Hacking ético
El concepto de hacking ético consiste en prácticas llevadas a cabo por un especialista en seguridad informática.
facultad de escuela de negocios · tecnología
mié. 29 de sep. 2021
0

El concepto de hacking ético consiste en una serie de prácticas llevadas a cabo por un especialista en materia de seguridad informática. Entre las técnicas que utiliza, se incluye definir el tipo de auditoría que se va a llevar a cabo durante el proceso. Por estos conocimiento específicos es que las empresas recurren a un profesional en Tecnologías de la Información.

¿Qué es?

El concepto de Hacking ético es una forma de describir el acto de una persona, al que se llamará hacker, que utiliza sus conocimientos de seguridad aplicados a la informática para descubrir vulnerabilidades o agujeros de seguridad en un sistema o red. Tiene el objetivo de reportarlas al cliente para que se tomen todas las medidas necesarias para evitar que se aprovechen vulnerabilidades. En el mundo del Hacking ético se practica un tipo de pruebas llamadas “Test de penetración” (más conocidas por su nombre en inglés, Pentesting).

Su objetivo es burlar los diferentes sistemas de seguridad que tiene una red o sistema. Tiene la intención de probar su eficiencia o, por el contrario, demostrar la vulnerabilidad del sistema.Si encuentran alguna brecha del sistema de seguridad, el hacker o auditor reporta la situación a través de un completo informe a la empresa. Después se procede a mejorar la seguridad contratando los servicios de un tercero, habitualmente, el mismo hacker. Se debe resaltar que en este tipo de Hacking ético el profesional no hace ningún daño a la organización. Es decir, su actuación es totalmente inocua para la empresa, transformándose en pieza de gran valor para la compañía.

Tipos de Hacking

Antes de proceder con un hacking ético, es necesario establecer el alcance del proyecto para poder disponer de un cronograma de trabajo ajustado a la realidad y elaborar la propuesta económica para el cliente. Para determinar el alcance, se debe conocer como mínimo estos tres elementos: el tipo de hacking a efectuar, la modalidad del mismo y los servicios adicionales que el cliente desea incluir. Dependiendo desde dónde se ejecutan las pruebas de intrusión, un hacking ético puede ser externo o interno.

Hacking ético externo: Este hacking se realiza desde Internet contra la infraestructura de red pública de la empresa; es decir, sobre aquellos equipos de la organización que están expuestos a Internet y que proporcionan un servicio público.Ejemplo de equipos públicos: firewall, router, servidor de correo, servidor web y/o de nombres(DNS), etc.

  • Externo: este hacking se realiza desde Internet contra la infraestructura de red pública de la empresa. Es decir, sobre aquellos equipos de la organización que están expuestos a Internet y que proporcionan un servicio público. Ejemplo de equipos públicos: firewall, router, servidor de correo, servidor web y/o de nombres (DNS), etc.
  • Interno: al contrario que el externo, se ejecuta en la red interna del cliente, usando el punto de vista de un empleado de la empresa que tiene acceso a la red corporativa. En este tipo de pruebas se suelen encontrar más problemas de seguridad. Se debe a que la mayoría de administradores de sistemas se preocupan por proteger su seguridad perimetral y subestiman al atacante interno. Esto último es un error. Muchos estudios corroboran que la mayoría de ataques perpetrados con éxito proceden de la red interna de la empresa.

Modalidades

Dependiendo de la información que el cliente provea al auditor, el servicio de hacking ético se puede ejecutar en una de estas tres modalidades: Caja negra, Caja blanca o Caja gris. La modalidad escogida afectará el precio y duración de las pruebas de intrusión. A menor información recibida, mayor el tiempo invertido en investigar por parte del auditor.

  • Caja negra (Black box): esta modalidad se aplica a pruebas de intrusión externas. Se llama de este modo porque el cliente solamente le proporciona el nombre de la empresa a auditar al consultor, por lo que este trabaja a ciegas, la infraestructura de la organización es una caja negra para él. Esta clase de hacking ético se considera más realista, ya que es habitual que un agresor que elige una empresa como víctima no tenga más información que el nombre de la organización a atacar. También es cierto que requiere más tiempo y por tanto el coste es mayor. Además, se debe tener en cuenta que el hacker no cuenta con todo el tiempo deseado para realizar las pruebas de intrusión, así que la fase previa de indagación no puede alargarse más allá de lo que, en términos prácticos, sea posible para el cliente.
  • Caja gris (Gray box): es sinónimo de pruebas de intrusión internas. Algunos auditores también la definen como una prueba externa en la cual el cliente facilita información limitada sobre los elementos de la red pública a ser auditados. Ejemplo: Direcciones IP y el tipo/función del equipo (router, web-server, firewall, etc). Cuando se trata de pruebas internas, se llaman de caja Gris porque el auditor únicamente recibe los accesos que tendría un empleado de la empresa incluidos los mismos privilegios. Es decir, un punto de red para la estación de auditoría y datos de configuración de la red (dirección IP, máscara de subred, gateway y servidor DNS). Sin embargo, no le revela información adicional como, por ejemplo: usuario/clave para unirse a un dominio, la existencia de subredes, etc.
  • Caja blanca (White box): otro nombre por el que se le conoce es hacking transparente. Aplica a pruebas de intrusión internas únicamente. Se llama así debido a que la empresa cliente le da al hacker información completa de sus redes y sistemas a auditar. En otras palabras, además de proporcionarle un acceso a su red e información de configuración para su equipo, al igual que en la auditoría de caja gris, el auditor recibe información adicional como diagramas de red, una lista de equipos a auditar incluyendo nombres, plataformas, servicios ofrecidos, direcciones IP, información de subredes remotas, etc. Debido a que el consultor ahorra tiempo al no tener que extraer estos datos por sí mismo, este tipo de Pentesting requiere menos tiempo para llevarse a cabo y tiene un coste más reducido. No hay que olvidar que en un hacking de caja blanca es habitual que se le pida al consultor probar varios escenarios (ejemplo, sin credenciales, con credenciales de un perfil de usuario X o Y, etc).
  • Ingeniería social: la ingeniería social se refiere a la obtención de información a través de interactuar, a veces de forma manipuladora, con personas. Aquí el auditor obtiene datos confidenciales aprovechando el hecho de que el eslabón más débil en la cadena de seguridad de la información son los usuarios. Un ejemplo de ingeniería social puede ser el envío de emails falsos con adjuntos maliciosos, llamadas al personal del cliente fingiendo ser un técnico y solicitar contraseñas, visitar las instalaciones de la empresa haciéndose pasar por cliente para colocar un keylogger, etc.
  • Equipo robado: el objetivo es asegurarse de si la organización ha implementado las medidas necesarias para asegurar información confidencial contenida en los equipos portátiles de los usuarios clave en caso de robo. Se simula el robo del equipo, para lo cual los empleados elegidos entregan su equipo por espacio de un día como máximo al consultor. Este utiliza herramientas para intentar extraer información sensible.
  • Auditoría de seguridad física: aunque la seguridad física es considerada por muchos expertos como un tema independiente de las auditorías de hacking ético, existen empresas especializadas que pueden integrarla como parte del servicio.

Tipos de hacker

Blanco, negro y gris se refieren a la relación entre el hacker y los sistemas que están atacando.

  • Hackers de ‘Black Hat’. El término “sombrero negro” se originó en las películas occidentales, donde los chicos malos usaban sombreros negros y los buenos usaban sombreros blancos. Un hacker de sombrero negro es una persona que intenta obtener una entrada no autorizada en un sistema o red para explotarlos por razones maliciosas. El hacker de sombrero negro no tiene ningún permiso o autoridad para comprometer sus objetivos. Intentan infligir daños al comprometer los sistemas de seguridad, alterarlas funciones de los sitios web y las redes, o apagar los sistemas. A menudo lo hacen para robar u obtener acceso a contraseñas, información financiera y otros datos personales.
  • Hackers “Sombrero Blanco”: los hackers de sombrero blanco, por otro lado, se consideran los buenos, trabajando con organizaciones para fortalecer la seguridad de un sistema. Un sombrero blanco tiene permiso para atacar a los objetivos y comprometerlos dentro de las reglas prescritas de compromiso. Los hackers de sombrero blanco a menudo se denominan hackers éticos. Este individuo se especializa en herramientas, técnicas y metodologías de piratería ética para asegurar los sistemas de información de una organización. A diferencia de los hackers de sombrero negro, los hackers éticos explotan las redes de seguridad y buscan puertas traseras cuando están legalmente permitidos. Los piratas informáticos de sombrero blanco siempre revelan cada vulnerabilidad que encuentran en el sistema de seguridad de la compañía para que pueda repararse antes de que sean explotados por actores maliciosos.
  • Hackers de “Sombrero Gris”: los sombreros grises explotan las redes y los sistemas informáticos de la misma manera que los sombreros negros, pero lo hacen sin ninguna intención maliciosa. Revelan todas las lagunas y vulnerabilidades a las agencias de aplicación de la ley o agencias de inteligencia.

Fases de un ataque

Tanto el auditor como un hacker malicioso siguen un orden lógico de pasos al momento de ejecutar un hacking. A estos pasos agrupados se los denomina fases. Existe un consenso generalizado entre las entidades y profesionales de seguridad informática de que dichas fases son 5 en el siguiente orden:

Reconocimiento → Escaneo → Obtener acceso  Mantener acceso → Borrar huellas.

Usualmente dichas fases se representan como un ciclo al que se denomina comúnmente Círculo del Hacking. Tiene el ánimo de enfatizar que el cracker luego de borrar sus huellas puede pasar nuevamente a realizar un reconocimiento y, de esta manera, continuar con el proceso una y otra vez. No obstante, el auditor de seguridad informática que ejecuta un servicio de hacking ético presenta una leve variación en la ejecución de las fases de esta forma:

Reconocimiento → Escaneo → Obtener acceso  Escribir Informe → Presentar Informe.

Profundización

  • Fase 1 (reconocimiento): llamada también captura de información. Se trata de recopilar la mayor cantidad de información posible del objetivo en una auditoria, a más información se obtenga, mayor posibilidad de éxito en el ataque. En esta fase existen dos modos: el activo y el pasivoEn el reconocimiento pasivo se consigue la información sin interacción directa con el objetivo mediante el uso de técnicas tales como la ingeniería social, sniffing de red, búsquedas por internet o vigilancia de instalaciones para recabar información sobre empleados, accesos, infraestructura, etc. Un sniffer es un programa diseñado para controlar y analizar el tráfico red de un punto a otro de la misma. Las herramientas de sniffing proporcionan una ingente cantidad de información útil.
  • Fase 2 (escaneo): en esta fase se usa la información proporcionada por el paso anterior para examinar la red. Los recursos que el hacker auditor puede emplear en esta fase son:
    • Escáneres de puertos.
    • Barrido de ping.
    • Mapeadores de red.
    • Escáneres de vulnerabilidades.
  • Fase 3 (obtener acceso): se usa la información de las fases anteriores para explotar vulnerabilidades y acceder al sistema objetivo. La explotación se puede realizar a través de una red de área local (LAN), por acceso local a un PC, por Internet, o de forma offline, sin conexión.
  • Fases 4 y 5 (redacción y presentación de un informe de auditoría).

¿Cómo escribir un informe de auditoría?

Una vez terminadas las anteriores fases de la auditoría, queda la elaboración del informe que es probablemente la que más dice de un auditor. Es importante recordar que cuanto mejor se haga el trabajo como auditores, menos percibirá el cliente la presencia. Por lo tanto, es común que el informe sea la única prueba tangible que el cliente recibirá del proceso de auditoría. Una vez terminada esta, es imprescindible que se presenten los descubrimientos de manera organizada y fácil de entender. En muchas ocasiones el cliente no sabe con seguridad que se ha estado haciendo y cuántas horas se han invertido.

Así pues, no hay que subestimar esta fase pues, a menudo, el esfuerzo dedicado o el éxito conseguido serán juzgado más por el informe que por el propio éxito o fracaso al acceder a una red. Es una buena práctica enfatizar bajo el título de cada informe que el pentest es solo una instantánea del sistema en el momento en que se hizo la auditoría. Solo es válida y correcta hasta el día en que se realizó el informe. Esto es debido a que la seguridad de redes, equipos y software es un ámbito en continuo cambio.

¿Qué debe contener un buen informe? Las diferentes metodologías dan consejos sobre cómo realizarlo y qué debe incluir. Sin embargo, no hay ningún estándar en la industria. Para empezar, cualquier informe debe contener en su portada un control de versiones y los nombres de los autores, revisores y responsables además de la fecha para poder verificar las diferentes versiones en caso de duda. El control de versiones puede ser en progresión de números naturales o bien con la nomenclatura X.X más usada en software. Un buen informe debe contener como mínimo un resumen ejecutivo y otro técnico. A continuación, se explicará qué se espera de cada informe y algunas directrices para llevarlos a cabo.

Tipos de informes

En lo que respecta al informe ejecutivo, se pretende comunicar a un lector no técnico los aspectos más importantes de la auditoría sin usar tecnicismos ni proporcionar detalles técnicos. Debe tener una longitud por lo general no mayor a las 2 páginas y centrarse en los descubrimientos y cómo puede afectar al negocio. También es una buena idea recordar el alcance de la auditoría e incluir una estimación general del riesgo al que está sometida la organización.

Por otra parte, el informe técnico debe centrarse en proporcionar todos los detalles necesarios para que los encargados de subsanar los fallos puedan hacerlo. Por lo tanto, hay que empezar mostrando los fallos que puedan suponer un riesgo más inmediato para elcliente. Clasificar las vulnerabilidades encontradas puede ser una tarea difícil. Afortunadamente la mayoría de las herramientas como por ejemplo Nessus, vienen con un sistema de clasificación predeterminado. Porotro lado, es vital que no se deje información relevante fuera del informe, aunque no se haya conseguido darle uso.

Tecnologías de la Información

La incorporación de diferentes herramientas tecnológicas en el mundo laboral representa la razón más importante por la que el mercado es cambiante, creciente y acelerado. Y, en el caso de los negocios, se puede ver reflejado este factor de diferentes maneras: el Máster en Negocios Digitales y el Máster en Dirección de Ciberseguridad (Chief Information Security Officer) de TECH Universidad Tecnológica. Cada uno de estos programas aborda la digitalización empresarial desde diferentes herramientas y perspectivas.

Ante tal variedad, el Máster en MBA en Dirección de IT (Chief Technical Officer) ha logrado mantener un reconocimiento superior entre todos los posgrados. Se debe a que la Tecnología de la Información es un elemento clave para la gestión de todas las organizaciones, ya que estas cuentan, cada vez más, con infinidad de procesos informatizados. Ademas, con los años, este curso se ha ido modificando a la par del mundo empresarial, lo cual hace de esta materia algo sumamente importante.

Artículos relacionados

1 /

Compartir