Seguro que alguna vez te has preguntado. ¿Cuándo el hacking pasa de ser un acto legal a convertirse en un ciberdelito? . Y es algo que deberíamos tener todos muy claro, ya que el desconocimiento de la ley no te exime de su cumplimiento y las consecuencias de no hacerlo pueden ser altamente severas.
Como estudiantes en ciberseguridad, en numerosas ocasiones podemos dejarnos llevar por nuestra buena fe de notificar aquellas vulnerabilidades que encontramos, pero esto no tiene por qué ser bien recibido por las empresas y titulares que hayan sido analizados.
La empresa que estemos auditando debe siempre ser consciente y haber firmado por escrito un documento que explique claramente el alcance de nuestros actos y nos autorice para ello.
Esta es, en realidad, la parte sencilla de entender: si NO tenemos permiso, NO podemos intervenir. Aunque nuestras intenciones sean buenas podemos acabar con graves problemas legales.
La parte más compleja de todo esto es ¿Qué tipo de pruebas podemos realizar qué SI sean legales?
Análisis pasivos:
Whois, es un protocolo utilizado para consultas a una base de datos que proporciona información como: propietario de dominio, localización geográfica, datos de contacto, etc…
Fuerza bruta de subdominios mediante consultas de DNS, con herramientas como recon-ng o dnsrecon.
OSINT o Recopilación de información mediante fuentes abiertas, a través de herramientas como Maltego. Recopilando diferentes datos como emails, nombres de usuario en redes profesionales, contactos, teléfonos, asistencias físicas de eventos, etc..
Análisis de metadatos de documentos publicados por la empresa, con herramientas como FOCA.
Consulta de servicios publicados analizados por Shodan y otras webs del mismo tipo.
Todos estos reconocimientos pasivos podemos realizarlos sin miedo, ya que estamos haciendo consultas a registros públicos que no implican nada ilegal.
A partir de aquí y como hemos comentado antes, toda información privada o confidencial a la que se acceda, requiere de autorización previa por la persona o entidad investigada.
Por este motivo, siempre recomendamos hacer las prácticas sobre laboratorios creados para estos propósitos y con ello, trabajar siempre sobre entornos controlados y sin ningún problema legal.
Con nuestras certificaciones, podrás aprender de forma segura todo lo necesario para llegar a ser un gran profesional. Visita nuestro catálogo aquí.
La entrada El límite entre lo legal y criminal se publicó primero en Comunix.
Como estudiantes en ciberseguridad, en numerosas ocasiones podemos dejarnos llevar por nuestra buena fe de notificar aquellas vulnerabilidades que encontramos, pero esto no tiene por qué ser bien recibido por las empresas y titulares que hayan sido analizados.
La clave para mantenernos alejados de los problemas legales puede resumirse en dos únicas palabras: “CONSENTIMIENTO INFORMÁTICO”.
La empresa que estemos auditando debe siempre ser consciente y haber firmado por escrito un documento que explique claramente el alcance de nuestros actos y nos autorice para ello.
Esta es, en realidad, la parte sencilla de entender: si NO tenemos permiso, NO podemos intervenir. Aunque nuestras intenciones sean buenas podemos acabar con graves problemas legales.
La parte más compleja de todo esto es ¿Qué tipo de pruebas podemos realizar qué SI sean legales?
Análisis pasivos:
Whois, es un protocolo utilizado para consultas a una base de datos que proporciona información como: propietario de dominio, localización geográfica, datos de contacto, etc…
Fuerza bruta de subdominios mediante consultas de DNS, con herramientas como recon-ng o dnsrecon.
OSINT o Recopilación de información mediante fuentes abiertas, a través de herramientas como Maltego. Recopilando diferentes datos como emails, nombres de usuario en redes profesionales, contactos, teléfonos, asistencias físicas de eventos, etc..
Análisis de metadatos de documentos publicados por la empresa, con herramientas como FOCA.
Consulta de servicios publicados analizados por Shodan y otras webs del mismo tipo.
Todos estos reconocimientos pasivos podemos realizarlos sin miedo, ya que estamos haciendo consultas a registros públicos que no implican nada ilegal.
A partir de aquí y como hemos comentado antes, toda información privada o confidencial a la que se acceda, requiere de autorización previa por la persona o entidad investigada.
Por este motivo, siempre recomendamos hacer las prácticas sobre laboratorios creados para estos propósitos y con ello, trabajar siempre sobre entornos controlados y sin ningún problema legal.
Con nuestras certificaciones, podrás aprender de forma segura todo lo necesario para llegar a ser un gran profesional. Visita nuestro catálogo aquí.
La entrada El límite entre lo legal y criminal se publicó primero en Comunix.
