Ciberseguridad: Qué es el hacking ético

Las empresas se esfuerzan en garantizar la seguridad de sus sistemas contra ataques externos, aunque también hay que tener presentes los internos. La prevención contra la ciberdelincuencia es una de las mayores preocupaciones de las organizaciones debido a los riesgos que existen al estar conectadas a internet y por lo tanto accesibles a los hackers a nivel mundial.

Con el fin de adelantarse a ciberataques, surge lo denominado hacking ético, cuyo fin no es otro que ayudar a las empresas a minimizar al máximo su exposición a este tipo de ataques identificando posibles vulnerabilidades.

En el post de hoy, veremos en qué consiste el hacking ético y cómo se debe llevar a cabo. Si quieres especializarte, ¡échale un ojo a nuestro curso de ciberseguridad!

El hacker ético

Cuando oímos la palabra hacker le estamos dando una connotación negativa, pero si le añadimos el calificativo de ético, deberíamos verlo con otros ojos.

El trabajo del hacker ético consiste en atacar de forma controlada el sistema de seguridad que una empresa tiene con el fin de detectar posibles vulnerabilidades que pueden poner el riesgo los sistemas de esta.

Se intenta simular un ataque externo, pero de forma controlada y sin provocar daños, para de esta forma, concienciar a la empresa del potencial riesgo de ataque que tiene con el fin de que ponga los medios necesarios para prevenir un ataque real.

Los objetivos principales de este tipo de actividad son básicamente:

• Adelantarse a los cibercriminales y evitar un posible ataque drástico.
• Focalizar las inversiones en seguridad de forma eficiente, y no malgastar en sistemas poco o nada eficientes.
• Mejorar los procesos de seguridad y garantizar los planes de respuesta ante incidentes.
• Concienciar a todo el personal de las compañías de la importancia que supone poner en riesgo los sistemas por el no uso por ejemplo de contraseñas seguras.

El rol de hacker ético suele ser desarrollado por una empresa externa a la organización que desea que se le realice este tipo de acción, aunque en algunas empresas existe personal propio que desarrolla estas tareas.

Hoy en día, el hacking ético se está convirtiendo en una profesión de gran demanda y no existen muchos profesionales bien formados en esta rama de la seguridad.

Las fases del hacking ético

La realización de un hacking ético consta de varias etapas que comentaremos a continuación.

Normalmente este tipo de proyectos se encargan a empresas especializadas en ciberseguridad o bien a profesionales independientes. Los proyectos de hacking ético son considerados como auditorias de los sistemas de seguridad de la empresa.

• Firma de acuerdo de auditoría: Antes de iniciar cualquier auditoría, se deberá redactar un documento que detalle las tareas y pruebas que se van a realizar, el nivel de permisividad de la empresa, así como un acuerdo de confidencialidad que garantice que los datos que se obtengan o las vulnerabilidades que se detecten no sean compartidos con nadie.
• Recogida de información e investigación de los sistemas: Firmado el acuerdo se pasa ala fase de recopilar información relativa a la empresa y a la de sus empleados de la misma forma que lo haría un hacker, es decir buscándola en sitios públicos como la web empresarial. También se analizan los sistemas de la empresa, así como sus ip públicas para identificar servicios abiertos, archivos expuestos, información filtrada en internet, etc… En definitiva, se trata de identificar las posibles vías de ataque que pueden ser explotadas, así como la información y aficiones de ejecutivos que pueden facilitar en la identificación de contraseñas.
• Definición del plan de ataque: Recopilada la información anterior, el auditor definirá un plan de ataque que contendrá todas las posibles vías de actuación contra los sistemas identificados como más críticos para intentar explotar sus vulnerabilidades. Se analizan las vulnerabilidades a nivel de puertos y servicios existentes, así como de las aplicaciones que utiliza la empresa a auditar. En este plan se deben detallar todas las tareas a llevar a cabo con el máximo detalle para informa a la empresa de lo que se va a realizar.
• Realización del hacking ético: Una vez definido el plan de ataque y acordado con la empresa auditar la ventana temporal en la que se va a llevar a cabo el hacking, se procede al mismo para confirmar las vulnerabilidades y sacar la información y pruebas necesarias para elaborar posteriormente el informe de auditoría.
• Presentación de resultados: El auditor realiza un informe final en el que se muestra el resultado de los ataques realizados y las vulnerabilidades encontradas, así como la valoración de cada una de ellas en función de su severidad para que se priorice de forma adecuada la resolución de estas.

Para cada vulnerabilidad, el auditor dará una pauta sobre cómo resolver el problema para que la empresa auditada pueda llevar acabo dichas acciones correctivas.

El resultado de la auditoría puede detectar desde contraseñas débiles, hasta debilidades en los sistemas que pueden permitir ataques mediante inyección SQL o cross-site scripting.

Como hemos visto, pese a creer tener securizada de forma correcta nuestra empresa con herramientas de seguridad perimetral siempre es conveniente realizar de forma periódica una auditoría de hacking ético que revelará puestas traseras de entrada que pueden comprometer la organización.

Actualmente, además de las auditorías de ataques externos, también se realizan auditorías de ataques internos que determinarán la protección a los sistemas críticos de la empresa contra intentos de ataque por los propios empleados.