burlaban el sistema de seguridad muchas veces entrando en la ilegalidad y algunos considerando estas prácticas como "malas". A estas personas se las continuó llamando hackers, por lo que alrededor de 1985 los hackers "originales" empezaron a llamarlos crackers en contraposición al término hacker, en defensa de estos últimos por el uso incorrecto del término.
El hacking ético es en sí una auditoría efectuada por profesionales de seguridad de la información, quienes reciben el nombre de “pentester”. A la actividad que realizan se le conoce como “hacking ético” o “pruebas de penetración”.
Las pruebas de penetración surgieron como respuesta a la presencia y realización de los primeros ataques informáticos a las organizaciones, los cuales trajeron graves consecuencias, como pérdidas monetarias y de reputación. Es aquí donde interviene el trabajo de un “hacker ético”, ya que su labor es buscar vulnerabilidades en los sistemas de la organización para, posteriormente, poder mitigarlos y evitar fugas de información sensible.
Durante los últimos años, nuevas técnicas de intrusión que atentan contra la seguridad de la información se han sofisticado, por lo que organizaciones y empresas han implementado al hacking ético, aunque combatir la idea de que esta actividad es dañina, no ha sido tarea fácil.
El hacking ético, también es conocido como prueba de intrusión o pentest, se define esencialmente como el ``arte´´ de comprobar la existencia de vulnerabilidades de seguridad en una organización, para posteriormente a través de un informe, revelar aquellos fallos de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas de información y ataques informáticos.
Pese a su mala fama, no todos los hackers son delincuentes cibernéticos, algunos ayudan a las organizaciones a reforzar su seguridad. Por ello, para tratar de diferenciar a un grupo de otro, se introdujeron los términos crackers y hackers éticos. Los primeros identifican a aquéllos que realizan técnicas de intrusión con fines maliciosos y lucrativos; mientras que los segundos se refieren a quienes lo hacen con fines éticos y por el bien de la organización que lo solicite.
Otra conceptualización que reciben es la de “sombrero negro o Black Hat” y “sombrero blanco o White Hat”.
Los hacker de sombrero negro, mejor conocidos como “Black Hat”, tienen la cualidad de explotar vulnerabilidades en los sistemas con la finalidad de demostrarse que lo pudieron hacer burlando la seguridad del mismo. Ejemplo de ello lo tenemos en el caso acontecido en febrero del 2008, cuando la página web oficial de la Presidencia de la República fue afectada por un atacante que se hacía llamar “H4t3 M3”; logró dejar como recordatorio una imagen de lo más elocuente gracias a que esa página web tenía una vulnerabilidad.
La información fue revelada en el foro de la Comunidad Underground Latinoamericana, en dónde el joven hacker advirtió que podía modificar desde la agenda presidencial hasta las noticias, pero que no lo haría.
Por su parte, los hackers de sombrero blanco o “White Hat”, también conocidos como hackers éticos, pentesters y expertos en seguridad; tienen la finalidad de realizar pruebas de intrusión en organizaciones que así lo pidan, para posteriormente rendirles un informe, en el que se detallan todos aquellos puntos vulnerables encontrados para que, posteriormente, la empresa los mitigue a la brevedad posible.
A continuación, se describe dicha clasificación en la siguiente ilustración:
Fig. 1 Clasificación de sujetos que realizan pruebas de intrusión
¿Qué evalúa un hacker ético?
Los servicios que con mayor frecuencia ofrecen los hackers blancos (hackers éticos) a las empresas son las pruebas de penetración, con la intención de analizar si la compañía está preparada para soportar un ataque sofisticado perpetrado desde fuera, es decir por un hacker externo o por un atacante interno con conexión a la red.
Durante las pruebas de penetración, según enumera Victor Chapela, se analizan tanto la red interna, como Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso, además se hacen pruebas de contraseñas. Al mismo tiempo, se analiza la red inalámbrica, de ésta se revisa la configuración, se hace sniffing de tráfico y contraseñas, intentando penetrar y romper el cifrado.
Parte de la auditoría incluye también revisar módems, VPN, página web, incluso se hace ingeniería social, es decir se trabaja con el personal o con los asociados de la empresa para ver si se dejarían engañar para proporcionar contraseñas o acceso a la red.
De igual forma, se mide el nivel de respuesta a incidentes internos, también se busca emular si un empleado de bajos privilegios podría tener acceso a los estados financieros o a la nómina de la compañía. Se consideran además los valores de los activos, la criticidad de la vulnerabilidad y la probabilidad del ataque, su impacto, la forma de corregirlo y el esfuerzo requerido para esto.
Para evitar cualquier contratiempo o daño a la infraestructura, o continuidad de negocio del cliente, las pruebas siguen una metodología y manejan estándares, como el Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, por sus siglas en inglés) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP).
Según el Mapa de Seguridad propuesto por el OSSTMM, las secciones a las cuales se aplican el hacking ético son las siguientes:
Fig. 2 Mapa de Seguridad
Fuente: Tomado del Manual de la Metodología Abierta de Testeo de Seguridad
OSSTMM 2.1 de ISECOM
A continuación, se describen brevemente dichas secciones.
a. Seguridad física
Alude a las pruebas de seguridad realizadas a un medio físico y no electrónico en la naturaleza. Comprende el elemento tangible de la seguridad donde la interacción requiere un esfuerzo físico o una transmisión de energía para que sea manipulado. A considerar:
- Revisión del perímetro
- Revisión de monitoreo
- Evaluación de controles de acceso
- Revisión de respuestas de alarmas
- Revisión de ubicación y
- Revisión de entorno.
b. Seguridad en las comunicaciones
Comprende dos fases: Telecomunicaciones y las redes de datos. La primera fase alude a todas las redes de telecomunicación, sean digitales o analógicas, la otra, se refiere a todos los sistemas electrónicos y redes de datos donde la interacción se realiza a través de cables establecidos y cables de líneas de red.
c. Seguridad inalámbrica
Refiere a todas las comunicaciones electrónicas, señales y emanaciones que se producen del conocido espectro EM – Electromagnetic. Esto incluye ELSEC como comunicaciones electrónicas, SIGSEC como señales, y EMSEC que son emanaciones sin ataduras por los cables. Los módulos de verificación requeridos en el hacking ético para dicho rubro son:
- Verificación de radiación electromagnética (EMR)
- Verificación de redes inalámbricas 802.11, Verificación de redes bluetooth
- Verificación de dispositivos de entrada inalámbricos
- Verificación de dispositivos móviles inalámbricos
- Verificación de comunicaciones sin cable
- Verificación de dispositivos de vigilancia inalámbricos
- Verificación de dispositivos de transacción inalámbricos
- Verificación de RFID y
- Verificación de sistemas Infrarrojos.
d. Seguridad en las tecnologías de Internet
Se refiere a las pruebas de intrusión efectuadas a las aplicaciones web, tales pruebas son esencialmente el "arte" de comprobar una aplicación en ejecución remota o local, sin saber el funcionamiento interno de la aplicación, para encontrar vulnerabilidades de seguridad. Los módulos de verificación requeridos en el hacking ético para dicho rubro son:
- Logística de Controles,
- Sondeo de Red,
- Identificación de los servicios de sistemas,
- Búsqueda de información competitiva,
- Revisión de privacidad,
- Obtención de Documentos,
- Búsqueda y verificación de vulnerabilidades,
- Testeo de aplicaciones de internet,
- Enrutamiento,
- Testeo de sistemas confiados,
- Testeo de control de acceso,
- Testeo de Sistema de Detección de Intruso IDS,
- Testeo de Medidas de Contingencia,
- Descifrado de contraseñas,
- Testeo de Negación de servicios y
- Evaluación de políticas de Seguridad.
e. Seguridad del resguardo de información
Aborda los medios empleados para el almacenamiento adecuado de la información, va ligado con los controles empleados para su seguridad.
f. Seguridad de los proceso
Representa un método para lograr acceso privilegiado a una organización y sus activos mediante la ayuda involuntaria del personal de la organización, en especial con la ayuda de aquellos que resguardan los puntos de accesos principales. Esto se hace por medios de comunicación tales como el teléfono, e-mail, chat, tablones de anuncios, etcétera, y se realiza de una manera fraudulenta con la finalidad de obtener una posición "privilegiada
En este rubro la aplicación del hacking ético se emplea por medio de la práctica de la ingeniería social, la cual es una técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.
En conclusión, el hacking ético es una técnica aplicada a distintos escenarios, por lo que es importante hacerlo del conocimiento de la gente en beneficio de las organizaciones; así la relación entre detección y explotación de vulnerabilidades existentes podrá controlarse de la mejor manera posible.
No hay comentarios:
Publicar un comentario