los exploits de seguridad son de inyección SQL, XSS y CSRF, que aprovechan los agujeros de seguridad resultantes de una práctica de programación deficiente. Otros exploits podrían ser utilizados a través de FTP, HTTP, PHP, SSH, Telnet y algunas ciberpáginas. Éstos son muy comunes en la intrusión de cibersitios y dominios.

Hackers de seguridad notables

Eric Gordon Corley, editor de 2600: The Hacker Quarterly.

Kevin Mitnick, consultor en seguridad informática y autor, antes el criminal informático más buscado en la historia de los Estados Unidos.^[15]
Eric Gordon Corley, editor de 2600: The Hacker Quarterly. También es el fundador de las conferencias Hackers on Planet Earth. Ha sido parte de la comunidad hacker desde finales de los años 70.
Gordon Lyon, conocido por el manubrio Fyodor, autor del escáner de puertos Nmap, así como de muchos libros de seguridad de redes y cibersitios. Es miembro fundador del Proyecto Honeynet, y vicepresidente de Computer Professionals for Social Responsibility.
Alexander Peslyak, fundador del Proyecto Openwall.
Rafael Núñez, arrestado por el FBI en 2005.
Michał Zalewski, importante investigador de seguridad.
Gary McKinnon, es un hacker escocés que enfrenta una extradición a Estados Unidos para enfrentar cargos de perpetración, los que ha sido descritos como el «mayor ataque informático militar de todos los tiempos».^[16]

Véase también

Referencias

↑ ^a ^b Sterling, Bruce (1993). «Part 2(d)» [Parte 2(d)]. The Hacker Crackdown: Law and Disorder on the Electronic Frontier [La caza de hackers: Ley y desorden en la frontera electrónica] (en inglés). [[McLean (Virginia)|]], Virginia, Estados Unidos: IndyPublish.com. p. 61. ISBN 1-4043-0641-2.
↑ «cracker». The Jargon File (en inglés). Consultado el 12 de noviembre de 2011. «One who breaks security on a system. Coined ca. 1985 by hackers in defense against journalistic misuse of hacker».
↑ Jordan, Tim; Taylor, Paul A. (2004). Hacktivism and Cyberwars [Hactivismo y Ciberguerras] (en inglés). Londres, Gran Londres, Reino Unido: Routledge. pp. 133-134. ISBN 9780415260039. «Wild West imagery has permeated discussions of cybercultures».
↑ ^a ^b Thomas, Douglas (2002). Hacker Culture [Cultura Hacker] (en inglés). Minnesota, Estados Unidos: University of Minnesota Press. ISBN 9780816633463.
↑ Clifford, Ralph D. (2006). Cybercrime: The Investigation, Prosecution and Defense of a Computer-Related Crime [Cibercrimen: La Investigación, el Enjuiciamiento y la Defensa de un Crimen Informático] (en inglés) (2^a edición). Durham, Carolina del Norte, Estados Unidos: Carolina Academic Press.
↑ ^a ^b Wilhelm, Douglas (2010). Professional Penetration Testing [Pruebas de Penetración Profesional] (en inglés). Syngress Press. p. 503. ISBN 9781597494250.
↑ ^a ^b Moore, Robert (2005). Cybercrime: Investigating High Technology Computer Crime [Cibercrimen: Investigando el Crimen Informático de Alta Teconología] (en inglés). Matthew Bender & Company. p. 258. ISBN 1-59345-303-5.
↑ ^a ^b ^c Moore, Robert (2006). Cybercrime: Investigating High-Technology Computer Crime [Cibercrimen: Investigando el Crimen Informático de Alta Teconología] (en inglés) (1^a edición). Cincinnati, Ohio, Estados Unidos: Anderson Publishing. ISBN 9781593453039.
↑ Andress, Mandy; Cox, Phil; Tittel, Ed. CIW Security Professional [Profesional de Seguridad del CIW] (en inglés). Nueva York, Nueva York, Estados Unidos: Hungry Minds, Inc. p. 10. ISBN 0764548220.
↑ Microsoft. «BlueHat Security Briefings». Microsoft TechNet: Recursos para profesionales de TI. Consultado el 4 de diciembre de 2011. «BlueHat es una conferencia de vanguardia que apunta a mejorar la seguridad de los productos de Microsoft».
↑ Ziff Davis. «Blue hat hacker Definition from PC Magazine Encyclopedia». PC Magazine (en inglés). Consultado el 4 de diciembre de 2011. «A security professional invited by Microsoft to find vulnerabilities in Windows».
↑ Fried, Ina (15 de junio de 2005). «Microsoft meets the hackers». Technology News (en inglés). c|net. Consultado el 4 de diciembre de 2011.
↑ Markoff, John (17 de octubre de 2005). «At Microsoft, Interlopers Sound Off on Security» (en inglés). The New York Times. Consultado el 4 de diciembre de 2011. «[...] the company held its second Blue Hat briefing, a meeting with a small group of about a dozen independent computer security specialists invited to the company's headquarters here to share detailed research on vulnerabilities in Windows software».
↑ Gupta, Ajay; Thomas Klavinsky, Scott Laliberte (15 de marzo de 2002). «Security Through Penetration Testing: Internet Penetration». InformIT: The Trusted Technology Source for IT Pros and Developers (en inglés). Pearson Education, Informit. Consultado el 10 de diciembre de 2011.
↑ Mayorkas, Alejandro N.; Thom Mrozek (9 de agosto de 1999). «KEVIN MITNICK SENTENCED TO NEARLY FOUR YEARS IN PRISON; COMPUTER HACKER ORDERED TO PAY RESTITUTION TO VICTIM COMPANIES WHOSE SYSTEMS WERE COMPROMISED» (en inglés). United States Department of Justice. Consultado el 11 de diciembre de 2011.
↑ Boyd, Clark (30 de julio de 2008). «Profile: Gary McKinnon» (en inglés). BBC News. Consultado el 12 de diciembre de 2011. «One US prosecutor accused him of committing "the biggest military computer hack of all time".»

Bibliografía

Apro, Bill; Hammond, Graeme (2005). Hackers: The Hunt for Australia's Most Infamous Computer Cracker [Hackers: La Caza del Cracker de Computadoras Más Infame de Australia] (en inglés). Five Mile Press. ISBN 1-74124-722-5.
Assange, Julian Paul; Dreyfus, Suelette (1997). Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier [Underground: Historias de haqueo, Locuras y Obsesión en la Frontera Electrónica] (en inglés). Mandarin. ISBN 1-86330-595-5.
Beaver, Kevin (2010). Hacking For Dummies [Haqueo para Tontos] (en inglés) (3.^a edición). Indianápolis, Indiana, Estados Unidos: Wiley Publishing. ISBN 978-0-470-55093-9. Consultado el 15 de noviembre de 2011.
Conway, Richard; Cordingley, Julian. Code Hacking: A Developer's Guide to Network Security [Haqueo de Código: Una Guía del Desarrollador para la Seguridad de Redes] (en inglés). ISBN 978-1584503149.
Freeman, David H.; Mann, Charles C. (1997). @ Large: The Strange Case of the World's Biggest Internet Invasion [Sin Limitación: El Extraño Caso de la Invasión de Internet Más Grande del Mundo] (en inglés). Simon & Schuster. ISBN 0-684-82464-7.
Granville, Johanna (2003). «Dot.Con: The Dangers of Cyber Crime and a Call for Proactive Solutions» [Dot.Con: Los Peligros del Cibercrimen y un Llamado a Soluciones Proactivas]. Australian Journal of Politics and History (en inglés) 49 (1): 102-109. Consultado el 16 de noviembre de 2011.
Gregg, Michael (2006). Certified Ethical Hacker [Hacker Ético Certificado] (en inglés). Pearson. ISBN 978-0789735317.
Hafner, Katie; Markoff, John (1991). Cyberpunk: Outlaws and Hackers on the Computer Frontier [Cyberpunk: Proscritos y Hackers en la Frontera Computacional] (en inglés). Simon & Schuster. ISBN 0-671-68322-5.
Kurtz, George; McClure, Stuart; Scambray, Joel (1999). Hacking Exposed [El haqueo, expuesto] (en inglés). McGraw-Hill. ISBN 0-07-212127-0.
Stoll, Clifford (1990). The Cuckoo's Egg [El Huevo del Cuco] (en inglés). The Bodley Head. ISBN 0-370-31433-6.
Taylor, Paul A. (1999). Hackers (en inglés). Routledge. ISBN 9780415180726.

Enlaces externos

Wikimedia Commons alberga una galería multimedia sobre Hackers.
Timeline: A 40-year history of hacking (en inglés)
The History of Hacking (vídeo en inglés)

Esta obra contiene una traducción parcial derivada de «Hacker (computer security)» de Wikipedia en inglés, concretamente de esta versión, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

[sterling93-1] Sterling, Bruce (1993). «Part 2(d)» [Parte 2(d)]. The Hacker Crackdown: Law and Disorder on the Electronic Frontier [La caza de hackers: Ley y desorden en la frontera electrónica] (en inglés). [[McLean (Virginia)|]], Virginia, Estados Unidos: IndyPublish.com. p. 61. ISBN 1-4043-0641-2.

[2] «cracker». The Jargon File (en inglés). Consultado el 12 de noviembre de 2011. «One who breaks security on a system. Coined ca. 1985 by hackers in defense against journalistic misuse of hacker».

[3] Jordan, Tim; Taylor, Paul A. (2004). Hacktivism and Cyberwars [Hactivismo y Ciberguerras] (en inglés). Londres, Gran Londres, Reino Unido: Routledge. pp. 133-134. ISBN 9780415260039. «Wild West imagery has permeated discussions of cybercultures».

[thomas02-4] Thomas, Douglas (2002). Hacker Culture [Cultura Hacker] (en inglés). Minnesota, Estados Unidos: University of Minnesota Press. ISBN 9780816633463.

[5] Clifford, Ralph D. (2006). Cybercrime: The Investigation, Prosecution and Defense of a Computer-Related Crime [Cibercrimen: La Investigación, el Enjuiciamiento y la Defensa de un Crimen Informático] (en inglés) (2^a edición). Durham, Carolina del Norte, Estados Unidos: Carolina Academic Press.

[wilhelm10-6] Wilhelm, Douglas (2010). Professional Penetration Testing [Pruebas de Penetración Profesional] (en inglés). Syngress Press. p. 503. ISBN 9781597494250.

[moore05-7] Moore, Robert (2005). Cybercrime: Investigating High Technology Computer Crime [Cibercrimen: Investigando el Crimen Informático de Alta Teconología] (en inglés). Matthew Bender & Company. p. 258. ISBN 1-59345-303-5.

[moore06-8] Moore, Robert (2006). Cybercrime: Investigating High-Technology Computer Crime [Cibercrimen: Investigando el Crimen Informático de Alta Teconología] (en inglés) (1^a edición). Cincinnati, Ohio, Estados Unidos: Anderson Publishing. ISBN 9781593453039.

[9] Andress, Mandy; Cox, Phil; Tittel, Ed. CIW Security Professional [Profesional de Seguridad del CIW] (en inglés). Nueva York, Nueva York, Estados Unidos: Hungry Minds, Inc. p. 10. ISBN 0764548220.

[10] Microsoft. «BlueHat Security Briefings». Microsoft TechNet: Recursos para profesionales de TI. Consultado el 4 de diciembre de 2011. «BlueHat es una conferencia de vanguardia que apunta a mejorar la seguridad de los productos de Microsoft».

[11] Ziff Davis. «Blue hat hacker Definition from PC Magazine Encyclopedia». PC Magazine (en inglés). Consultado el 4 de diciembre de 2011. «A security professional invited by Microsoft to find vulnerabilities in Windows».

[12] Fried, Ina (15 de junio de 2005). «Microsoft meets the hackers». Technology News (en inglés). c|net. Consultado el 4 de diciembre de 2011.

[13] Markoff, John (17 de octubre de 2005). «At Microsoft, Interlopers Sound Off on Security» (en inglés). The New York Times. Consultado el 4 de diciembre de 2011. «[...] the company held its second Blue Hat briefing, a meeting with a small group of about a dozen independent computer security specialists invited to the company's headquarters here to share detailed research on vulnerabilities in Windows software».

[14] Gupta, Ajay; Thomas Klavinsky, Scott Laliberte (15 de marzo de 2002). «Security Through Penetration Testing: Internet Penetration». InformIT: The Trusted Technology Source for IT Pros and Developers (en inglés). Pearson Education, Informit. Consultado el 10 de diciembre de 2011.

[15] Mayorkas, Alejandro N.; Thom Mrozek (9 de agosto de 1999). «KEVIN MITNICK SENTENCED TO NEARLY FOUR YEARS IN PRISON; COMPUTER HACKER ORDERED TO PAY RESTITUTION TO VICTIM COMPANIES WHOSE SYSTEMS WERE COMPROMISED» (en inglés). United States Department of Justice. Consultado el 11 de diciembre de 2011.

[16] Boyd, Clark (30 de julio de 2008). «Profile: Gary McKinnon» (en inglés). BBC News. Consultado el 12 de diciembre de 2011. «One US prosecutor accused him of committing "the biggest military computer hack of all time".»

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]