De acuerdo con Reporte de referencia de CISO (Cisco 2019), en las empresas existen amenazas internas de empleados sospechosos o contratistas descuidados, que representan el 24 % de los riesgos más graves para sus organizaciones, según los encuestados para el Reporte. Las novedades aparecen en forma de dispositivos, aplicaciones en la nube y datos.
Por citar solo un ejemplo, en Colombia el 12,52% de los dispositivos móviles están infectados con algún tipo de malware diseñado para entrar o destruir el sistema sin autorización del usuario. En computadores las infecciones son mayores, afectando al 16,4% de los sistemas (Semana, 2019).
Por esta creciente preocupación queremos aterrizar mejor las alternativas de entrenamiento y certificación que puedan prepararlo para enfrentar de forma exitosa estas nuevas amenazas, y el Ethical Hacking se va constituyendo en una de las mejores opciones.
¿Qué es el Ethical Hacking, cómo es su proceso y qué son las pruebas de penetración?, son algunos de los temas que trataremos en esta nota.
Las pruebas de penetración son extremadamente importantes. Las computadoras y las redes están constantemente bajo ataque por todo tipo de razones diferentes, y una buena prueba de penetración es una de las contramedidas más sofisticadas que una organización puede tomar.
La prueba de penetración es la práctica de encontrar vulnerabilidades y riesgos ,y mitigarlos para asegurar una computadora o un sistema de red. Los términos prueba de penetración y Ethical Hacking a menudo se usan indistintamente, pero el Ethical Hacking es un término global que incluye todos los métodos legales de Hacking, por lo que la prueba de penetración es en realidad una parte del Ethical Hacking.
Equipo Rojo vs Equipo Azul.
Equipo rojo y equipo azul son otros términos con los que te encontrarás durante el proceso de Ethical Hacking. En el campo de la seguridad cibernética, un equipo de seguridad ofensivo se llama equipo rojo y un equipo de seguridad defensivo se llama equipo azul. A medida que el equipo rojo intenta entrar en un sistema, el equipo azul trabaja para mantenerlos fuera.
Proceso de Ethical Hacking.
Hay cinco fases en el proceso de Ethical Hacking, reconocimiento (o huella), escaneo y enumeración, acceso, mantenimiento y limpieza. Veamos cada fase.
1. Reconocimiento / Huella:
El primer paso es el reconocimiento, también conocido como huella. En esta fase, el Hacker comienza a recopilar información sobre su objetivo. Esto puede incluir la recopilación de información disponible públicamente, el uso de técnicas de ingeniería social y el “buceo en basureros”.
2. Escaneo / Enumeración:
El segundo paso es escanear el objetivo. En este punto, el Hacker está activamente involucrado con el objetivo. El escaneo es en realidad una extensión natural del reconocimiento. El Hacker utiliza varias herramientas para recopilar información detallada sobre la red, los sistemas informáticos, los sistemas en vivo, los puertos abiertos y más. La extracción de información como nombres de usuario, nombres de computadora, recursos de red, recursos compartidos y servicios se denomina enumeración.
3. Obtener acceso:
El tercer paso en el método de Hacking es donde comienza la verdadera diversión. Esto es cuando el pirata informático toma toda la información recopilada a través de su reconocimiento y escaneo y explota las vulnerabilidades que encontró para obtener acceso a un objetivo.
4. Mantener acceso:
Una vez que el Hacker obtiene acceso, mantener ese acceso se convierte en la siguiente prioridad. Puede hacer esto instalando puertas traseras, rootkits o troyanos. Una vez que el Hacker tiene acceso permanente al sistema, puede usarlo para lanzar más ataques.
5. Borrar tus huellas:
El último paso en el proceso de Hacking es limpiar sus pistas, cuando el Hacker sobrescribe los archivos de registro para ocultar el hecho de que alguna vez estuvo allí.
Ciclo de vida de las pruebas de penetración.
Otra metodología es el Ciclo de vida de las pruebas de penetración. Ciclo de vida de las pruebas de penetración es casi idéntico al proceso de Ethical Hacking. Incluye reconocimiento (o huella), escaneo y enumeración, acceso, mantenimiento de acceso e informes. Como puede ver, la única diferencia es la última fase. Después de cualquier prueba de penetración, se debe compilar un informe detallado. La documentación es una protección extremadamente importante para el Hacker y la organización.
Marcos de pruebas de penetración.
Existen otras metodologías que también lo ayudarán. El Proyecto de seguridad de aplicaciones web abiertas, u OWASP, describe técnicas para probar los problemas de seguridad de aplicaciones web y servicios web más comunes. El Manual de Metodología de Pruebas de Seguridad de Código Abierto, también conocido como OSSTMM, intenta crear un método aceptado para una prueba de seguridad muy exhaustiva. Y finalmente, la publicación especial 800-115 del Instituto Nacional de Estándares y Tecnología, también conocida como NIST SP 800-115, es una guía de los aspectos técnicos básicos para la realización de evaluaciones de seguridad de la información.
Tipos de Pruebas de penetración.
Existen tres tipos de pruebas de penetración : caja negra, caja blanca y caja gris.
Una prueba de caja negra es cuando el Ethical Hacker no tiene información sobre el objetivo o la red. Esta prueba es la mejor para simular un ataque externo e ignora las amenazas internas. El principal inconveniente de este tipo de prueba es que lleva más tiempo y es mucho más costosa, principalmente porque se necesita mucho tiempo y recursos para las fases de reconocimiento y escaneo.
La Prueba de caja blanca es lo opuesto a una caja negra. El Ethical Hacker tiene pleno conocimiento de la red, los sistemas informáticos y la infraestructura. La prueba de la caja blanca permite una prueba exhaustiva del entorno, pero no es muy realista, ya que un atacante casi nunca tiene toda la información.
Por último está la Prueba de caja gris, que simula una amenaza interna. El Ethical Hacker recibe información parcial sobre la red y los sistemas informáticos, como configuraciones de IP, listas de correo electrónico, nombres de computadora u otra información que una persona con información privilegiada tendría de manera realista. La prueba de caja gris requiere menos reconocimiento y escaneo, pero no proporciona toda la información al Ethical Hacker.
Resumiendo, en esta oportunidad hablamos sobre la diferencia entre las pruebas de penetración y el Ethical Hacking, las diferentes metodologías y marcos, y los tipos de pruebas de penetración.
Así, el Ethical Hacking se configura como el proceso con las mejores probabilidades para evaluar de forma estructurada las vulnerabilidades de una red informática, especialmente corporativa, para así mitigar los riesgos inherentes a los cada vez más frecuentes ataques externos y fugas internas de información.