¿Qué es el Hacking Ético y para qué sirve?

La seguridad TI es una de las mayores preocupaciones de las empresas hoy en día.  Además de contar con una completa plataforma de seguridad, capaz de proteger la infraestructura empresarial, el hacking ético se ha convertido en un servicio fundamental para detectar dónde está el peligro o la vulnerabilidad.

hackersEl hacking ético analiza los sistemas y programas informáticos corporativos, asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el estado real de si seguridad TI. Para llevar a cabo este hacking ético es imprescindible contar con la autorización expresa de la empresa, plasmada en un contrato donde se indiquen las obligaciones que debe cumplir el auditor (confidencialidad, integridad, secreto profesional, límites de la auditoría, etc.). El resultado final indica los puntos débiles de la empresa y que pasos se deben realizar para eliminar dichas debilidades o mitigarlas caso de no ser posible su eliminación.

Vector ofrece a sus clientes el servicio de hacking ético dentro de su área de seguridad de la división Software Products and Outsourcing, dirigida por Francisco Jose Mateos Ballester y Christopher McMahon. La principal ventaja del hacking ético es que  aporta a las empresas las claves para protegerse de los ciberataques y conseguir tres objetivos fundamentales:

  • Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque.
  • Concienciar a los profesionales de las compañías de la importancia de la seguridad informática en su trabajo diario.
  • Mejora sus procesos de seguridad (actualización de software, plan de respuesta a incidentes, etc.). 

Tal y como explica Vector, el hacking ético se divide en varias fases:

Acuerdo de Auditoría: consiste en elaborar un documento, consensuado con el cliente, que refleje el alcance de la auditoría, qué pruebas se van a realizar, qué obligaciones tiene el auditor, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen, etc.

Recopilación de Información: En esta fase el auditor tratará de recabar toda la información posible sobre su objetivo (empresa o aplicación). Para ello emplea las más diversas herramientas, desde simples búsquedas en Google, Bing, etc. hasta el empleo de herramientas como NMap y similares en búsqueda de puntos de entrada a la aplicación y/o empresa. Se busca información de todo tipo entre las que podemos mencionar:

  • Información sobre empleados: direcciones de emails, nombres de usuarios, información personal (estilo de vida, gustos sobre ocio, foros donde estén inscritos, etc.) para tratar de adivinar su contraseña en base a dicha información, cargo que ostentan en la organización, etc.
  • Información corporativa: a que se dedica la empresa, direcciones url de la empresa (internet e intranet), DNS que utiliza, que empresa les da hosting, directorios y archivos expuestos, servicios abiertos en los servidores de la empresa (http, https, ftp, ssh, etc.), versiones que ofrece de dichos servicios, sistemas operativos que emplea la empresa,   documentación filtrada en internet buscando en sus metadatos, búsqueda de información relevante en comentarios en código de la página, etc. 

 Modelado de Amenazas: Con la información proporcionada, se define la importancia de los activos de la empresa y se crean árboles de ataque con posibles amenazas que puedan afectar a los activos objetivo de la auditoría.

Análisis de Vulnerabilidades: De forma activa se buscan puertos y servicios existentes para localizar vulnerabilidades. Se usan recursos como bases de datos de vulnerabilidades de aplicaciones, exploits que exploten dichas vulnerabilidades. Se usan herramientas manuales y automáticas de escaneo de vulnerabilidades para descubrirlas.

Explotación: En esta fase, el auditor confirma que las vulnerabilidades detectadas en la fase anterior son riesgos reales a los que está expuesta la empresa.

buzoneo publicidad

Post-explotación: El auditor recopilará evidencias de que la fase de explotación ha tenido éxito, valorará el impacto real que pueda tener la explotación para la empresa y tratará de llegar lo más adentro de la organización que pueda vulnerando otros ordenadores internos, creando puertas traseras para posteriores accesos, etc.

Reporte: el auditor Finalmente, el auditor elaborará un informe detallado con todas las vulnerabilidades detectadas, como explotarlas y como corregirlas o mitigarlas.

Posteriormente, se elaborará un Plan de Mitigación de Vulnerabilidades en el siguiente ciclo de desarrollo y un seguimiento de las vulnerabilidades detectadas para confirmar la eliminación de las mismas.

El hacking ético puede enfocarse en el análisis de la red externa o interna de la empresa, o de las aplicaciones web. En Vector cuentan con un Servicio de hacking ético realizado por personal experto en la materia y certificado. 

Write a Comment

view all comments

Your e-mail address will not be published. Also other data will not be shared with third person. Required fields marked as *