Ethical hacking, White-hat-hacking, hacking ético o prueba de penetración es una práctica realizada por expertos en seguridad de la información, que consiste en invadir con consentimiento los sistemas informáticos para solucionar fallos de seguridad y errores de programación (bugs), con el objetivo de combatir y prevenir la cibercriminalidad en empresas, organizaciones, gobiernos e instituciones.
¿En qué consisten las pruebas de seguridad ethical hacking?
Una prueba de penetración puede realizarse a nivel de red y aplicaciones. Generalmente, se realiza una diferenciación entre las pruebas de penetración en “infraestructuras de TIC”, donde se examinan y analizan sistemas de servidores, redes Wi-Fi, acceso VPN y cortafuegos, y las “aplicaciones web”, donde se exploran los servicios de red, sitios web, portales de administración de clientes o sistemas de vigilancia de servidores y servicios. Así mismo, entre las pruebas de rutina se encuentran la detección de puertos abiertos mediante escaneos, verificación de la seguridad de datos de pago (datos de tarjetas de crédito), inicios de sesión y contraseñas, y simulación de ataques a través de la red. Además, evidencia si los virus o troyanos infiltrados pueden capturar datos empresariales sensibles como: secretos de empresa, patentes técnicas, entre otros.
Clasificación del pirata informático:
Dependiendo de la intención del pirata informático se clasifica en white-hat (sombrero blanco), black-hat (sombrero negro) y gray-hat (sombrero gris).
Hackers éticos o hackers de sombrero blanco, no buscan hacer daño. Su objetivo es evidenciar las vulnerabilidades con autorización, para proporcionar soluciones y garantizar la seguridad.
Hackers no éticos o hackers de sombrero negro, su objetivo es destructivo, no tienen permiso para ingresar y realizan la piratería para obtener beneficios económicos. Consiste en la infiltración, incluso en la destrucción de los sistemas de seguridad. En su mayoría va acompañado de acciones criminales como extorsión, espionaje industrial o parálisis sistemática de la infraestructura del sistema.
Hackers de sombrero gris, son la combinación de hacker de sombrero blanco y negro. No tienen una intención maliciosa, pero no cuentan con autorización para ingresar al sistema. Por lo general navegan por la red y piratean para notificar al administrador o al propietario que su sistema /red contiene vulnerabilidad.
Características del hacking ético:
- Se protege legalmente a través de un acuerdo escrito antes de comenzar con cualquier prueba de penetración, teniendo en cuenta el alcance, requisitos legales, expectativas y las partes involucradas.
- No infringe la ley y sigue un código de ética que direcciona todo lo que hace. Garantizando la máxima transparencia e integridad a la hora de proteger secretos de empresa y comerciales, además, los datos confidenciales de los clientes.
- Proporciona una documentación detallada y completa del procedimiento, resultados, recomendaciones y cualquier información relevante que halle. Revelando todas las vulnerabilidades que encuentra en el sistema de seguridad de la empresa, para que puedan solucionarse antes de que sean explotadas por actores malintencionados.
- Protege las infraestructuras digitales y los datos confidenciales de los ataques externos.
- No deja puntos débiles en el sistema, que puedan ser aprovechados por los ciberdelincuentes en otro momento.
- Muestra posibles soluciones para mejorar la seguridad informática.
Fases del hackeo ético
El hackeo ético está conformado por cinco fases que permiten detectar e identificar vulnerabilidades, encontrar posibles puertas abiertas para ciberataques y mitigar las brechas de seguridad para proteger las organizaciones.
1. Reconocimiento
Es la fase donde se recopila la información, permitiendo identificar qué ataques se pueden lanzar y la vulnerabilidad de la organización a estos.
2. Escaneo
Los atacantes intentan encontrar diferentes formas de obtener información (cuentas de usuario, credenciales, direcciones IP, entre otras). En la metodología de la piratería ética se reconocen tres clases de escaneo: escaneo de vulnerabilidades, escaneo de puertos y escaneo de red.
3. Obtener acceso
4. Mantener el acceso
5. Borrado de pista
Como se puede evidenciar el peligro y el desafío que enfrentan las organizaciones hoy en ciberseguridad es enorme, por ello es muy importante la actualización permanente de las estrategias de prevención de ataques, instalando tecnologías que defiendan el sistema antes de ser víctimas del pirata informático, y contando con un hacker ético que realice su trabajo de manera competente y cuidadosa, por ello se aconseja además, examinar a fondo los candidatos y seleccionarlos cuidadosamente sobre la base de una experiencia comprobada que garantice un trabajo profesional y transparente.
Fuentes:
https://www.ionos.es/digitalguide/servidores/seguridad/que-es-el-ethical-hacking/
EC-Council. (s.f.). EC-Council. Obtenido de EC-Council: https://www.eccouncil.org/ethical-hacking/
Grimes, R. A. (27 de 02 de 2019). CSO . Obtenido de CSO: https://www.csoonline.com/article/3238128/what-is-ethical-hacking-and-how-to-become-an-ethical-hacker.html
Wright, B. (28 de 03 de 2018). CSO. Obtenido de CSO: https://www.csoonline.com/article/3266671/testing-the-waters-the-value-of-ethical-hacking-for-business.html
0 comentarios