UNIR Revista
Porque no todos los hackers son 'malos', hoy te hablamos del hacking ético. Descubre en qué consiste y cómo especializarte en esta disciplina.
El hacking ético es la práctica que consiste en utilizar las habilidades en sistemas informáticos y de red para ayudar a las organizaciones a probar sus mecanismos y procedimientos de seguridad con tal de identificar debilidades y/o vulnerabilidades.
Las pruebas de un hacking ético se realizan con el conocimiento de los administradores y/o propietarios de los activos a probar, sin la intención de causar daños. Todos los hallazgos detectados se reportan para su subsanación.
Herramientas, trucos y técnicas
Los hackers éticos utilizan las mismas herramientas, trucos y técnicas que los atacantes para descubrir vulnerabilidades que pueden ser explotadas por estos. Uno de los métodos que utilizan son los pentest o pruebas de intrusión.
Para la realización de un hacking ético es necesario lo siguiente:
–Contrato o acuerdo firmado por el cliente o la organización donde se autoriza a realizar las pruebas.
–Acuerdo de confidencialidad de la información (NDA: “Non-Disclosure Agreement”) durante y después de la realización de las pruebas.
–Realizar las pruebas sin sobrepasar los límites acordados con el cliente o organización (alcance).
–Analizar los resultados obtenidos de las pruebas y realizar el informe final.
–Presentar los hallazgos al cliente u organización.
Durante el proceso se intentará responder a:
–¿Qué información pueden obtener los atacantes del sistema objetivo? Por ejemplo: Sistema Operativo, servicios que corren en él, versiones de software…
–¿Qué puede hacer un intruso con la información obtenida acerca del sistema objetivo? Una posible opción es descubrir vulnerabilidades que pueden ser explotadas para ganar acceso al sistema.
–¿Se registran los intentos de acceso o los accesos de los atacantes?
Y se ejecutarán las siguientes tareas:
–Asegurar que los activos de información están adecuadamente protegidos, actualizados y parcheados.
–Servir de base para la elaboración de planes de acción preventivos y correctivos para la Seguridad de la Información: cuánto esfuerzo, tiempo y dinero se necesitan para una adecuada protección.
–Comprobar que los mecanismos y procedimientos de seguridad cumplen con los estándares y regulaciones de aplicación.
Fases del hacking ético
1–Reconocimiento: fase inicial donde se recopila información acerca de la organización objetivo de las pruebas y se planifican (por ejemplo, los puntos débiles).
2–Escaneo de la red para obtener información específica de los sistemas (sistemas operativos, versiones de software, puertos, etc.). Se suelen utilizar escaneos de puertos con herramientas, como Nmap.
3–Ganar acceso a los sistemas: es la fase donde se consigue el control sobre el sistema, aplicación o máquina. Se usan técnicas como crackeo de contraseñas o secuestro de sesiones.
4–Escalado de privilegios/mantener el acceso: es la fase en la que se conserva el acceso y se obtienen privilegios administrativos en el sistema mediante puertas traseras, rootkits, troyanos, etc.
5–Borrar las evidencias: es el punto en la que se intenta borrar o cubrir las pistas acerca de las actividades realizadas en las pruebas.
Habilidades de un hacker ético
Las habilidades de un hacker ético son una combinación de habilidades técnicas y personales tales como:
Técnicas:
1.Amplio conocimiento de los principales sistemas operativos.
2. Conocimientos detallados de red: arquitectura, hardware, software, etc.
3.Conocimientos amplios sobre seguridad.
4.Gran conocimiento acerca de los distintos ataques.
Personales:
1.Capacidad de aprender continuamente.
2.Resolución de problemas.
3.Habilidades de comunicación.
4.Concienciación sobre cumplimientos legales, estándares y buenas prácticas.
El hacking ético permite mejorar la seguridad informática de instituciones y empresas y adelantarse a posibles ciberataques. Es un mecanismo fiable para detectar vulnerabilidades e implementar así sistemas que mejoren la seguridad.