El papel del ethical hacking para combatir la cibercriminalidad

por | May 28, 2021 | Uncategorized

Ethical hacking, White-hat-hacking, hacking ético o prueba de penetración es una práctica realizada por expertos en seguridad de la información, que consiste en invadir con consentimiento los sistemas informáticos para solucionar fallos de seguridad y errores de programación (bugs), con el objetivo de combatir y prevenir la cibercriminalidad en empresas, organizaciones, gobiernos e instituciones.

¿En qué consisten las pruebas de seguridad ethical hacking?

Una prueba de penetración puede realizarse a nivel de red y aplicaciones. Generalmente, se realiza una diferenciación entre las pruebas de penetración en “infraestructuras de TIC”, donde se examinan y analizan sistemas de servidores, redes Wi-Fi, acceso VPN y cortafuegos, y las “aplicaciones web”, donde se exploran los servicios de red, sitios web, portales de administración de clientes o sistemas de vigilancia de servidores y servicios. Así mismo, entre las pruebas de rutina se encuentran la detección de puertos abiertos mediante escaneos, verificación de la seguridad de datos de pago (datos de tarjetas de crédito), inicios de sesión y contraseñas, y simulación de ataques a través de la red. Además, evidencia si los virus o troyanos infiltrados pueden capturar datos empresariales sensibles como: secretos de empresa, patentes técnicas, entre otros.

Clasificación del pirata informático:

Dependiendo de la intención del pirata informático se clasifica en white-hat (sombrero blanco), black-hat (sombrero negro) y gray-hat (sombrero gris).

Hackers éticos o hackers de sombrero blanco, no buscan hacer daño. Su objetivo es evidenciar las vulnerabilidades con autorización, para proporcionar soluciones y garantizar la seguridad.

Hackers no éticos o hackers de sombrero negro, su objetivo es destructivo, no tienen permiso para ingresar y realizan la piratería para obtener beneficios económicos. Consiste en la infiltración, incluso en la destrucción de los sistemas de seguridad. En su mayoría va acompañado de acciones criminales como extorsión, espionaje industrial o parálisis sistemática de la infraestructura del sistema.

Hackers de sombrero gris, son la combinación de hacker de sombrero blanco y negro. No tienen una intención maliciosa, pero no cuentan con autorización para ingresar al sistema. Por lo general navegan por la red y piratean para notificar al administrador o al propietario que su sistema /red contiene vulnerabilidad.

Características del hacking ético:

  • Se protege legalmente a través de un acuerdo escrito antes de comenzar con cualquier prueba de penetración, teniendo en cuenta el alcance, requisitos legales, expectativas y las partes involucradas.
  • No infringe la ley y sigue un código de ética que direcciona todo lo que hace. Garantizando la máxima transparencia e integridad a la hora de proteger secretos de empresa y comerciales, además, los datos confidenciales de los clientes.
  • Proporciona una documentación detallada y completa del procedimiento, resultados, recomendaciones y cualquier información relevante que halle. Revelando todas las vulnerabilidades que encuentra en el sistema de seguridad de la empresa, para que puedan solucionarse antes de que sean explotadas por actores malintencionados.
  • Protege las infraestructuras digitales y los datos confidenciales de los ataques externos.
  • No deja puntos débiles en el sistema, que puedan ser aprovechados por los ciberdelincuentes en otro momento.
  • Muestra posibles soluciones para mejorar la seguridad informática.

Fases del hackeo ético

El hackeo ético está conformado por cinco fases que permiten detectar e identificar vulnerabilidades, encontrar posibles puertas abiertas para ciberataques y mitigar las brechas de seguridad para proteger las organizaciones.

1.  Reconocimiento

Es la fase donde se recopila la información, permitiendo identificar qué ataques se pueden lanzar y la vulnerabilidad de la organización a estos.

2.  Escaneo

Los atacantes intentan encontrar diferentes formas de obtener información (cuentas de usuario, credenciales, direcciones IP, entre otras). En la metodología de la piratería ética se reconocen tres clases de escaneo: escaneo de vulnerabilidades, escaneo de puertos y escaneo de red.

3.  Obtener acceso

Esta fase de piratería busca ingresar al sistema y explotarlo, descargando software o aplicaciones maliciosas, robando información confidencial, obteniendo acceso no autorizado, entre otros. En esta fase los hackers éticos pueden asegurar posibles puntos de entrada, además, garantizar que todos los sistemas y aplicaciones estén protegidos con contraseña y asegurar la infraestructura de red.

4.  Mantener el acceso

Los piratas informáticos éticos pueden utilizar esta fase escaneando toda la infraestructura de la organización, para detectar actividades maliciosas y encontrar su causa raíz para evitar que los sistemas sean explotados.

5.  Borrado de pista

Esta fase requiere que los piratas informáticos limpien su pista. Garantizando que los atacantes no dejen huella o pruebas que puedan rastrearse.

Como se puede evidenciar el peligro y el desafío que enfrentan las organizaciones hoy en ciberseguridad es enorme, por ello es muy importante la actualización permanente de las estrategias de prevención de ataques, instalando tecnologías que defiendan el sistema antes de ser víctimas del pirata informático, y contando con un hacker ético que realice su trabajo de manera competente y cuidadosa, por ello se aconseja además, examinar a fondo los candidatos y seleccionarlos cuidadosamente sobre la base de una experiencia comprobada que garantice un trabajo profesional y transparente.

Fuentes:

https://www.ionos.es/digitalguide/servidores/seguridad/que-es-el-ethical-hacking/

EC-Council. (s.f.). EC-Council. Obtenido de EC-Council: https://www.eccouncil.org/ethical-hacking/

Grimes, R. A. (27 de 02 de 2019). CSO . Obtenido de CSO: https://www.csoonline.com/article/3238128/what-is-ethical-hacking-and-how-to-become-an-ethical-hacker.html

Wright, B. (28 de 03 de 2018). CSO. Obtenido de CSO: https://www.csoonline.com/article/3266671/testing-the-waters-the-value-of-ethical-hacking-for-business.html

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

SERVICIOS QUE ASEGURAN TU INFORMACIÓN

Seguridad Ofensiva

SEGURIDAD OFENSIVA

Descubra el grado de exposición de su organización, vulnerabilidades y riesgos potenciales.

Seguridad Ofensiva

SEGURIDAD DEFENSIVA

Garantice la seguridad, confidencialidad, privacidad e integridad de los sistemas de información de su organización.

Continuidad del Negocio

CONTINUIDAD DEL NEGOCIO

Le ayudamos a restablecer la operación de su negocio después de un daño o desastre que comprometa los sistemas de información de su organización.

Networking e Infraestructura

CONSULTORÍA FORMAL

Identifique el estado actual de ciberseguridad de su organización usando como marco de referencia normas internacionales.

CONTÁCTENOS PARA ASEGURAR LA INTEGRIDAD Y CONFIDENCIALIDAD DE SU INFORMACIÓN Y LA CONTINUIDAD DE SU EMPRESA.

Si la información es sensible y le preocupa contactarnos a través del formulario, por favor use SendSafely.

¿ESTÁ BAJO ATAQUE?

¿Necesita soporte inmediato? Por favor póngase en contacto con nosotros para recibir nuestros servicios de respuesta a incidentes y servicios remediativos.

[email protected]