Autor reseña: Francisco J. Barrientos García, socio de ATI.
ATI informa Asociacion Tecnicos Informaticos
RESEÑA: Seguridad informática - Ethical Hacking.
ediciones eni asociacion tecnicos informatica Seguridad informática - Ethical Hacking
(Conocer el ataque para una mejor defensa)

ACISSI / Colección: Epsilon.

El libro Seguridad informática – Ethical Hacking. Conocer el ataque para una mejor defensa trata sobre las vulnerabilidades de seguridad más conocidas y cómo defenderse de ellas.

Propone al lector colocarse en el papel del atacante, para de esa manera poder establecer una estrategia defensiva más eficaz.
El público al que va dirigido es todo aquel que esté interesado en la seguridad informática y que tenga unos conocimientos básicos/medios de sistemas, redes y programación.  Gracias a las explicaciones teóricas y la gran cantidad de enlaces y referencias que aporta, puede servir también como manual de referencia de los conceptos más esenciales de seguridad informática.
Los autores dominan a la perfección el tema tratado, aportando al lector valiosos consejos (y no sólo en el campo técnico). La información del contexto es muy útil para entender la evolución que se ha ido produciendo en este campo y cómo se ha llegado a determinadas situaciones.

El libro se estructura en diferentes capítulos que tratan los diferentes ámbitos en los que hay que considerar la seguridad. Los primeros capítulos son más teóricos y proporcionan una útil introducción a los conceptos que se van a manejar en el resto de la obra, los tipos de hackers y sus motivaciones y la metodología general de un ataque. Los siguientes capítulos son más prácticos, con abundantes ejemplos, convenientemente explicados.

Cada capítulo está dedicado a un ámbito concreto, como por ejemplo, las vulnerabilidades asociadas al acceso físico a los equipos, los fallos web, de sistema operativo, aplicaciones, etc. Dentro de cada capítulo generalmente se repite el mismo esquema. Primero, se explican los conceptos necesarios para entender lo que se está tratando. A continuación, se desvelan las vulnerabilidades que van a ser objeto del ataque y cómo efectuar dicho ataque. Por último, se detallan las acciones correctoras para eliminar o minimizar los efectos de dicha vulnerabilidad.

Merece especial mención el capítulo dedicado a la ingeniería social (social engineering) que es una fuente de vulnerabilidades nada despreciable, y que no suele ser tratada en este tipo de obras de contenido puramente técnico.

Quizá, la explicación de la gestión de memoria del Capítulo 9 “Los fallos de aplicación” resulta un poco farragosa y se podría haber ilustrado mejor con alguna figura más explicativa. También se dedica bastante espacio a algunos ejemplos, que aunque ilustrativos, son poco prácticos porque los mismos autores reconocen que los fallos de seguridad sobre los que se sustentan están corregidos y parcheados en la gran mayoría de sistemas. Incluso, para poder probar dichos ejemplos, tenemos que provocar nosotros mismos la vulnerabilidad. Pero en líneas generales, el contenido del libro es claro y conciso, pero sin escatimar en explicaciones y ejemplos.  Y completo, porque contempla tanto sistemas Windows, como Linux y Mac OS X, con gran cantidad de enlaces para que el lector pueda completar la información por su cuenta, en aquellos aspectos que le resulten más interesantes o desconocidos. Cabe destacar el esfuerzo realizado en la traducción del texto, ya que están traducidas y adaptadas al castellano hasta las imágenes, listados y referencias.

Este libro es adecuado para aquellos que aspiren a ser algo más que “script kiddies”, que estén concienciados con las reglas del hacking ético y quieran conocer los fundamentos de las principales vulnerabilidades de seguridad y las contramedidas adecuadas.