Conociendo el hacking ético
Un hacker ético es un profesional en el área de seguridad de la información, el cual utiliza todas sus habilidades y conocimientos en identificar y administrar eficientemente las brechas de seguridad en una compañía. La seguridad de la información se basa principalmente en tres (3) principios básicos:
- Confidencialidad: se refiere a mantener la información privada para aquellos que tengan autentificación correcta para poder acceder a ella
- Integridad: se refiere al poder garantizar que la data permanezca íntegra, a menos que sea proveniente de una fuente segura
- Disponibilidad: se refiere a que simplemente el sistema se encuentre la mayor cantidad de tiempo disponible para el ingreso de cualquier usuario autentificado.
Antiguamente los hackers requerían de un gran conocimiento técnico para poder vulnerar un sistema, aplicando técnicas como ingeniería social, para obtener fechas de nacimiento, cedulas y adivinar contraseñas. Hoy en día existe desde hijacking sessions, automated probes, stealth techiniques y las más avanzada staged attacks. Estas nuevas herramientas permiten a los hackers que poseen menos conocimientos técnicos hacer incluso más daño a los sistemas.
Basándose en los principios de seguridad, lo que busca un hacker ético cuando va a brindar servicio es: identificar los bienes de la empresa, cuál es su capital monetario, capital intelectual, información confidencial, todo lo que pueda resultar atractivo para un individuo con fines maliciosos y que afectaría directamente a la empresa. Seguido de eso identifica posibles amenazas que podrían afectar principalmente a los bienes de la empresa. Y por último identificar las vulnerabilidades, las cuales tienen que ver con la estructura de la organización, los softwares, la infraestructura de hardware, las topologías de red, políticas de seguridad que rigen en la empresa, entre otros.
En tal sentido, mientras se tienen más avances tecnológicos, más vulnerable están los sistemas, debido a que día a día surgen nuevas herramientas que facilitan a los hackers maliciosos alterar los sistemas de información. Las compañías tienen el reto de reducir estas brechas y brindar mayor seguridad a manera de respaldarse de las amenazas actuales y las futuras. Asimismo, el hacker ético tiene el reto de brindar la confianza a empresas de que todos los riesgos asociados a tecnología de información y/o comunicaciones se identifiquen, se comprendan y se administren de manera oportuna asegurando la productividad.
Es importante que en su presupuesto y/o plan anual, reserve los recursos necesarios para la realización de proyectos especializados en temas de seguridad, incluyendo estudios de penetración (interna y perimetral), Ethical Hacking, análisis y explosión de vulnerabilidades, en función que la empresa disponga de una imagen global y ampliada sobre su gestión tecnológica:
- Obtener un mejor entendimiento de la situación actual lo que contribuye a tomar decisiones más acertadas sobre cómo mejorar su proceso de gestión de la seguridad.
- Evaluar el rendimiento de su gestión de seguridad contra los estándares globales para proporcionar mayores niveles de confianza.
- Identificar las áreas en su programa de gestión de seguridad que debe mejorar, y desarrollar una hoja de ruta de prioridades de los próximos pasos a seguir.
Tips y recomendaciones
- Un hacker ético tiene que calcular los riesgos de los dispositivos o componentes bajo alcance, a modo de protegerlos adecuadamente: evaluando los bienes, las amenazas y las vulnerabilidades.
- Al mismo tiempo debe cuidar su espalda, limitando con la compañía la responsabilidad de tratar con la data sensible, en caso de que ocurran inconvenientes durante las pruebas (por ejemplo, hacker reales)
- Es responsabilidad del hacker ético el estar actualizado con las últimas tendencias y técnicas de pruebas de penetración, a fin de garantizar la oportuna identificación de vulnerabilidades, utilizando los últimos ataques empleados en el mercado.
Vía Alta Densidad