Los ciberdelincuentes se actualizan de manera permanente, buscando como conseguir dinero. Pero desde luego, no se caracterizan por su pasión por el trabajo duro y decente. Al contrario, son oportunistas: aprovecharán brechas, descuidos y vulnerabilidades en tu empresa o equipos para poder obtener recursos con los cuales extorsionarte o venderlos para obtener dinero fácil. En el Ethical Hacking se combaten estas conductas.
Para evitar esto, los hackers de sombrero blanco y otros expertos en seguridad informática, desarrollan habilidades igualmente ofensivas opero con características éticas. Una de las estrategias usadas, es la que veremos hoy: el Pentesting.
Prácticas en Ethical Hacking: Pentesting
Los hackers éticos, desarrollan estos Test de intrusión que tiene como eje central, intentar ingresar a los sistemas de tú empresa. Por supuesto, al ser un servicio brindado por profesionales, se negocian a nivel contractual los alcances del “ataque”, donde tu determinas hasta donde y en que partes se podrá realizar el análisis. Si quieres aprender más del rol del hacker ético, puedes leer aquí.
Un detalle a destacar es que cada Pentesting es único, debe ser personalizado en función de las necesidades y características del entorno o empresa a evaluar.
Hay que entender que los profesionales del Ethical Hacking intentarán simular de la manera más cercana y precisa posible, un ataque de hacking real en manos de ciberdelincuentes. Por esto, es que las condiciones contractuales deben ser claramente definidas de acuerdo a un análisis especifico de la empresa y sus colaboradores, para detectar de mejor manera posibles puntos de ingreso.
Etapas Principales
Los profesionales dedicados al Ethical Hacking, trabajan de manera organizada. El Pentesting se caracteriza por desarrollarse siguiendo estas etapas:
Análisis: esta etapa, recibe distintos nombres de acuerdo al equipo. Puede ser llamada planificación o evaluación, pero el objetivo es el mismo: evaluar la situación y establecer las metas. Esto, es por escrito, en el contrato entre ambas partes, donde se detallará:
- Necesidad a cubrir/evaluar
- Objetivos que se pretenden alcanzar
- Limite y alcance del ataque
- Duración del ataque
- Consentimiento y conocimiento explícito del ataque
Detección: el equipo de intrusión, analizara la estructura completa de la red o el sistema a evaluar. Con esto, encontrará servidores, equipos, herramientas de seguridad, aplicaciones e incluso algunos test localizan las clases de usuario que tiene el sistema (usuario, súper usuario, administrador, etc.).
Las herramientas que pueden usar para esto, son variadas y dependen de múltiples factores. El propósito de esta etapa es encontrar vulnerabilidades, debilidades y fallas conocidas y comunes, o particulares.
Intrusión: esta etapa, llamada también ataque o test, es el momento en el cual el equipo, con lo adquirido en la etapa anterior, se centra en intentar entrar al sistema, aprovechando el conocimiento adquirido. El ataque tiene múltiples formas de llevarse a cabo y es crucial que este tipo de test se mantengan lo más discreto y confidencial posible. Alertar a los miembros de la empresa de que sufrirán un ataque, se aleja de la realidad y puede manipular los resultados finales.
Informe: llamada también reporte, es el momento en el cual el equipo de hackers éticos presenta sus conclusiones finales sobre la situación general. Este informe lleva un resumen detallado de las actividades realizadas, las vulnerabilidades halladas, el grado critico de las mismas y como afecta de manera global y específica a la empresa.
Errores frecuentes en el Ethical Hacking
Entre los errores más frecuentes podríamos encontrar los siguientes:
No realizar un informe óptimo, impactara de manera directa en las consecuencias de la empresa, de los usuarios y del contenido o los datos que manejen.
Errores de priorización: En ocasiones, debido al conocimiento que posee el pentester, suele ocurrir que los ataques se dan en base al fuerte del hacker y no en base a lo realmente preocupante. No profundizar debidamente con el cliente sobre los propósitos de esto, puede ocasionar graves fallos de interpretación.
Técnica y tecnología obsoleta: Los cibercriminales están a la vanguardia siempre. Usar técnicas obsoletas o tecnología que ya quedo fuera de vigencia, puede dar resultados erróneos, mostrando en el informe una empresa segura cuando podría ser todo lo contrario. Es necesario que los profesionales éticos estén al tanto de los nuevos avances para ser más efectivos en su rol.
No es necesario recordar que este tipo de pruebas deben permanecer confidenciales totalmente. Los profesionales de seguridad informática deben caracterizarse por su ética y moral férrea, para poder manejar información confidencial y no usarla para dañar.
Ventajas de realizar Pentesting con frecuencia
Algunas ventajas que puedes encontrar, son:
- Permite a las empresas establecer mejores medidas de seguridad
- Auditar el nivel de cercanía con estándares y certificaciones de seguridad
- Asegurar que la empresa puede seguir siento competitiva con el estándar alto en el mercado
- Analizar el verdadero nivel y alcance en áreas de seguridad informática de la empresa
Desde aquí, te recomendamos que realices prácticas de Pentesting con frecuencia en tu empresa para evaluar y corregir las cosas que sean necesarias.
Puedes aprender más, y ver las 10 Preguntas a un Hacker en una entrevista de trabajo, desde aquí.