La temida técnica del hackeo por fin encontró un fin noble: el hacking ético. Consiste en aplicar técnicas de piratería informática para evaluar la seguridad de un sistema y descubrir sus vulnerabilidades. En realidad, las tecnologías informáticas avanzan para todos. Por lo tanto, los ciberdelincuentes también aprenden y pergeñan nuevas tácticas para cometer actos ilícitos. Así surge esta figura: el hacker ético o pentester, un profesional que, además de conocimientos técnicos, debe tener altos valores éticos y morales.
¿Qué es el hacking ético?
La seguridad informática plantea cada vez más, poderosos desafíos. En realidad, los sistemas informáticos nacieron con la preocupación por protegerlos… ¡y la posibilidad de vulnerarlos! La acción de vulnerar los sistemas se conoce como hacking.
Sin embargo, debe decirse que no siempre el hacking es un delito. Cuando tiene una finalidad positiva, se lo denomina hacking ético o de sombrero blanco. Se considera que el primer hacking ético o en todo caso, el primero documentado, fue realizado por un grupo de estudiantes del MIT en 1971.
Te puede interesar: Tendencias en seguridad cibernética: Cómo las amenazas en línea están evolucionando y qué puedes hacer para protegerte
Realizaron una serie de pruebas de penetración en el sistema telefónico de los Estados Unidos, con el objetivo de identificar y reportar sus vulnerabilidades. Este grupo se llamó “The Phone Phreaks” y estaba liderado por John Draper, alias Captain Crunch.
Hoy en día podemos ver a los hackers éticos como los herederos de aquellos niños a quienes les regalaban un juguete mecánico y lo primero que hacían, para desconsuelo de sus padres, era desarmarlo. Por este motivo, no sorprende saber que los hackers comienzan a formarse a los diez u once años de edad.
Después de esta breve introducción, podemos entender que el hacking ético es la utilización de las técnicas de hackeo para descubrir las debilidades de un sistema informático y proponer cómo corregirlas. En cambio, un hacker con malas intenciones las detectará para aprovecharse de éstas, robando datos o dañando el sistema.
El hacking ético y la seguridad proactiva en el mundo digital
La seguridad proactiva en el mundo digital es el conjunto de medidas y acciones que se anticipan a las posibles amenazas y vulnerabilidades que pueden afectar a los sistemas informáticos, los datos y la privacidad de los usuarios.
La seguridad proactiva implica una actitud de prevención, monitoreo y respuesta rápida ante cualquier incidente o ataque cibernético, con el fin de minimizar los riesgos y los daños.
Los profesionales encargados de evaluar la seguridad de los sistemas informáticos se denominan “pentesters”. Utilizan las llamadas técnicas de penetración o, para decirlo más llanamente, hacking ético. Es decir, simulan ataques maliciosos para identificar vulnerabilidades y proponer soluciones. El objetivo de un pentester es mejorar la protección de los activos informáticos frente a posibles amenazas.
Tipos de pruebas de intrusión
Las empresas pueden realizar básicamente dos tipos de pruebas de intrusión: hacking ético externo o interno. El primero se realiza desde la infraestructura pública de Internet. Procura detectar vulnerabilidades en los equipos y procesos que la utilizan, como enrutadores, servidores de correo, cortafuegos entre otros.
En tanto, el segundo se ejecuta en la red interna, desde el punto de vista de un usuario de la empresa: empleados, consultores o asociados que tengan acceso a la red corporativa. En realidad este es el más importante ya que es en estos sistemas donde se encuentran las mayores debilidades.
Además de probar las redes remotas y locales, el hacking ético realiza otras acciones como:
- Ingeniería social. Sirve para probar la confianza de los empleados.
- Seguridad física. Comprueba las vulnerabilidades del acceso a equipos físicos.
Estas pruebas tienen como objetivo determinar los niveles de riesgo, que pueden ser clasificados como:
- Alto. El atacante puede llegar a tomar el control total del sistema y comprometer la seguridad de la información de la organización. Requiere acciones correctivas inmediatas.
- Medio. Existen vulnerabilidades severas de mayor complejidad para ser explotadas. Se requieren acciones correctivas a corto plazo.
- Bajo. Existencia de vulnerabilidades moderadas que pueden brindar información al atacante y utilizarse en acciones posteriores. Estas debilidades deben ser mitigadas pero sin un nivel de urgencia elevado.
Medidas de seguridad proactiva
Luego de un hacking ético, la empresa obtiene un informe con sugerencias para prevenir o minimizar el riesgo de los recursos informáticos.
Algunas de estas medidas pueden ser:
- Crear una política de seguridad de claves que contemple distintos criterios de complejidad. Por ejemplo, longitud de la clave, sensibilidad a mayúsculas y minúsculas, uso de caracteres especiales, fecha de expiración.
- Habilitar servicios de auditoría a nivel del sistema operativo de equipos finales y revisar los registros diariamente.
- Configurar políticas de bloqueo de claves si se detectan intentos de ingreso fallidos repetidos.
- Determinar una política de accesos a la cuenta de administrador.
- Aplicar medidas de seguridad de puertos y control de accesos para que solamente los equipos autorizados puedan conectarse a la red.
- Implementar protocolos de autenticación seguros para equipos inalámbricos.
Estas son solo algunas. En realidad hay muchas más, y dependen de lo que surja del hacking ético realizado.
Certificaciones de hacking ético
¡Convengamos en que ninguna institución otorga el título de hacker ético! En realidad, para ser un buen hacker ético a veces ni siquiera es necesario saber informática. En cambio, se necesita una cabeza que pueda pensar como los hackers de “sombrero negro” pero que tenga los valores éticos necesarios como para saber hasta dónde llegar con sus técnicas de intrusión.
Por este motivo existen diferentes certificaciones internacionales sobre seguridad informática y, en especial, sobre hacking ético.
Te puede interesar: La importancia de las contraseñas seguras y cómo crearlas
Certificaciones E-Council
Es una de las más valiosas. La otorga la prestigiosa E-Council, la primera en el mundo en certificar hackers éticos. Es una organización de educación en seguridad informática que trabaja con las principales compañías del mundo. Algunas de sus certificaciones son:
- CEH. Hacker ético certificado. Es un programa que ayuda a adquirir habilidades para descubrir vulnerabilidades y proteger sistemas, redes, aplicaciones, bases de datos y datos críticos. Entrena en los fundamentos de la piratería ética, huella y reconocimiento, escaneo, enumeración y otros conceptos.
- CPENT. Profesional certificado en pruebas de penetración. Desarrolla habilidades y entrena para realizar pruebas de penetración efectiva en un entorno de red empresarial.
- DHFI. Investigador forense de hacking informático. Es un programa que ofrece un enfoque metodológico para el análisis forense digital. Proporciona herramientas y técnicas para realizar investigaciones digitales con tecnologías innovadoras.
ISECOM
ISECOM es el Institute for Security and Open Methodologies. Esta institución es la creadora del Manual de Metodología de Pruebas de Seguridad de Código Abierto. Es una comunidad abierta que proporciona recursos, herramientas y certificaciones en el campo de la ciberseguridad.
- OPSA. Es una certificación de analista de seguridad profesional, basada en habilidades.
- OPST. Certificación técnica para acreditar probadores de seguridad profesionales.
- OPSE, Experto en seguridad profesional. Se trata de una certificación introductoria basada en el conocimiento, para acreditar profesionales de la seguridad.
Leé también: Resguardo de datos y sistemas tecnológicos
Hasta acá llegamos con la nota “Hacking ético: La importancia de la seguridad proactiva en el mundo digital”. Esperamos que te haya sido útil. Recordá que en USS Seguridad Integral somos especialistas en seguridad informática. Contactanos para más información.
¿Qué te pareció este contenido? ¡Dejanos tu opinión!
