En los medios populares, a los hackers se les suele retratar como personajes malvados que obtienen acceso a sistemas y redes de computación de manera ilegal. A decir verdad, un hacker tan solo es alguien con una comprensión amplia de los sistemas y redes de computación. Algunos hackers (conocidos como hackers de sombrero negro) sí utilizan sus habilidades para fines ilegales y poco éticos, en tanto que otros lo hacen por el desafío. Los hackers de sombrero blanco utilizan sus habilidades para resolver problemas y fortalecer los sistemas de seguridad. Estos hackers se valen de sus habilidades para atrapar criminales y arreglar las vulnerabilidades de los sistemas de seguridad. Aunque no tengas ninguna intención de hackear, es bueno que sepas la forma como funcionan los hackers para no volverte un blanco para ellos. Si estás preparado para sumergirte y aprender sobre este arte, en este wikiHow aprenderás unos cuantos consejos que te ayudarán a empezar.
Pasos
-
Comprende qué es hackear. En términos generales, hackear hace referencia a diversas técnicas con las que se pone en peligro un sistema digital o se obtiene acceso a él. Puede ser una computadora, un teléfono móvil, una tableta o toda una red. Hackear involucra diversas habilidades especializadas. Algunas de ellas son muy técnicas, en tanto que otras son de una naturaleza más psicológica. Existen muchos tipos distintos de hackers a quienes los motivan varias razones distintas. [1] X Fuente de investigación
-
Comprende la ética de hackear. A pesar de la forma como se retrata a los hackers en la cultura popular, hackear no es ni bueno ni malo. Puede usarse para cualquiera de los dos. Los hackers tan solo son personas habilidosas para la tecnología a quienes les gusta resolver problemas y superar las limitaciones. Puedes encontrar soluciones a problemas valiéndote de tus habilidades como hacker o bien puedes usar tus habilidades para crear problemas y realizar actividades ilegales.
- Advertencia: obtener acceso a computadoras que no te pertenezcan es altamente ilegal. En caso de que optes por usar tus habilidades para hackear para estos fines, ten en cuenta que hay otros hackers que utilizan sus habilidades para el bien (se les conoce como hackers de sombrero blanco). A algunos se les paga mucho dinero para perseguir a los hackers malos ( hackers de sombrero negro). Si te atrapan, irás a la cárcel.
-
Aprende a usar internet y HTML. En caso de que vayas a hackear, será necesario que sepas usar internet. No solamente usar un navegador web sino también usar técnicas avanzadas de motores de búsqueda. Asimismo, deberás saber crear contenido de internet mediante HTML. Si aprendes HTML, también aprenderás algunos hábitos mentales buenos que te servirán para aprender a programar. [2] X Fuente de investigación
-
Aprende a programar. Aprender un lenguaje de programación podría tomar un tiempo y, por ende, debes tener paciencia. Concénrate en aprender a pensar como programador y no en aprender lenguajes individuales. Enfócate en conceptos que sean similares en todos los lenguajes de programación.
- C y C++ son los lenguajes con los que se construyeron Linux y Windows. Estos (junto con un lenguaje ensamblador) te enseñan algo muy importante en el hackeo: cómo funciona la memoria.
- Python y Ruby son lenguajes de secuencia de comandos potentes y de alto nivel que puedes usar para automatizar diversas tareas.
- Vale la pena aprender PHP debido a que la mayor parte de las aplicaciones web lo utilizan. Asimismo, Perl es una opción razonable en este campo.
- La secuencia de comandos Bash es indispensable. Esto es una forma de manipular sistemas de Unix o Linux con facilidad. Con Bash, puedes escribir guiones que harán la mayor parte del trabajo por ti.
- Es indispensable que sepas el lenguaje ensamblador. Este es el lenguaje básico que entiende el procesador, y tiene muchas variaciones. No es posible explotar de verdad un programa si no conoces el lenguaje ensamblador.
-
Consigue un sistema de código abierto basado en Unix y aprende a usarlo. Existe una amplia familia de sistemas operativos que se basan en Unix, entre ellos Linux. La gran mayoría de los servidores en internet están basados en Unix. Por ende, deberás aprender Unix si lo que quieres es hackear internet. [3] X Fuente de investigación Asimismo, los sistemas de código abierto como Linux permiten que leas y modifiques el código fuente de forma que puedas trastear con ellos.
- Hay muchas distribuciones distintas de Unix y Linux. La distribución más popular de Linux es Ubuntu. Es posible instalar Linux como tu principal sistema operativo o crear una máquina virtual de Linux. Asimismo, puedes hacer un arranque dual de Windows y Ubuntu .
Anuncio
-
Asegura tu máquina primero. Si quieres aprender a hackear, necesitarás un sistema en donde practicar tus habilidades. Sin embargo, asegúrate de estar autorizado para atacar a tu objetivo. Es posible ya sea atacar tu propia red, pedir permiso por escrito o disponer tu propio laboratorio con máquinas virtuales. Atacar un sistema sin permiso, independientemente de su contenido, es ilegal y con seguridad te meterás en problemas.
-
Conoce tu objetivo. Al proceso de recopilar información acerca de tu objetivo se le llama "enumeración". Tu meta es establecer una conexión activa con el objetivo y buscar vulnerabilidades con las que puedas explotar aún más el sistema. Existen diversas herramientas y técnicas que pueden ayudarte con el proceso de enumeración. La enumeración puede llevarse a cabo en diversos protocolos de internet, entre ellos NetBIOS, SNMP, NTP, LDAP, SMTP, DNS y sistemas de Windows y Linux. Estos son algunos datos que debes recopilar: [5] X Fuente de investigación
- nombres de usuarios y nombres de grupos
- nombres de equipos
- recursos compartidos y servicios
- tablas de IP y tablas de enrutamiento
- ajustes de servicio y configuraciones de auditoría
- aplicaciones y banners
- detalles de SNMP y DNS
-
Pon a prueba el objetivo. ¿Puedes llegar al sistema remoto? Es posible usar la utilidad ping (que viene con la mayoría de los sistemas operativos) para fijarte si el objetivo está activo, pero no siempre puedes confiar en los resultados, ya que depende del protocolo ICMP, el cual los administradores del sistema paranoicos pueden desactivar con facilidad. Asimismo, puedes usar herramientas para revisar un correo electrónico y fijarte cuál servidor de correo electrónico utiliza.
- Puedes encontrar herramientas para hackear si buscas en foros. [6] X Fuente de investigación .
-
Haz un examen de los puertos. Puedes utilizar un escáner de red para hacer un examen de los puertos. Con esto verás los puertos que estén abiertos en la máquina y el sistema operativo e incluso puedes saber el tipo de cortafuegos o enrutador que utilice de forma que puedas establecer un plan de acción.
-
Busca un directorio o un puerto abierto en el sistema. Los puertos comunes, como FTP (21) y HTTP (80) suelen estar bien protegidos y es posible que únicamente sean vulnerables a explotaciones que aún no se hayan descubierto. Prueba con otros puertos TCP y UDP que podrían haber sido olvidados (por ejemplo, Telnet y varios puertos UDP que hayan quedado abiertos para los juegos de LAN).
- Un puerto 22 abierto suele ser evidencia de que se está ejecutando un servicio SSH (Secure Shell) en el objetivo, y a este a veces se le puede hacer un ataque de fuerza bruta.
-
Descifra la contraseña o el proceso de autenticación. Una contraseña puede descifrarse con varios métodos, incluyendo algunos de los siguientes:
- Fuerza bruta: un ataque de fuerza bruta tan solo intenta adivinar la contraseña del usuario. Esto es útil para obtener acceso a las contraseñas que se adivinen con facilidad (por ejemplo, contraseña123). Los hackers suelen usar herramientas que adivinan con rapidez distintas palabras de un diccionario para tratar de descifrar una contraseña. Si quieres protegerte contra un ataque de fuerza bruta, no utilices palabras simples en tus contraseñas. Asegúrate de emplear una combinación de letras, números y caracteres especiales.
- Ingeniería social: para esta técnica, un hacker se comunica con un usuario y lo engaña para que le dé su contraseña. Por ejemplo, afirma ser del departamento de TI y le dice al usuario que necesita su contraseña para arreglar un problema. Asimismo, podría revolver en la basura para buscar información o intentar obtener acceso a una habitación segura. Por este motivo, nunca debes darle tu contraseña a nadie, independientemente de quién afirme ser. Siempre debes triturar los documentos que contengan información personal.
- Phishing : mediante esta técnica, un hacker le envía a un usuario un correo electrónico falso que parece provenir de una persona o empresa en quien el usuario confía. El correo electrónico podría contener un archivo adjunto que instale programas espía o un keylogger . Asimismo, podría contener un enlace a un sitio web de negocios falso (elaborado por el hacker ) que dé la apariencia de ser auténtico. Luego, al usuario se le pide que ingrese su información personal, a la cual el hacker luego obtiene acceso. Si quieres evitar las estafas de este tipo, evita abrir correos electrónicos en los que no confíes. Siempre debes revisar que un sitio web sea seguro (que la URL incluya "https"). Inicia sesión a sitios web de negocios directamente y no haciendo clic en los enlaces de un correo electrónico.
- Suplantación de ARP: mediante esta técnica, un hacker se vale de una aplicación en su smartphone para crear un punto de acceso falso a wifi al que puede iniciar sesión cualquiera en un lugar público. Los hackers pueden ponerle un nombre que parezca que pertenece al establecimiento local. Las personas inician sesión a él pensando que están iniciando sesión a una wifi pública. Luego, la aplicación registra todos los datos que las personas que hayan iniciado sesión transmiten a través de internet. En caso de que inicien sesión a una cuenta con su nombre de usuario y contraseña sobre una conexión no encriptada, la aplicación guarda esos datos y le da acceso al hacker . Si no quieres ser víctima de este atraco, no debes usar una wifi pública. En caso de que debas hacerlo, consulta con el propietario del establecimiento para asegurarte de iniciar sesión al punto de acceso correcto a internet. Verifica que tu conexión esté encriptada buscando un candado en la URL. Asimismo, puedes usar una red privada virtual (VPN, por sus siglas en inglés) .
-
Obtén privilegios de superusuario . En su mayoría, la información que será de interés vital estará protegida y necesitarás un determinado nivel de autenticación para obtenerla. Si quieres ver todos los archivos en una computadora, debes tener privilegios de superusuario: una cuenta de usuario a la que se le han dado los mismos privilegios que el usuario "root" en los sistemas operativos Linux y BSD. En el caso de los enrutadores, esta es la cuenta "admin" por defecto (a menos que se haya cambiado) y, en el caso de Windows, es la cuenta de administrador. Puedes usar algunos trucos para obtener privilegios de superusuario:
- Desbordamiento de búfer: en caso de que conozcas la disposición de la memoria de un sistema, puedes introducir datos de entrada que el búfer no pueda almacenar. Puedes sobrescribir el código almacenado en la memoria con tu propio código y tomar el control del sistema. [7] X Fuente de investigación
- En los sistemas similares a Unix, esto sucederá en caso de que el software infectado haya programado el bit setUID para almacenar autorizaciones de archivos. Este programa se ejecutará como otro usuario (por ejemplo, el superusuario).
-
Crea una puerta trasera. Después de obtener el control por completo de una máquina, es recomendable asegurarte de poder regresar otra vez. Si quieres crear una puerta trasera, debes instalar una pieza de malware en un servicio importante del sistema (por ejemplo, el servidor SSH). Con esto, podrás circunvalar el sistema de autenticación estándar. Sin embargo, es posible que la puerta trasera se elimine en la siguiente actualización del sistema.
- Un hacker con mucha experiencia crearía una puerta trasera en el compilador en sí de forma que todo el software compilado constituya una posible forma de regresar.
-
Cubre tu rastro. No debes dejar que el administrador sepa que el sistema está en peligro. Evita hacer ningún cambio al sitio web. No crees más archivos de los que de verdad necesites. No crees ningún usuario adicional. Actúa de la forma más rápida posible. En caso de que le hayas puesto un parche a un servidor como SSHD, asegúrate de que tu contraseña secreta esté incrustada directamente en el código fuente. Si alguien intenta iniciar sesión con esta contraseña, el servidor debe permitirle ingresar pero no debe contener ninguna información crucial.Anuncio
Consejos
- Usar estas tácticas en una computadora corporativa o gubernamental popular es buscar problemas, a menos que seas un experto o un hacker profesional. Ten en cuenta que sí hay personas un poco más expertas que tú que se ganan la vida protegiendo estos sistemas. Cuando encuentran intrusos, a veces los monitorean para dejar que primero se incriminen a sí mismos antes de emprender acciones legales. Esto quiere decir que quizás creas que tienes acceso libre después de hackear un sistema, pero, en realidad, están observándote y podrían detenerte en cualquier momento.
- Los hackers construyeron internet, crearon Linux y trabajan en software de código abierto. Es recomendable que averigües sobre el hackeo, ya que es bastante respetado y se necesita una gran cantidad de conocimiento profesional para hacer algo serio en entornos reales.
- Ten en cuenta que nunca te volverás bueno si tu objetivo no hace su mejor esfuerzo por mantenerte a raya. Por supuesto que no debes ser arrogante. Evita pensar en ti mismo como el mejor de los mejores. Haz que este sea tu objetivo: debes volverte cada vez mejor. Cada día que no aprendas algo nuevo es un día desperdiciado. Eres lo único que cuenta. Conviértete en el mejor, cueste lo que cueste. No hay mitades. Debes darlo todo de ti. Como diría Yoda: "Hazlo o no lo hagas, pero no lo intentes".
- Lee libros que hablen sobre las redes TCP/IP.
- Existe una gran diferencia entre un hacker y un cracker . A un cracker lo motivan razones maliciosas (en concreto, ganar dinero), en tanto que los hackers intentan obtener información y adquirir conocimientos mediante la exploración ("circunvalar la seguridad").
- Practica primero hackeando tu propia computadora.
Advertencias
- Es posible que hackear el sistema de otra persona sea ilegal y, por ende, no debes hacerlo a menos que tengas la certeza de tener permiso del propietario del sistema que intentes hackear y estés seguro de que valga la pena. De lo contrario, te atraparán.
- Nunca debes hacer nada solo por diversión. No olvides que hackear una red no es un juego sino un poder para cambiar el mundo. Evita desperdiciarlo en acciones infantiles.
- Quizás hayas oído lo contrario, pero no debes ayudar a nadie a colocar parches en sus programas o sistemas. Esto se considera muy soso y hace que te veten de la mayoría de las comunidades de hackers . Si divulgas una explotación privada que alguien haya encontrado, es posible que esta persona se convierta en tu enemigo. Esta persona probablemente sea mejor que tú.
- Evita borrar ficheros de registros enteros. En cambio, elimina únicamente las entradas incriminatorias del fichero. La otra pregunta es: ¿hay un fichero de registros de respaldo? ¿Y si tan solo buscan diferencias y encuentran exactamente lo que hayas borrado? Siempre debes pensar en tus acciones. Lo mejor es que borres líneas aleatorias del fichero, incluso las tuyas.
- Ten extremo cuidado si consideras haber encontrado un crack muy fácil o un error rudimentario en gestión de seguridad. Es posible que un profesional de la seguridad que esté protegiendo el sistema esté tratando de engañarte o disponer una honeypot .
- Es posible que el uso incorrecto de esta información constituya un acto criminal local o federal (delito). Este artículo tiene la intención de informar y únicamente debe ser usado para fines éticos (y no ilegales).
- En caso de que no tengas confianza en tus habilidades, no entres en redes corporativas, gubernamentales o militares. Aunque tengan una seguridad débil, podrían tener mucho dinero para rastrearte y atraparte. En caso de que encuentres un agujero en estas redes, lo mejor es dárselo a un hacker con más experiencia en quien confíes y que pueda darles un buen uso a estos sistemas.
Cosas que necesitarás
- PC o computadora portátil (de funcionamiento rápido) con conexión a internet
- proxy (opcional)
- escáner de IP
Referencias
- ↑ https://www.malwarebytes.com/hacker/
- ↑ http://www.catb.org/esr/faqs/hacker-howto.html
- ↑ https://www.youtube.com/watch?v=tlezBUdD53w
- ↑ https://blog.techorganic.com/2013/12/10/creating-a-virtual-machine-hacking-challenge/
- ↑ https://resources.infosecinstitute.com/what-is-enumeration/#gref
- ↑ https://www.hackerone.com/blog/100-hacking-tools-and-resources
- ↑ https://www.imperva.com/learn/application-security/buffer-overflow/