Hacking ético: ¿por qué es necesario?
No todos los hackers son criminales ni trabajan en un lugar oscuro o se encuentran encapuchados frente a una computadora. Existe una figura que es la del hacker ético, un experto en computación y redes, que con el consentimiento de una persona u organización, realiza constantemente ataques a un sistema, para encontrar vulnerabilidades que un cibercriminal o un hacker malicioso podría eventualmente hallar.
En la siguiente entrevista con iProfesional, Vladimir Villa, director general ejecutivo de la empresa de seguridad informática Fluid Attacks, explica las razones por las que el hacking ético es necesario para la sociedad.
-¿Cuáles son las ventajas y desventajas del hacking ético?
-La ventaja principal del hacking ético es que permite conocer qué vulnerabilidades presentan los sistemas de una empresa, qué tan críticas son estas vulnerabilidades, y cómo pueden explotarse.
Además, se puede conocer qué registros de información logran comprometerse frente a un ataque. A partir de esto, se procede a gerenciar el riesgo que representan estas estas vulnerabilidades y a la remediación de las mismas, con miras a disminuir el nivel de riesgo dentro de una compañía.
El hacking ético es llevado a cabo por un experto en computación, que cuenta con el consentimiento de una empresa para realizar pruebas de seguridad que simulan ataques reales, permitiendo encontrar vulnerabilidades que un cibercriminal o un hacker malicioso podría eventualmente hallar y explotar para su beneficio.
No refiriendo necesariamente unas desventajas puede hablarse del esfuerzo que implica para la organización el proceso de hacking que, comparado con la remediación de incidentes, es mucho menor.
Solucionar vulnerabilidades implica una cadena de procesos e involucramiento de departamentos que pueden significar complejidad dentro de las organizaciones. Por eso se recomienda realizarlo durante todo el ciclo de vida del desarrollo de productos y no al final.
Vale la pena tener en cuenta que el hacking ético siempre va a ser mucho mejor que no realizar ninguna prueba a los sistemas de las organizaciones. Los costos que puede acarrear un entorno informático afectado por sujetos malintencionados van más allá del impacto financiero, y pueden involucrar destrucción y pérdida de datos, afectación en la reputación, y necesidad de capacitación de ciertos sectores del personal empleado.
-¿Qué puede hacer un hacker ético en la Argentina sin vulnerar la legislación local vigente?
-Hay que tener en consideración que el hacking ético es realizado dentro de la ley. Se trata de actividades autorizadas por empresas que contratan estos servicios, y llevadas a cabo por empresas especializadas, con experiencia, y con el suficiente cuidado en protección de los procesos.
Realizar pruebas de hacking ético involucra acuerdos de confidencialidad que blindan a las empresas contra fugas de información, y garantizan el borrado seguro de evidencias de vulnerabilidades explotables.
El hacking ético tiene como función ayudar a las organizaciones a evitar ser víctimas de delitos informáticos al identificar dónde pueden ser vulnerables, y al promover acciones que permitan solucionar estas vulnerabilidades, para que así se protejan de hackers maliciosos que actúan por fuera de la ley.
-¿Cuáles son las etapas de un proceso de hacking ético?
-En las pruebas de hacking ético, siguiendo este orden de presentación, existen las siguientes etapas:
1) definición del objetivo a atacar;
2) construcción o adquisición de herramientas;
3) investigación del objetivo de evaluación;
4) reconocimiento para la detección de debilidades;
5) despliegue;
6) intrusión inicial;
7) unión de vectores de ataque;
8) expansión de acceso y obtención de credenciales;
9) fortalecimiento de la intrusión;
10) extracción de información;
11) borrado de huellas.
Los tipos de prueba que existen son los siguientes:
1) caja negra, donde se le pide al hacker que ataque un sistema sin darle ningún tipo de información adicional, por ejemplo, "necesito que ataque la página web de mi empresa, el CRM o el ERP";
2) caja gris, donde al hacker ético se le da información y credenciales con mínimos privilegios, lo que le permite conocer la estructura o diseño de los sistemas, cosa que le facilita saber dónde puede iniciar su ataque;
3) caja blanca, donde le dan al hacker ético acceso total al sistema para que muestre qué puede hacer.
-¿Cuáles son las herramientas utilizadas para el hacking ético?
-Las herramientas más usadas son las que reconocen los objetivos a atacar, las que identifiquen vulnerabilidades y las que explotan las vulnerabilidades dentro de los sistemas. Aún así, cada proyetco es diferente y el hacking ético es una conglomeración de técnicas, experiencia y conocimiento de los analistas de seguridad, apoyados por algunas de estas herramientas.
-¿Qué planes tiene Fluid Attacks para el 2020?
-El desafío para este año es aumentar nuestra presencia en varios países del continente, desarrollando tecnología de primer nivel que permita a las compañías detectar las vulnerabilidades en su sistema de forma rápida y precisa.
-¿Cómo los afecta la recesión económica argentina?
-La Argentina es un centro tecnológico para muchas empresas extranjeras. Muchas de estas, así como las empresas nacionales, pueden llegar a necesitar estas pruebas por regulación o como habilitadoras de negocios con aliados estratégicos.
Por lo tanto, no es un rubro que puedan eliminar de sus presupuestos tan fácilmente. Por ejemplo, una compañía que maneje pagos en línea no podría arriesgarse a un robo de fondos por no realizar pruebas de seguridad.
-¿Cuándo acuden las empresas a Fluid Attacks?
-En Fluid Attacks no hay un trabajo reactivo o de remediación frente a los riesgos y vulnerabilidades. Las empresas acuden a Fluid Attacks de forma proactiva para gerenciar sus riesgos de ciberseguridad, y comúnmente lo hacen porque hay una regulación que se los exige, y es que, como sucede en algunas industrias, las empresas deben cumplir la ley realizando pruebas de penetración y hacking ético cada cierto tiempo, para poder certificar que sus sistemas son seguros para sus usuarios.
Esto está muy presente en compañías pertenecientes a la industria bancaria, financiera, tecnológica o médica, aunque creemos que cualquier compañía que tenga presencia en Internet o que desarrolle productos digitales, debería hacer pruebas de seguridad en sus sistemas para evitar un incidente de ciberseguridad o ataque.