¿En qué consiste un Hacking Ético?

Antecedentes

Hoy el término hacker está de moda y hay un notorio crecimiento de la demanda de servicios relacionados con seguridad informática a nivel empresarial; sin embargo, son muchos los Gerentes y Jefes de Sistemas, Informática, Tecnología o afines, que desconocen la metodología que debe seguir un servicio de hacking ético, los diferentes tipos de auditorías posibles y qué esperar como resultado de la ejecución de dicho servicio.

En este artículo trataremos de dar respuestas a estas interrogantes y guiaremos al lector para que pueda tomar una decisión informada al momento de elegir un proveedor de servicios de seguridad informática, o ¿por qué no? convertirse en un pentester o hacker ético.

¿Qué es hacking?

Para empezar, cabe decir que el hacking malicioso se refiere a la acción de aprovechar las debilidades de seguridad de una organización para ingresar a sus sistemas y tomar control o causar daño a los mismos, a través del robo de información, borrado de datos, uso como intermediario para ataques a terceros, fraude electrónico, etc.

Quien ejecuta estas acciones maliciosas normalmente es un cracker con mucha experiencia o bien un script-kiddie que hace uso de herramientas disponibles en Internet para lanzar un ataque contra una organización víctima.

¿Entonces qué es un hacking ético?

Como su nombre lo indica, la diferencia estriba en que el hacking ético es realizado por una empresa o consultor especializado en seguridad informática, con autorización de la organización a ser evaluada y con la condición de que las debilidades de seguridad o vulnerabilidades encontradas serán reportadas al cliente, junto con recomendaciones para solucionarlas.

Adicionalmente, durante un hacking ético la compañía ejecutora firma un contrato con el cliente, que asegura que no se explotarán vulnerabilidades que pudieran causar daños a los sistemas de la organización y que toda información encontrada durante el análisis se guardará bajo reserva, protegida con un convenio de confidencialidad firmado por ambas partes.

Tipos de hacking ético

Debido a la forma de ejecución podemos clasificar al hacking ético en tres tipos:

  • Hacking de caja negra (black-box hacking)
  • Hacking de caja gris (gray-box hacking)
  • Hacking de caja blanca (white-box hacking)

Y debido a desde dónde se efectúa el hacking podemos dividirlo en:

  • Hacking externo o perimetral
  • Hacking interno

El hacking de caja negra es ejecutado por el consultor de seguridad con desconocimiento absoluto sobre los sistemas de la organización a ser evaluada y normalmente es externo, es decir se efectúa desde Internet sobre la red pública del cliente.

El hacking de caja gris se realiza con conocimiento parcial de la red del cliente, emulando el ataque de un empleado no-autorizado o de un contratista externo que se conecta desde Internet, o bien, tiene acceso físico a la red interna del cliente.

Finalmente, en el hacking de caja blanca la organización cliente debe proporcionar al consultor las direcciones IP’s y roles de los equipos principales a evaluar. Usualmente se ejecuta desde la red interna del cliente, para lo cual se debe brindar acceso al consultor de seguridad a una subred interna de la organización.

Fases del hacking

Los hackers usualmente siguen las siguientes fases en orden:

A estas fases en conjunto se les denomina el “círculo del hacking”. En el caso especial de los hackers éticos (o también llamados hackers de sombrero blanco), el trabajo es igual hasta el paso 3 y luego de eso se procede a elaborar un informe técnico que incluye los hallazgos y recomendaciones de remediación.

El reconocimiento comprende las acciones necesarias para obtener la mayor cantidad información posible sobre la víctima, o de la empresa sujeto de investigación y para ello se utilizan técnicas que van desde usar máquinas de búsqueda como Google, mirar en la guía telefónica y llamar por teléfono, desplazarse físicamente hasta las oficinas de la empresa, usar herramientas de software para descubrir el rango de direcciones IP s asignado a la organización, efectuar un barrido de pings para identificar los hosts activos, etc.

Durante el escaneo el hacker que previamente ha identificado los sistemas activos del cliente utiliza herramientas de software para identificar los puertos/aplicaciones presentes en dichos equipos, trata de identificar las versiones de sistemas operativos y de los aplicativos para luego buscar posibles vulnerabilidades presentes en los mismos.

Finalmente, cuando se han identificado vulnerabilidades que puedan ser explotadas para ganar acceso a los sistemas de la víctima, el hacker ejecuta una serie de pasos manuales o con ayuda de herramientas automatizadas y penetra en los equipos vulnerables.

Vale indicar que existe un tipo especial de ataque que no requiere penetrar en un sistema para tener éxito, basta con que el equipo tenga un servicio activo accesible para poder ejecutarlo; nos estamos refiriendo a los ataques de denegación de servicio distribuidos (DDoS), los cuales pueden agotar los recursos de un equipo enviándole múltiples peticiones al unísono desde miles de botnets en Internet; pero esto es materia para otro artículo.

Posteriormente, cuando el cracker ha logrado vencer las defensas y tiene acceso a un equipo víctima, se preocupará de no perderlo para poder ingresar nuevamente sin tantas complicaciones en lo posterior. Para ello instalará rootkits, puertas traseras o backdoors, creará cuentas de usuarios adicionales, etc., con el fin de mantener el acceso.

Y por supuesto el siguiente paso lógico del cracker será borrar sus huellas, para que el administrador de la red no sospeche que sus equipos han sido comprometidos si el objetivo es volver, o desaparecer la evidencia para no ser acusado de fraude informático. En esta fase el cracker borrará los comandos que ejecutó de archivos históricos, limpiará los registros de eventos (logs) y podría llegar incluso a formatear un disco duro para no ser rastreado, con el consecuente daño para la organización víctima.

¿Qué ventaja representa realizar un hacking ético?

El autor clásico chino Sun-Tzu, en su afamado libro “El Arte de la Guerra” dijo: “conócete a ti mismo y conoce a tu enemigo, en cien batallas nunca serás derrotado”.

Bien podemos aplicar este consejo al área de seguridad informática; el objetivo detrás de la ejecución de un hacking ético es determinar antes que nuestros enemigos, los puntos vulnerables en nuestra infraestructura de red para poder remediarlos y estar siempre un paso adelante.

¿Cuál es el entregable del servicio de hacking ético?

El resultado del servicio de hacking ético es un documento o informe que deberá contener como mínimo lo siguiente:

  • Antecedentes
  • Resumen Ejecutivo
  • Bitácora de actividades
  • Resumen de hallazgos
  • Conclusiones y Recomendaciones
  • Anexos

El Resumen Ejecutivo es quizá la sección más importante del informe, porque está dirigido a la Gerencia y como tal debe utilizar terminología no-técnica, sencilla y comprensible para todo el mundo, que identifique por nivel de importancia las vulnerabilidades informáticas de la organización y las recomendaciones macro de gestión para resolverlas en el corto plazo.

Recomendaciones finales

Tanto si decide ejecutar el servicio casa adentro, como si decide contratar una empresa especializada, es importante verificar las credenciales del consultor que ejecutará el hacking ético. No basta con que el profesional cuente con certificaciones o títulos que lo acrediten como experto en seguridad informática y hacking ético, es importante que demuestre experiencia previa en la realización de trabajos similares y que tenga un alto nivel de credibilidad y honorabilidad que nos garanticen que efectivamente el servicio que se realizará será “ético”.

Es importante también que se asesore con un consultor legal para que firme un contrato que incluya una cláusula de confidencialidad y de protección de información, que le permitan demandar al consultor o a la empresa consultora si su información llegase a ser dañada o divulgada producto del hacking ético.

Adicionalmente, desconfíe de quienes le quieran hacer creer que cualquiera está en la capacidad de realizar un hacking ético y que es cuestión de unos días y poca inversión. Lo barato sale caro y más cuando está en juego el activo más importante de su organización: su información.

Planificar un hacking ético toma tiempo y esfuerzo y ejecutarlo sin causar daños a la información requiere de conocimiento y experiencia. La extensión de un hacking ético puede variar dependiendo del tipo de hacking, de las sedes y cantidad de sistemas evaluados.

Un tip para reconocer un profesional de un amateur es la forma en que presenta su propuesta, un profesional tiende a organizar bien su oferta, a brindar muchos detalles sobre las tareas que se ejecutarán y a delinear los tiempos adecuadamente; mientras que un amateur tiende a ser muy general y escueto en cuanto al trabajo que efectuará.

Finalmente use su buen juicio y sentido común, si desconfía de alguien no lo contrate, así de simple.

Sobre el autor

Karina Astudillo B.
CEO - Consulting Systems.
Hacker, Computer Forensics Auditor, Author, IT Trainer, Entrepreneur.
CEH, Computer Forensics US, CyberOps Associate, HCSP, HCSA.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.