Antecedentes
Hoy el término hacker está de moda y hay un notorio crecimiento de la demanda de servicios relacionados con seguridad informática a nivel empresarial; sin embargo, son muchos los Gerentes y Jefes de Sistemas, Informática, Tecnología o afines, que desconocen la metodología que debe seguir un servicio de hacking ético, los diferentes tipos de auditorías posibles y qué esperar como resultado de la ejecución de dicho servicio.
En este artículo trataremos de dar respuestas a estas interrogantes y guiaremos al lector para que pueda tomar una decisión informada al momento de elegir un proveedor de servicios de seguridad informática, o ¿por qué no? convertirse en un pentester o hacker ético.
¿Qué es hacking?
Para empezar, cabe decir que el hacking malicioso se refiere a la acción de aprovechar las debilidades de seguridad de una organización para ingresar a sus sistemas y tomar control o causar daño a los mismos, a través del robo de información, borrado de datos, uso como intermediario para ataques a terceros, fraude electrónico, etc.
Quien ejecuta estas acciones maliciosas normalmente es un cracker con mucha experiencia o bien un script-kiddie que hace uso de herramientas disponibles en Internet para lanzar un ataque contra una organización víctima.
¿Entonces qué es hacking ético?
Se denomina hacking ético a la práctica de identificar vulnerabilidades informáticas en la infraestructura informática de una empresa, contando con la autorización de esta y comprobando o explotando de forma segura estas vulnerabilidades, de acuerdo con sus niveles de riesgo, con el objetivo de mejorar la postura de seguridad de dicha organización.
Cuando la práctica de hacking ético es realizada por una empresa o consultor externo a la organización cliente, esta se traduce en un servicio denominado Pentesting o Pruebas de Intrusión. El entregable de un Pentesting es un informe de auditoría que contendrá hallazgos y recomendaciones de remediación que le servirán a la organización para estar siempre un paso adelante de los hackers maliciosos.
Es siempre recomendable, previo a efectuar un Pentesting, firmar un contrato con la compañía consultora, que le asegure a la organización cliente que no se explotarán vulnerabilidades que pudieran causar daños a los sistemas de la organización y que toda información encontrada durante el análisis se guardará bajo reserva, protegida con un convenio de confidencialidad firmado por ambas partes.
Tipos de hacking ético
Debido a la forma de ejecución podemos clasificar al hacking ético en tres tipos:
- Hacking de caja negra (black-box hacking)
- Hacking de caja gris (gray-box hacking)
- Hacking de caja blanca (white-box hacking)
Y debido a desde dónde se efectúa el hacking podemos dividirlo en:
- Hacking externo o perimetral
- Hacking interno
El hacking de caja negra es ejecutado por el consultor de seguridad con desconocimiento absoluto sobre los sistemas de la organización a ser evaluada y normalmente es externo, es decir se efectúa desde Internet sobre la red pública del cliente.
El hacking de caja gris se realiza con conocimiento parcial de la red del cliente. Si este es interno, se ejecuta emulando el ataque de un empleado no-autorizado o de un contratista que tiene acceso físico a la red interna del cliente. Y si es externo, usualmente el cliente le informa al auditor las direcciones IP de los hosts y las URLs de las webapps que se van a auditar, pero no se otorgan credenciales de acceso de ningún tipo.
Finalmente, en el hacking de caja blanca la organización cliente maneja diversos escenarios que pueden involucrar el entregar ciertas credenciales de servicios o aplicaciones a los auditores asignados al Pentesting.
Fases del hacking
Los hackers usualmente siguen las siguientes fases en orden: 1)Reconocimiento 2) Escaneo 3)Obtener Acceso 4)Mantener Acceso 5)Borrar Huellas.
A estas fases en conjunto se les denomina el “círculo del hacking”. En el caso especial de los hackers éticos (o también llamados hackers de sombrero blanco), el trabajo es igual hasta el paso 3 y luego de eso se procede a elaborar un informe técnico que incluye los hallazgos y recomendaciones de remediación y una presentación de dicho informe a modo de resumen ejecutivo a los involucrados.
El reconocimiento comprende las acciones necesarias para obtener la mayor cantidad de información posible sobre la víctima, o de la empresa sujeto de investigación y para ello se utilizan técnicas que van desde usar máquinas de búsqueda como Google, mirar en la guía telefónica y llamar por teléfono, desplazarse físicamente hasta las oficinas de la empresa, usar herramientas de software para descubrir el rango de direcciones IPs asignado a la organización, efectuar un barrido de pings para identificar los hosts activos, etc.
Durante el escaneo el hacker, que previamente ha identificado los sistemas activos del cliente, utiliza herramientas de software para identificar los puertos/aplicaciones presentes en dichos equipos, trata de identificar las versiones de sistemas operativos y de los aplicativos para luego buscar posibles vulnerabilidades presentes en estos.
Finalmente, cuando se han identificado vulnerabilidades que puedan ser explotadas para ganar acceso a los sistemas de la víctima, el hacker ejecuta una serie de pasos manuales o con ayuda de herramientas automatizadas y penetra en los equipos vulnerables.
Vale indicar que existe un tipo especial de ataque que no requiere penetrar en un sistema para tener éxito, basta con que el equipo tenga un servicio activo accesible para poder ejecutarlo; nos estamos refiriendo a los ataques de denegación de servicio simples (DoS) y distribuidos (DDoS), los cuales pueden agotar los recursos de un equipo ya sea explotando una vulnerabilidad, o enviándole múltiples peticiones al unísono haciendo uso de botnets en Internet, respectivamente; pero esto es materia para otro artículo.
Posteriormente, cuando un hacker malicioso o cracker ha logrado vencer las defensas y tiene acceso a un equipo víctima, se preocupará de no perderlo para poder ingresar nuevamente sin tantas complicaciones en lo posterior. Para ello instalará rootkits, puertas traseras o backdoors, creará cuentas de usuarios adicionales, etc., con el fin de mantener el acceso.
Y por supuesto el siguiente paso lógico del cracker será borrar sus huellas, para que el administrador de la red no sospeche que sus equipos han sido comprometidos si el objetivo es volver, o desaparecer la evidencia para no ser acusado de fraude informático. En esta fase el cracker borrará los comandos que ejecutó de archivos históricos, limpiará los registros de eventos (logs) y podría llegar incluso a formatear un disco duro para no ser rastreado, con el consecuente daño para la organización víctima.
¿Qué ventaja representa contratar un Pentesting?
El autor clásico chino Sun-Tzu, en su afamado libro “El Arte de la Guerra” dijo: “conócete a ti mismo y conoce a tu enemigo, en cien batallas nunca serás derrotado”.
Bien podemos aplicar este consejo al área de seguridad informática; el objetivo detrás de la ejecución de las Pruebas de Intrusión es determinar antes que nuestros enemigos, los puntos vulnerables en nuestra infraestructura de red para poder remediarlos y estar siempre un paso adelante.
¿Cuál es el entregable del servicio de Pentesting?
El resultado del servicio de Pentesting es un documento o informe que deberá contener como mínimo lo siguiente:
- Antecedentes
- Resumen Ejecutivo
- Resumen de hallazgos
- Conclusiones y Recomendaciones
- Anexos Técnicos
El Resumen Ejecutivo es quizá la sección más importante del informe, porque está dirigido a la Gerencia y como tal debe utilizar terminología sencilla y comprensible para todo el mundo, que identifique por nivel de importancia las vulnerabilidades informáticas de la organización y las recomendaciones macro de gestión para resolverlas en el corto plazo.
Recomendaciones finales
Tanto si decide ejecutar el servicio casa adentro, como si decide contratar una empresa especializada, es importante verificar las credenciales del consultor que ejecutará las Pruebas de Intrusión. No basta con que el profesional cuente con certificaciones o títulos que lo acrediten como experto en seguridad informática y hacking ético, es importante que demuestre experiencia previa en la realización de trabajos similares y que tenga un alto nivel de credibilidad y honorabilidad que nos garanticen que efectivamente el servicio que se realizará será “ético”.
Es importante también que se asesore con un consultor legal para que firme un contrato que incluya una cláusula de confidencialidad y de protección de información, que le permitan demandar al consultor o a la empresa consultora si su información llegase a ser dañada o divulgada producto del Pentesting.
Adicionalmente, desconfíe de quienes le quieran hacer creer que cualquiera está en la capacidad de ser hacker ético y que es cuestión de unos días y poca inversión ejecutar un Pentesting. Lo barato sale caro y más cuando está en juego el activo más importante de su organización: su información.
Planificar un Pentesting toma tiempo y esfuerzo y ejecutarlo sin causar daños a la información requiere de conocimiento y experiencia. La duración de un Pentesting puede variar dependiendo del tipo de hacking, de las sedes y cantidad de sistemas evaluados.
Un tip para reconocer un profesional de un amateur es la forma en que presenta su propuesta, un profesional tiende a organizar bien su oferta, a brindar muchos detalles sobre las tareas que se ejecutarán y a delinear los tiempos adecuadamente; mientras que un amateur tiende a ser muy general y escueto en cuanto al trabajo que efectuará.
Finalmente use su buen juicio y sentido común, si desconfía de alguien no lo contrate, así de simple.
Y si desea contratar profesionales expertos, certificados en hacking ético, con un alto sentido de la ética y con el respaldo de una empresa sólida con muchos años de experiencia en Ciberseguridad, lo invito a visitar Consulting Systems o escribirnos un correo a info@consulting-systems.tech.
Karina Astudillo B.
CEO – Consulting Systems.
Hacker, Computer Forensics Auditor, Author, IT Trainer, Entrepreneur.
CEH, Computer Forensics US, CyberOps Associate, HCSP, HCSA.
Hola. Me gustaría poder introducirme en la capacitación de hacker etico. Y ver la posibilidad de comenzar desde lo más básico. He leído algunas cosas pero sería comenzar desde cero. Espero sus recomendaciones y si hay esas cursadas disponibles.
Saludos Juan