Hacking ético: qué es y por qué las empresas pagan por ser vulneradas
Se trata de una rama de la seguridad informática que tiene como finalidad optimizar estructuras y sistemas. Es una práctica legal y existen diversos tipos tanto digitales, sociales, como físicos.
Los hackeos más generales tienen como objetivo el intento de robo de credenciales de ingreso a sitios o cuentas.
Hacker y ética son dos términos que por definición parece que tienen poco que ver, pero no solo están relacionados, sino que se trata de una práctica legal que tiene un importante negocio detrás. Las herramientas tecnológicas e informáticas están expuestas a ataques, robos y filtraciones, sin embargo, hay empresas que pagan por ser vulneradas. Qué es el hacking ético y en qué consiste.
Aunque suene raro, el hackeo ético es una rama de la seguridad informática. Es la práctica autorizada de detectar vulnerabilidades en aplicaciones, sistemas o en la infraestructura de organizaciones.
Se hace a través de diversas maneras, algunas automatizadas, (ver adelante) que consisten principalmente en penetrar o saltar los sistemas de seguridad para identificar potenciales puertas de ingreso o debilidades en las defensas. Aunque no todos tienen que ver estrictamente con lo digital, sino también con lo social y físico.
El objetivo es investigar las estructuras en busca de puntos débiles, con las mismas herramientas que un ciberdelincuente, para evitar que sean explotadas por verdaderos piratas informáticos. De esta manera, se busca conocer de antemano las vulnerabilidades para parcharlas antes de que se produzca el robo de información o daño a los activos.
Para ampliar más sobre estos conceptos, Generación EZ dialogó con el consultor y senior Software engineer en SecurityScorecard, Martín Moreira y con el gerente comercial de Insside Ciberseguridad, Carlos Jaureche.
Las empresas pagan por cada vulnerabilidad que se encuentre en los sistemas».
Martín Moreira.
“Básicamente es hacer un análisis de vulnerabilidades desde la perspectiva de un atacante. Se evalúa qué tan bien implementado o configurado está un sistema defensivo o qué vulnerabilidades tiene una infraestructura o aplicación”, indicó Jaureche.
Por su parte, Moreira explicó cómo es el mercado de esta rama de la seguridad informática: “Las empresas que contratan este tipo de servicios no solo pagan por el constante monitoreo y ataque de las defensas, sino también por cada vulnerabilidad que se encuentre en los sistemas”.
La demanda de este tipo de servicios es más baja que lo debería ser en nuestro país y principalmente en los servicios del Estado. Esto significa que las empresas o entes le dan menos intención a la seguridad informática que lo que deberían.
Sin ir muy atrás en el tiempo, en junio se registró el robo de información de más de 100.000 pacientes del hospital más grande de Neuquén, a través de una campaña de ingeniería social. A principios de este mes también se hackeó al PAMI y no solo se puso en riesgo data sensible de afiliados, sino que también se podían emitir recetas electrónicas.
Hacking ético: por qué es legal
Para que se puedan realizar los hackeos éticos, las empresas o entidades interesadas les otorgan la autorización a las empresas de seguridad para que realicen estos ataques controlados y, a diferencia de los hackeos convencionales, este proceso es planeado, está aprobado y principalmente es legal.
Las pruebas que realizan pueden incluir la identificación de vulnerabilidades, el análisis de sistemas en general y realización de pruebas de penetración. Una vez que se detectan los puntos débiles, se informa a las organizaciones para que se tomen medidas antes de que sean explotadas por los ciberdelincuentes.
De esta manera se garantizan que las defensas estén a la vanguardia, teniendo en cuenta que cada tecnología nueva puede tener vulnerabilidades desconocidas y, al mismo tiempo, aparecen herramientas que facilitan cada vez más el rastreo de puntos débiles de manera automática.
Hacking ético: qué tipos existen
Si bien la mayoría de los hackeos éticos tiene que ver con el uso de herramientas digitales para buscar vulnerabilidades en sistemas informáticos, también hay sociales y físicos. Cada uno tiene su metodología particular y a continuación se describen algunos.
Pruebas de penetración (pentesting): los profesionales intentan explotar las vulnerabilidades en los sistemas, redes o aplicaciones. El objetivo es identificar debilidades antes de ser explotadas.
Análisis de vulnerabilidades (vulnerability assessment): se analizan los sistemas en busca de puertas de ingreso. A diferencia del pentesting, no se explotan estas vulnerabilidades, sino que se las identifica y documenta.
Estudios físicos (phiysical testing): este tipo de hackeo tiene que ver con la búsqueda de vulnerabilidades en instalaciones como también en equipos críticos. Un ejemplo, cajeros automáticos.
Ingeniería social (social engineering): esta práctica no necesariamente tiene que ver con el uso de herramientas tecnológicas (a veces usan chatbots como ChatGPT) y los hackers intentan manipular a empleados de una organización para sacarles información, como credenciales de acceso. De esta manera se evalúa cuán preparado está el personal de una empresa.
Testeo de aplicaciones (application testing): se inspeccionan aplicaciones web y móviles para encontrar vulnerabilidades como inyecciones de SQL, cross-site scripting (XSS) y otros factores vinculados con el software.
Autenticación biométrica: forma parte de las pruebas de aplicaciones, pero está vinculado con el uso de huellas dactilares o escaneo facial. Se analizan su integración y una revisión de herramientas que utilicen estos sistemas de validación para temas sensibles como transacciones.
Redes e inalámbricos (network y wireless testing): se realiza el estudio de las redes en busca de puntos débiles. Abarca tareas como análisis de tráfico, configuraciones de firewall y detección de puertos abiertos. También refiere a la evaluación de la seguridad de las redes inalámbricas, buscando posibles puntos bajos de seguridad en las conexiones WiFi.
Cómo se dan cuenta las empresas que son víctimas de un hackeo
Las empresas se dan cuenta que hay hackers o bots que están probando diversas maneras de ingresar a sus sistemas porque detectan un flujo de datos que no es normal. Como primer paso hacen consultan internas y luego a empresas que tienen contratadas para ver si hay alguien haciendo pruebas en los sistemas.
«Es fácil darse cuenta por los request (pedidos) que hay en el sistema. Aumenta el flujo de una manera anormal y por lo general son scripts (procesos automatizados) ya armados que prueban objetivos similares», señaló Moreira.
Según comentó, mayormente lo que se busca es robarse credenciales de ingreso. El objetivo es hacer lo mismo que se hizo en el ataque que se produjo en Neuquén: venderlos en la deep web, que básicamente son sitios que no están indexados en los buscadores convencionales.
Hay empresas que se encargan de comprar estos datos en la deep web, pero con fines éticos y comerciales. El objetivo es contactar a las organizaciones que sufrieron el ataque para, primero, notificarlos cómo y dónde encontraron las credenciales a la venta. Y en segundo lugar, para ofrecerles servicios de blue o red team, que tiene que ver con la seguridad defensiva y ofensiva.
Comentarios