Inicio Tecnología Hacking ético: una disciplina central para proteger la seguridad informática

Hacking ético: una disciplina central para proteger la seguridad informática

por Julieta Ludueña

Conforme avanzan los ataques cibernéticos contra diversas estructuras, organizaciones y personas, la necesidad de reforzar la integridad de los activos potencialmente amenazados resulta imperiosa. En este marco, incorporar las competencias necesarias para desarrollar las funciones vinculadas al hacking ético, genera una creciente oportunidad de empleabilidad.

La expansión del uso de diversas tecnologías y el crecimiento del acceso a Internet, lleva a incrementar las medidas de seguridad informática, lo cual comprende el entendimiento de las plataformas y dispositivos existentes en el mercado, su administración y aseguramiento. 

Para ello es importante un riguroso monitoreo de debilidades y riesgos potenciales, y saber cómo mitigarlos, para proteger uno de los recursos más valiosos y relevantes de una organización: su información. Más aún, teniendo en cuenta que 3 de cada 10 vulnerabilidades cibernéticas no cuenta con un parche de seguridad.

En escenarios de riesgo como los actuales, además de contar con protocolos de seguridad informática que protejan ese activo en forma eficiente, las empresas también requieren contar con el aporte de valor de los hackers éticos, un perfil cuya demanda se incrementa.

¿Qué es el hacking ético?

El hacking ético propone combatir las amenazas cibernéticas con sus mismas ‘armas’, considerando amenaza a cualquier peligro potencial que afecte negativamente a los activos de una organización, involucrando la Confidencialidad, Integridad y Disponibilidad de sus datos.

“A través de técnicas relacionadas con el hacking, se pueden identificar fallas, errores y vulnerabilidades de diversos tipos, siempre y cuando haya un consentimiento del cliente”, destaca Oscar Banchiero, especialista certificado con última Certified Ethical Hacking V 10.0 de la academia internacional de seguridad informática, EC COUNCIL.

“Es muy importante que las empresas puedan tener este proceso. Es fundamental testear todos los servicios y funciones que se ofrezcan tanto por Internet como por ambiente privado. De esa manera uno puede saber que tan expuesto se encuentra”, agregó el especialista en Seguridad de la Información & Ethical Hacking.

A través de técnicas relacionadas con el hacking, se pueden identificar fallas, errores y vulnerabilidades de diversos tipos, siempre y cuando haya un consentimiento del cliente”, destaca Oscar Banchiero.

Características de un ethical hacker 

Los profesionales que trabajan en el área de hacking ético, deben contar con algunas cualidades indispensables para este tipo de tareas. 

Entre las habilidades blandas, se destacan ser curioso, emprendedor, audaz y práctico. También se valora una actitud tendiente a no rendirse nunca ante una dificultad, y tener predisposición constante para aprender y probar.

A nivel técnico, es importante contar con conocimientos de herramientas y metodologías necesarias para realizar las siguientes tareas, aplicadas siempre bajo la ética profesional:

  • análisis de vulnerabilidades, 
  • test de penetración,
  • evaluaciones de redes 
  • servidores de datos
  • gestión de redes

Es indispensable certificarse en estas competencias, ya que suman mucho valor agregado al perfil profesional y brindan mayores capacidades.

Desde la compañía energética Iberdrola sostienen que el trabajo de hacker ético requiere conocer y saber utilizar una serie de herramientas tecnológicas, como:

  • NMap: auditorias de seguridad
  • Wireshark: monitoreo de red en busca de fugas de datos
  • BadMod: medición de seguridad de aplicaciones web. 

Asimismo, apuntan que el rol exige un conocimiento profundo de las tácticas, herramientas y motivaciones del black hat hacker.

Entre ellas, conocer:

  • Los sistemas criptográficos y sus aplicaciones prácticas existentes.
  • Las herramientas esenciales y las buenas prácticas necesarias para obtener el nivel máximo de seguridad en una red de servidores de arquitectura Microsoft Windows Server ó Linux Server, protegiéndola de potenciales amenazas.
  • Los conceptos básicos referentes a la implementación, configuración, mantenimiento y soporte de servidores de infraestructura en tecnologías Windows o Linux.
  • El mundo de los servidores informáticos, existentes en toda infraestructura informática de mediana y alta gama.
  • Los conceptos generales de las redes de comunicación, los protocolos, los diferentes dispositivos y sus funciones.
  • Las herramientas y metodologías necesarias para realizar tareas de análisis de vulnerabilidades y tests de penetración, con una filosofía enfocada a la ética profesional.

Y saber:

  • Planear, diseñar, estructurar e implementar una infraestructura de red informática de manera segura, protegiéndola de potenciales amenazas.
  • Armar, configurar y administrar una pequeña red fácilmente.

Es fundamental testear todos los servicios y funciones que se ofrecen tanto por Internet como por ambiente privado, para conocer el grado de exposición.

¿Qué funciones corresponden a los procesos de Ethical hacking?

El hacker ético debe considerar cientos de escenarios diferentes y recolectar la máxima información posible, para luego ir aplicando cada una de las técnicas de hacking, a fin de detectar vulnerabilidades.

Como explica Oscar Banchiero, una vulnerabilidad propiamente dicha es:

  • todo aquello que no ha sido considerado en la protección de los activos
  • una debilidad que tiene un bien y que puede ser explotada por una amenaza.

En este sentido, explica que las vulnerabilidades son muy variadas y al igual que las amenazas poseen una clasificación de acuerdo a su origen: 

  • Física
  • Natural
  • Humana
  • Hardware
  • Software
  • Red

El experto en Seguridad de la Información & Ethical Hacking, sostiene que las estadísticas demuestran que las principales vulnerabilidades residen en las personas, y que no existen políticas ni reglas que se respeten a fin de evitar este tipo de problemas.

No obstante, para avanzar en la detección de debilidades se realiza un pentest, que consiste en un intento de intrusión controlado y autorizado, contra los sistemas de información de una empresa, cuya finalidad es: 

  • identificar vulnerabilidades a las que están expuestas las redes de la organización 
  • obtener evidencias concretas del resultado obtenido
  • definir los planes de acción para mitigar los riesgos

Una vez encontrada la vulnerabilidad, se le informa al cliente, indicándole cuál es el valor de riesgo de criticidad. A partir de ahí se le ofrece una recomendación para atenuar el problema.

El hacker ético debe considerar cientos de escenarios diferentes y recolectar la máxima información posible, para luego ir aplicando cada una de las técnicas de hacking, a fin de detectar vulnerabilidades.

Beneficios que aporta el ethical hacking a las empresas

Algunas ventajas puntuales del hacking ético son expresadas por Iberdrola en su artículo ‘Hacking ético, el gran aliado de la ciberseguridad’:

  • Incrementa los niveles de ciberseguridad de las compañías.
  • Evita que los equipos y los sistemas informáticos queden inutilizados.
  • Previene el espionaje industrial, protegiendo la información crítica del negocio. 
  • Tutela la integridad de los datos de los clientes.
  • Mejora de los procesos internos de todos los sectores de una organización.

A estos beneficios podríamos agregar los siguientes:

  • Reduce las demandas legales vinculadas al robo de datos personales y financieros de clientes.
  • Evita pérdidas de productividad.
  • Mantiene la reputación en materia de seguridad de las empresas.

¿Cuáles son los ataques a la seguridad informática que debe prevenir el hacking ético? 

Los métodos utilizados para concretar ciberamenazas son diversos y es importante que los profesionales de la seguridad informática los conozcan y sepan cómo prevenirlos:

1. Malware o software malicioso puede presentarse en varias formas: 

  • Virus: programa capaz de reproducirse por todo el sistema. 
  • Gusanos: infectan un equipo y realizan copias de sí mismo. 
  • Troyanos: se disfrazan de software legítimo para causar daños o recopilar datos. 
  • Spyware: registra en secreto lo que hace un usuario. 
  • Ransomware: secuestra y bloquea archivos y datos, encriptándolos, con la amenaza de borrarlos a menos que se pague un rescate.
  • Adware: publicidad que puede utilizarse para difundir malware. 
  • Botnets: redes de computadoras infectadas por gusanos o troyanos que se utilizan para realizar tareas en línea sin el permiso del usuario. 
  • Exploit: aprovecha una vulnerabilidad para ingresar a un sistema o red informática para robar datos, atacar infraestructuras, infectar equipos, y secuestrar información.

2. Inyección de código SQL: método de infiltración de un código intruso que toma el control de la computadora y roba datos de una base de datos. 

3. Phishing: correos electrónicos, en apariencia legítimos, o incluso llamadas telefónicas que solicitan información confidencial, suplantando la identidad de una organización o persona.

4. Doxing: práctica asociada a un software malicioso del tipo ransomware, que consiste en publicar información privada de un individuo en Internet, con diversos propósitos.

5. Ataque de Denegación de Servicio (DDoS): impide que un sistema informático opere normalmente, bloqueando o colapsándolo, al sobrecargar redes y servidores con tráfico. 

En cualquier caso y más allá del tipo de intromisión, el nivel de reacción a un ciberataque estará determinado por:

  • las precauciones previas que se hayan tomado o no,
  • la efectividad del Disaster Recovery Plan que se haya estipulado.

¿Dónde capacitarse para desempeñarse como ethical hacker?

Para obtener los conocimientos requeridos para esta actividad y prepararse para rendir los exámenes de las certificaciones Linux Professional Institute – LPI Certified Level 1 e Instalación y configuración de Windows Server 2012, EC-Council Certified Ethical Hacker, el Centro de e-Learning de la UTN.BA imparte el curso Experto Universitario en Hacking Ético (Ethical Hacking).

1 comentario

JOSE RAMON FERNANDEZ ALONSO 18 octubre 2023 - 06:59

Al no tener conocimiento suficiente de informática, y llegarme constantemente noticias de fraudes, me interesaría un curso para ser lo menos vulnerable posible.

Respuesta

Dejá tu comentario