Existe una tendencia mundial en la cual las empresas contratan profesionales para vulnerar su seguridad. ¿Por qué lo hacen? 6 pasos para realizarlo correctamente.
En el imaginario colectivo, un hacker es una persona maliciosa que busca hacer daño a través de sus conocimientos informáticos. Sin embargo, existe un nuevo personaje, muy buscado en la actualidad, que es el hacker ético.
Un hacker ético es un profesional de la ciberseguridad que utiliza sus habilidades para identificar vulnerabilidades y brechas en sistemas informáticos, redes y aplicaciones, con el objetivo de ayudar a organizaciones a mejorar su seguridad. A diferencia de los hackers malintencionados. o directamente ciber delincuentes, (a veces llamados "black hat hackers"), los hackers éticos (o "white hat hackers") actúan con el permiso y conocimiento de los propietarios de los sistemas que examinan.
Su trabajo incluye realizar pruebas de penetración, auditar sistemas de seguridad, y proporcionar recomendaciones sobre cómo fortalecer la protección contra posibles ataques. El propósito principal de un hacker ético es prevenir violaciones de seguridad y proteger la información sensible. Los profesionales que ejecutan estos servicios integran los equipos de Red Team de las organizaciones o empresas de ciberseguridad.
Argentina es el tercer país de la región con mayor cantidad de ciberdelitos
Usos del hackeo ético
Hay dos usos muy comunes que buscan las empresas a través de esta práctica. Así lo explica Leonardo M, líder técnico de red team de Security Advisor:
1) Evaluar cómo está una empresa a nivel de seguridad desde la perspectiva de los atacantes: para esto, un hacker ético se encarga de Identificar vulnerabilidades en activos de la organización, ya sea web, mobile, infraestructura tipo servidores, firewalls, computadores, es decir todo lo relacionado y que sea crítico para la organización. Este proceso se lleva a cabo en un periodo de tiempo acordado con el cliente se realiza y se explotan dichas vulnerabilidades encontradas y se mitigan antes de que los ciberdelincuentes puedan encontrarlas .
2) Apoya la certificaciones y cumplir con normativas: asegurar que una organización cumple con las normativas y estándares de seguridad internacionales como la ISO 27001, y estas mismas piden actividades de hacking ético.
"El hacking ético funciona de muchas maneras donde esto puede ser en caja negra, caja gris y caja blanca, lo principal es la capacidad de aprender, nunca dejar de actualizarse ya que al igual que la tecnología en su conjunto, la ciber delincuencia evoluciona a velocidades cada vez mayores.", explica el experto de Security Advisor. Hay ciertas metodologías que se alinean a un hackeo ético como el OSSTMM , PTES, WSTG.
Videojuegos: ¿Por qué los "Mods" son considerados la puerta de entrada para los hackers?
6 pasos claves para un hackeo ético
1) Se debe planificar con el cliente el alcance establecido, establecer qué es lo que el cliente desea proteger y cuales son los riesgos asociados al negocio si fueran explotadas por ciber delincuentes o simplemente el dominio de ellos. Es imprescindible tener un contrato de tipo NDA , ya que esto es la puerta de realizar legalmente el hacking ético. Si no existe contrato de por medio estás cometiendo delitos informáticos.
2) Realizar Reconocimiento pasivo y activo Un muy buen reconocimiento puede llegar muy lejos.
El reconocimiento pasivo es recopilar mucha información en fuentes abiertas sin tener contacto directo con el objetivo.
El reconocimiento activo son técnicas que de cierta manera brindan conexión con los activos de tu objetivo y pueden identificarse si tiene herramientas de seguridad.
3) Realizar full enumeración y escaneos de vulnerabilidades, ya que directamente debes entender cuales son las dolencias y encontrar vulnerabilidades para verificar si son reales o no, esto va muy de la mano con la depuración de falsos positivos no basta con ejecutar herramientas automatizadas debe existir el talento humano para probar, buscar y crear exploits para poder saltar las barreras de protección y bug en activos.
4) Luego de inventariar las vulnerabilidades tanto con los escaneos automatizados y búsqueda manual de defectos, se deben revisar las vulnerabilidades con exploits verificados, modificados, donde estos deben ser revisados por el hacker ético y que no afecten la continuidad del negocio del cliente. Tras esto se procede a explotar vulnerabilidades, se debe escalar privilegios y ver hasta donde se puede llegar. En el acuerdo del servicio con el cliente es imprescindible establecer si se realizaran pruebas de denegación de servicio o no.
5) Post-explotación, hay que verificar y mantener acceso con el activo afectado. ya que en un hacking ético siempre se debe tener control absoluto de todo buscando informar los hallazgos encontrados, de todas formas esto puede variar según lo planificado con el cliente.
6) Es fundamental tener todo documentado, la bitácora de las pruebas, realizar un informe ejecutivo para que los directores puedan entender los hallazgos y un informe técnico donde se debe recomendar y mitigar las vulnerabilidades explotadas. La evaluación de las mismas se realiza mediante la aplicación de frameworks de mercado reconocidos, tales como CVSS en una escala de info-bajo-medio-alto-crítico. Para todas las las vulnerabilidades debe existir una poc en el informe final y el paso a paso de como explotar dichas vulnerabilidades según el nivel de riesgo. Luego de que la organización realiza las actividades de remediación, habitualmente se realiza un retest para validar y verificar el éxito de dichas tareas de remediación.
RM
