Es la última moda, pero parece obvio que ha venido para quedarse, sobre todo viendo cómo se han disparado los ataques informáticos a las empresas. Se trata del ‘hacking’ ético, que trata de aportar a las empresas las claves para protegerse de los ciberataques y blindar correctamente sus infraestructuras de tecnologías de la información, precisamente cuando la seguridad de éstas es una de las principales preocupaciones de las compañías.

Al poner a un ‘hacker’ ético en la empresa, ésta puede adelantarse a los cibercriminales al detectar situaciones de vulnerabilidad y mejorar, por tanto, los procesos de seguridad de las compañías. Ayuda a la empresa a detectar dónde está el peligro o la vulnerabilidad, ya que analiza los sistemas y programas informáticos corporativos, asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el estado real de su seguridad.

Para llevar a cabo esta actividad es imprescindible contar con la autorización expresa de la empresa, plasmada en un contrato donde se indiquen las obligaciones que debe cumplir el ‘hacker’ ético: confidencialidad, integridad, secreto profesional, límites de la investigación.

Es una auditoría de la seguridad de las tecnologías de información de la empresa, pero realizada por un experto en ataques informáticos. El resultado final del trabajo del ‘hacker’ ético indica los puntos débiles de la empresa y que pasos se deben realizar para eliminar esas vulnerabilidades, o mitigarlas caso de no ser posible su eliminación.

Vector, una de las empresas que realiza en España este servicio de ‘hacking’ ético, destaca tres objetivos fundamentales:

1.-Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden provocar un ciberataque.

2.-Concienciar a los profesionales de las compañías de la importancia de la seguridad informática en su trabajo diario

y 3.-Mejorar sus procesos de seguridad (actualización de software, plan de respuesta a incidentes, entre otros)

Para conseguir esas metas, el trabajo se divide en varias fases:

1.-Acuerdo de auditoría: un documento, consensuado con el cliente, que refleja el alcance de la investigación, qué pruebas se van a realizar, qué obligaciones tiene el ‘hacker’, el nivel de permisividad de la empresa frente a las pruebas de ataques que se realicen, entre otros aspectos.

2.-Recopilación de información: el ‘hacker’ empleará las más diversas herramientas, desde simples búsquedas en Google, Bing, etc. hasta NMap (y similares) en búsqueda de puntos de entrada a la aplicación y/o empresa. Se buscan datos sobre empleados: direcciones de emails, nombres de usuarios, información personal (estilo de vida, gustos sobre ocio, foros donde estén inscritos, etc.) para tratar de adivinar su contraseña en base a dicha información, cargo que ostentan en la organización, entre otros.

También, información corporativa: direcciones url (Internet e intranet), DNS que utiliza, qué empresa hace el hosting, directorios y archivos expuestos, servicios abiertos en los servidores de la empresa (http, https, ftp, ssh, entre otros), versiones que ofrece de estos servicios, sistemas operativos que emplea la empresa, documentación filtrada en Internet buscando en sus metadatos, búsqueda de información relevante en comentarios en código de la página.

3.-Modelo de amenazas: Con la información proporcionada, se define la importancia de los activos de la empresa y se crean modelos de ataque con posibles amenazas que puedan afectar a éstos.

4.-Análisis de vulnerabilidades: De forma activa se buscan puertos y servicios existentes para localizar vulnerabilidades. Se usan recursos como bases de datos de vulnerabilidades de aplicaciones, y herramientas manuales y automáticas de escaneo de éstas para descubrir las deficiencias.

5.-Explotación: El ‘hacker’ ético confirma que las vulnerabilidades detectadas son riesgos reales a los que está expuesta la empresa.

6.-Post-explotación: El ‘pirata’ informático recopilará evidencias de que la fase de explotación ha tenido éxito, valorará el impacto real que pueda para la empresa y tratará de llegar lo más adentro de la organización que pueda vulnerando otros ordenadores internos, creando puertas traseras para posteriores accesos, entre otras técnicas.

7.-Informe: Se detallan todas las vulnerabilidades detectadas, cómo explotarlas, corregirlas o mitigarlas.

y 8: Plan de Mitigación de Vulnerabilidades: seguimiento de las vulnerabilidades detectadas para confirmar su eliminación.