26 de septiembre de 2017

Metodologías éticas de Hacking

Ethical Hacking Methodologies, Metodologías éticas de Hacking, ethical hacking methodology, Metodología ética de hacking, Metodologías de Ethical Hacking

Metodologías éticas de Hacking


Metodologías disponibles privadas y libres/publicas [1]:

A. Privadas: Empresas que ofrecen servicios y certificaciones.

1) IBM
2) ISS
3) Foundstone (McAfee)
4) EC-Council LPT

B. Libres/Publicas

1) OSSTMM (Open Source Security Testing Methodology Manual) [2]

Manual de la Metodología Abierta del Testeo de Seguridad, proporciona metodología exhaustiva a nivel operacional que no deja su pociones o pruebas anecdóticas las pruebas. Es proyecto de código abierto creado en el año 2000 por Pete Herzog. El libro en si es la metodología y explica como trabajarla [3].

2) CISSP (Certified Information Systems Security Professional)
Es una certificación que cumple el estándar ISO/IEC 17024 como criterio de cumplimiento de habilidades, en términos de seguridad cibernética [4].

La certificación cubre los siguientes ítems [5]:

• Seguridad y gestión del Riesgo
• Seguridad de activos
• Ingeniería de seguridad
• Seguridad de la red y comunicación
• Gestión de acceso e identidad
• Evaluación y pruebas de seguridad
• Seguridad operaciones
• Seguridad desarrollo de software

3) CISA (Certified Information Systems Auditor) [6]

La certificación de auditoria CISA cubre los siguientes conceptos [7]:

• El proceso de Auditoría de Sistemas de Información
• Gobierno y Gestión de TI
• Adquisición, Desarrollo e Implementación de Sistemas de Información
• Gestión de Servicio, Mantenimiento y Operaciones de Sistemas de Información
• Protección de Los Activos de Información

4) CHECK [1]

Esta metodología trata de detectar las vulnerabilidades de un sistema que puede causar perdida de información.

5) OWASP (Open Web Application Security Project)

Es una metodología basada en la calificación del riesgo, y se basa en la fórmula:

Risk = Likelihood * Impact
Riesgo = Probabilida * Impacto

Y su cálculo se basa en seis (6) pasos [7]:

- Paso 1: Identificación del riesgo.
- Paso 2: Factores para estimar la probabilidad.
- Paso 3: Factores para estimar el impacto.
- Paso 4: Determinación de la gravedad del riesgo.
- Paso 5: Decidir que se debe arreglar.
- Paso 6: Personalizar su modelo de calificación del riesgo.

6) ISSAF (Information Systems Secutiry Assesment Framework) [8]

De OISSG (Open Information System Security Group) se basa en criterios de evaluación son los siguientes:

- Descripción de los criterios de evaluación.
- Propósitos y objetivos
- Pre-requisitos para llevar a cabo la evaluación.
- Proceso de evaluación.
- Mostrar los resultados esperados
- Contramedida recomendadas
- Referencia a documentos externos.

Este marco de trabajo proporciona validación de estrategias de seguridad como “penetration testing” y estandarización para verificación de auditoria para las políticas de información.


Notas y Referencias:


  • [1] EC-Council, "Penetration Testing Methodologies List," in Penetration Testing: Procedures & Methodologies, Cengage Learning, 2010, pp. 12-14.
  • [2] P. Herzog, ISECOM, [Online]. Available: http://www.isecom.org/research/. [Accessed 31 Agosto 2017].
  • [3] J. D. Muñoz, "jesusdml.es," 16 Junio 2011. [Online]. Available: http://www.jesusdml.es/2011/06/16/metodologia-de-auditoria-de-seguridad-osstmm/. [Accessed 31 Agosto 2017].
  • [4] (ISC)², Inc, "Certified Information Systems Security Professional," [Online]. Available: https://www.isc2.org/Certifications/CISSP. [Accessed 31 Agosto 2017].
  • [5] ISACA, "Certified Information Systems Auditor (CISA)," [Online]. Available: http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx. [Accessed 31 Agsoto 2017].
  • [6] ISACA,CISA, "Spanish: Manual de Preparación para el Examen CISA," [Online]. Available: https://www.isaca.org/bookstore/Pages/Product-Detail.aspx?Product_code=CRM26EDS. [Accessed 31 Agosto 2017].
  • [7] OWASP, "The Open Web Application Security Project," [Online]. Available: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology. [Accessed 2 Septiembre 2017].
  • [8] OISSG, "Information Systems Security Assessment Framework (ISSAF)," [Online]. Available: http://www.oissg.org/issaf.html. [Accessed 2 Septiembre 2017].