Hacking ético: atacar para mejorar
Tabla de contenidos
La ciberseguridad debe estar en la base de toda estrategia empresarial o institucional. Sin una buena protección frente a los riesgos, todo lo que se construya en Internet puede venirse abajo como un castillo de naipes. Para optimizar las ciberdefensas de cualquier empresa o institución, se deben recurrir a servicios que respondan a los ideales y objetivos del hacking ético
La auditoría de seguridad, en su conjunto, nos permite conocer las vulnerabilidades del sistema. Mientras que a través del hacking podemos testear esos puntos débiles, explotando las vulnerabilidades identificadas para entender con exactitud en qué áreas los ataques potenciales pueden tener éxito.
Así, mediante acciones de hacking ético se puede saber cómo reaccionaría un sistema frente a un ataque externo. Y a partir de toda la información recopilada, los responsables de los sistemas pueden fortalecer las medidas y contramedidas de ciberdefensa. En suma, el hacking ético permite a las organizaciones aprender a defenderse mediante ataques bienintencionados.
Pero… ¿Entonces los hackers son buenos?
Hackers vs. Crackers
Vivir en una sociedad sometida al imaginario audiovisual a veces nos juega malas pasadas. Cuando una persona alejada del mundo de la ciberseguridad piensa en los hackers, se imagina a jóvenes con sudadera que persiguen, desde el sofá de su casa, el colapso de empresas e instituciones en internet.
La realidad dista mucho de parecerse a esa imagen concebida a través de los estereotipos y las películas y series sobre el mundo de la informática.
Para empezar, porque esa conceptualización popular del hacker en realidad describe a su némesis: el cracker. Estos expertos informáticos buscan, como su nombre indica, provocar un crack en la seguridad de las organizaciones a las que atacan. Un ejemplo de esto son los grupos que operan desde internet infectando redes de empresas con ransomware.
Volviendo al terreno de la mitificación audiovisual, en la última década tuvo mucho éxito Mr. Robot, una serie de televisión centrada en un neoyorkino que era un talentoso programador de día y un justiciero cracker de noche. El interés de la serie radicaba en que su protagonista no buscaba mediante el cracking su beneficio económico, sino vengarse de sus supuestos enemigos: corporaciones éticamente reprobables.
En la realidad, menos espectacular y más prosaica, el cracking es una metodología de ataque a sistemas y programas con el objetivo de robar datos, secuestrar documentos, cometer fraudes y eliminar protecciones de seguridad. Es decir, de enriquecerse, menoscabando a empresas e instituciones y poniendo en peligro el trabajo de miles de personas.
Por ello decimos que los hackers son, en realidad, los enemigos naturales de los crackers. Ya que su trabajo consiste en detectar con antelación las vulnerabilidades, al testear los sistemas mediante ataques éticamente planificados y con autorización de sus propietarios.
Si se ha llevado a cabo un buen trabajo de hacking, los crackers no tendrán nada que hacer. Los hackers no solo comprueban las fortalezas y debilidades de los sistemas para aprender a defenderlos, también se anticipan a las acciones destructivas de los crackers.
Al igual que en el cuento del maestro de la ciencia ficción Philip K. Dick, The Minority Report, abortan crímenes que aún no han sucedido.
En qué consiste el hacking ético
El hacking no solo no busca destruir, sino que su objetivo es construir la mejor de las ciberdefensas. De ahí que acompañemos al concepto del adjetivo ético. Puesto que los ataques se producen, siempre, para ayudar a las organizaciones a mejorar y optimizar sus sistemas de seguridad.
Desde UNIR – La Universidad en Internet secuencian el hacking ético en cinco fases:
- Reconocimiento. En esta fase se lleva a cabo una planificación de los ataques, estipulando con claridad los objetivos y el vector de ataque.
- Escaneo de la red. Se obtiene la información específica de los sistemas a atacar. Para ello se emplean herramientas como NMap, hping para reconocimiento, o herramientas de auditoría específicas para sistemas operativos (Nessus,..) o aplicaciones (Burp suite,..) .
- Ganar acceso a los sistemas. Se llevan a cabo las acciones necesarias para traspasar las barreras de seguridad y entrar dentro de los sistemas. Se emplean técnicas como la explotación de vulnerabilidades, el crackeo de contraseñas o el secuestro de sesiones.
- Escalado de privilegios/mantener el acceso. En este momento del proceso de hackeo se pueden llegar a obtener privilegios administrativos en el sistema y desplegar puertas traseras como un APT, lo cual podría tener efectos catastróficos.
- Borrar las evidencias. Los crackers al finalizar sus ataques, buscan borrar las pruebas para dificultar su detección. De ahí que en ocasiones las acciones de hacking ético efectúen la misma operación para comprobar si el borrado de huellas es detectado.
Sea como fuere, el objetivo de las diferentes fases es el mismo: comprobar los sistemas de seguridad y recopilar toda la información posible para acotar los cíber riesgos.
Hacking ético: Una forma de proceder
El hacking no es una solución o servicio en sí mismo, sino una forma de proceder, cimentada en unos valores y objetivos íntegros. Por ejemplo, cuando una empresa de ciberseguridad hace un pentesting o test de intrusión avanzado, está haciendo hacking ético.
En el transcurso de una auditoría de seguridad, en toda su complejidad, también se llevan a cabo acciones de hacking ético. Mientras que los Bug bounty son programas que premian a hackers que detectan vulnerabilidades y las reportan a las organizaciones para que las solucionen.
El hacking ético no es un servicio, sino una forma de actuar: atacar para construir.
Una metodología que ha estado en la base del proceso de aprendizaje en numerosas áreas a lo largo de la historia. Pensemos en algo extremadamente popular desde los tiempos de la Antigua Grecia: los deportes de uno frente a uno como la esgrima, el boxeo, el judo o, precisamente, la lucha grecorromana.
En las clases, los maestros no solo enseñan a sus alumnos cuáles son los mejores movimientos de defensa y ataque, sino que los ponen en práctica. Así, las personas que están aprendiendo, se ven sometidas a ataques por parte de sus profesores que visibilizan sus vulnerabilidades. Para perfeccionar sus métodos, necesitan conocer cuáles son sus fallos.
Vale para el deporte, para la ciberseguridad y para la vida misma.
El post-ataque: hacia un sistema más sólido
No basta con saber atacar el sistema. Sino que hay que tener los conocimientos y la experiencia necesarios para poder procesar y analizar toda la información que el ataque nos provee y transformarla en medidas de ciberdefensa.
Es decir, la clave no radica solo en el cómo, sino, sobre todo, en el por qué y el para qué. Tanto los modos de proceder como la finalidad del hacking son éticos.
El tratamiento de los datos nos permitirá dar el salto que hay entre el (re)conocimiento de las vulnerabilidades y su subsanación. El ataque es el punto de partida de la estrategia de seguridad. Una fuente de información de primerísima mano que permite optimizar los sistemas de seguridad.
Para los crackers el ataque es la misión en sí misma. Sus objetivos nacen y mueren con él. Una vez finalizado el ataque, si han tenido éxito, habrán obtenido lo que buscaban. En cambio, para los hackers que actúan desde la ética profesional, el ataque es el comienzo de una labor ingente de fortificación y mejora continua de los sistemas de seguridad.
En un mundo tan volátil como el nuestro, si las organizaciones quieren estar seguras en Internet tienen que contratar a hackers periódicamente para que pongan a prueba sus sistemas informáticos. Si no lo hacen, corren el riesgo de sufrir ataques malintencionados con consecuencias muy peligrosas para la viabilidad de los negocios.
La confianza es la clave
Hasta ahora hemos abordado la importancia del hacking ético, sus objetivos y sus formas de proceder. Pero puede ser que aún así, algunas empresas o instituciones se muestren recelosas. Al fin y al cabo, el hackeo implica dejar que expertos en ciberseguridad estudien las entrañas del sistema, accedan a información confidencial y lo conozcan hasta sus límites más recónditos.
Por todo ello, la confianza es la piedra angular de este tipo de acciones. Sin ella, no se pueden efectuar con éxito.
Tarlogic Security busca conseguir esa confianza por parte de los clientes, poniendo sobre la mesa cuatro activos:
- Trayectoria profesional y talento. La compañía de ciberseguridad es una pionera en el hacking ético. A lo largo de sus más de 10 años de vida se ha consagrado en el terreno del análisis de seguridad y en la protección de infraestructuras críticas de grandes empresas globales. Además, su equipo se ha forjado en grandes firmas de auditoría y lleva varios años como empresa de mayor crecimiento en europa según financial times.
- Acuerdos de confidencialidad. La información es oro. Por ello, la suscripción de acuerdos de confidencialidad que someten a todos los trabajadores de Tarlogic supone un auténtico seguro para los clientes. Estos acuerdos se firman antes del inicio de los trabajos y se almacenan cifrados en los sistemas de la compañía. Certificaciones ISO27001 de seguridad de la información, de calidad (ISO 9001) y del equipo técnico (CEH, OSCP, CREST, ..) son también un requisito.
- Ética profesional. Si hablamos de hacking ético es por algo. La ética está en la base de todas las acciones y servicios de Tarlogic. En los procesos de selección se lleva a cabo una verificación exhaustiva de los antecedentes e historial profesional de los aspirantes a incorporarse en la plantilla. El hacking ético es una forma de proceder que solo se puede llevar a cabo si quién lo realiza también tiene un alto estándar ético.
- Seguro de responsabilidad civil. La última salvaguarda. En caso de que se produzca algún incidente, Tarlogic Security dispone de un seguro de responsabilidad civil que tiene una protección de hasta cinco millones de euros.
Por ir concluyendo. El hacking ético es una forma de proceder que pone al servicio de las organizaciones la experiencia y el trabajo de profesionales de la ciberseguridad. Su objetivo es construir sistemas fuertemente protegidos frente a los ataques maliciosos. Y para llevarlo a cabo, se ataca a los sistemas y servidores para mejorarlos.