Security Bloggers Network 
SBN

¿Qué es el hacking ético?

by Felipe Ruiz on April 10, 2022

Como ya sabrás,
Fluid Attacks es una empresa especializada
en hacking ético.
Somos un gran red team,
un equipo de seguridad ofensivo con la misión de detectar vulnerabilidades
de seguridad en los sistemas informáticos.
Como hace poco nos dimos cuenta que no teníamos un artículo de blog
informativo e introductorio sobre lo que es el hacking ético,
decidimos crearlo.
Este artículo está dirigido principalmente a quienes son nuevos
en el tema y quieren una introducción.
Está basado en un reciente taller impartido por nuestro líder de Red Team,
Andres Roldan,
a un grupo de periodistas.

Como hizo Andrés,
empecemos respondiendo un par de preguntas básicas:

¿Qué es la ciberseguridad?

Se calcula que
casi cinco mil millones de personas utilizan Internet actualmente,
lo que corresponde a cerca del 63% de la población mundial.
Además, alrededor del 92% de estos usuarios, en algún momento,
prácticamente desde cualquier lugar,
tienen acceso a la red a través de dispositivos móviles.
No cabe duda que nos encontramos
en un mundo digital altamente conectado en el que,
al igual que en la realidad ” material “,
las amenazas existen desde el primer momento.
Frente a las amenazas constantes,
la ciberseguridad se ha hecho necesaria.
Gartner,
parcialmente acertado,
define este término como “la combinación de personas, políticas,
procesos y tecnologías empleadas por una empresa
para proteger sus activos cibernéticos”.
(Digo “parcialmente” porque también es cierto que,
como usuario individual, se puede acceder a la ciberseguridad).
Pero,
¿contra qué deben protegerse los ciberactivos? – Ciberataques.

¿Qué son los ciberataques?

Son asaltos
llevados a cabo por ciberdelincuentes que atacan uno
o varios sistemas informáticos desde uno o varios computadores.
Los ciberataques pueden desactivar los sistemas de las víctimas,
robar sus datos o utilizarlos como puntos de partida para otros asaltos.
Según un informe de seguridad de IBM,
entre los principales tipos de ciberataques (tácticas)
del año pasado figuran los siguientes:
ransomware,
acceso no autorizado a servidores,
amenaza al correo electrónico empresarial,
robo de datos y captura de credenciales.
Y entre las técnicas más utilizadas para lograr estos objetivos
se encuentran las siguientes:
phishing,
explotación de vulnerabilidades,
robo de credenciales,
fuerza bruta y acceso remoto.

¿Qué es hacking?

Los ciberataques pueden considerarse una parte del hackeo,
por el cual se identifican problemas de seguridad
en los sistemas para lograr accederlos.
Muchos de los ciberdelincuentes que perpetran los asaltos
son los llamados hackers maliciosos,
actores de amenazas o hackers de sombrero negro.
Entre sus principales motivaciones está la idea de obtener
alguna recompensa económica.
También pueden atacar simplemente para expresar su desacuerdo
con las decisiones de gobiernos o empresas.
También hay ataques derivados de la simple voluntad de los hackers
de asumir riesgos y lograr reconocimiento en determinados grupos de personas.
A veces,
los ciberdelincuentes son incluso contratados por empresas deshonestas
para arruinar proyectos y afectar la reputación de sus rivales.
Algo parecido ocurre entre gobiernos
(p. ej., la ciberguerra entre Rusia y Ucrania).
(Si quieres saber más sobre cómo piensan los hackers,
lee este artículo del blog.)
En todo caso,
en un universo en el que podemos experimentar muchos estímulos contrarios,
cabe esperar que haya sombreros blancos si hay sombreros negros.
Es decir, si hay hacking malicioso,
también hay hacking ético.

Hacking ético

El hacking ético es quizás la mejor manera de responder
al hacking malintencionado.
Para dar una definición sencilla de hacking ético,
es cuando los ciberataques son llevados a cabo por hackers
de sombrero blanco en beneficio
de la ciberseguridad de las organizaciones.
Los sistemas son atacados para descubrir
sus vulnerabilidades copiando las tácticas,
técnicas y procedimientos de los actores amenazantes.
La gran diferencia es que el ataque se efectúa
con el consentimiento del propietario del sistema,
que será responsable de remediar las vulnerabilidades
de seguridad reportadas.

En el hacking ético,
los expertos deben mantenerse al día en cuanto a la existencia
y el uso de herramientas de hackeo,
así como de las tendencias de ataque utilizadas por adversarios.
En sus informes,
los hackers éticos proporcionan información
sobre las vulnerabilidades identificadas,
incluido su grado de gravedad.
Para ello siguen marcos públicos como CVE
Y CVSS.
También aportan pruebas de la explotación de vulnerabilidades
y de qué activos de información pueden verse comprometidos en un ataque.
Además de encontrar vulnerabilidades conocidas,
los hackers éticos también pueden realizar investigaciones
para descubrir y registrar vulnerabilidades de día cero,
es decir, nuevas amenazas desconocidas hasta el momento.

¿Cómo funciona el hacking ético?

Para que se lleve a cabo el proceso de hacking ético,
el propietario de los sistemas debe definir
y aprobar previamente una superficie de ataque
y un objetivo de evaluación
(es decir, una parte o la totalidad de la superficie de ataque).
Los objetivos pueden ser aplicaciones web
o móviles,
APIs y microservicios,
clientes robustos,
infraestructura en la nube,
redes y hosts,
dispositivos IoT
y tecnología operativa.
La metodología de hacking ético comúnmente utilizada
puede dividirse en fases de
reconocimiento, enumeración, análisis, explotación y reporte.

  1. Fase de reconocimiento pasivo:
    En esta primera fase,
    los hackers éticos recopilan información de fuentes externas
    sin interactuar directamente con el objetivo.
    Emplean, por ejemplo, técnicas de recopilación de
    Open Source Intelligence
    (es decir, información disponible públicamente)
    Pueden recurrir a buscadores web comunes como Google y Bing
    para descubrir detalles relevantes sobre el objetivo.
    Debido a las características de esta fase,
    hay pocas posibilidades de que los hackers sean detectados.

  2. Fase de reconocimiento activo:
    En esta fase, los hackers éticos
    ya tienen contacto directo con el objetivo.
    Identifican fuentes de información y tecnología pertenecientes
    a la organización propietaria del sistema evaluado.
    Interactúan con los servicios,
    sistemas e incluso personal de la organización
    para recopilar datos y definir vectores de ataque.
    Las posibilidades de que los hackers sean descubiertos
    aumentan considerablemente si comparamos esta fase con la anterior.

  3. Fase de enumeración:
    En esta fase,
    los hackers éticos se proponen bosquejar el estado de seguridad
    del objetivo y prepararse para el ataque.
    Identifican sus puntos fuertes y débiles y comienzan
    a prever los posibles impactos que pueden derivarse del asalto.
    Según las características particulares del objetivo,
    los hackers preparan un arsenal especial para él.

  4. Fase de análisis:
    En esta fase,
    los hackers éticos se encargan de determinar
    el impacto exacto de atacar cada una
    de las vulnerabilidades que han identificado.
    Evalúan cada escenario y vector de ataque,
    así como las dificultades de explotación.
    Tienen en cuenta el daño a la integridad,
    confidencialidad y disponibilidad del objetivo en cada caso.
    Además, los hackers examinan el posible impacto
    en los sistemas cercanos al objetivo.

  5. Fase de explotación:
    Según Roldán,
    es en esta fase donde el hacking ético
    se diferencia del funcionamiento de las
    herramientas automatizadas de pruebas de seguridad.
    La herramienta se limita a identificar vulnerabilidades,
    mientras que el hacker ético pretende explotarlas
    para alcanzar objetivos de alto valor
    dentro de su objetivo de evaluación.
    De este modo,
    pueden identificar los efectos reales que un ciberdelincuente
    podría conseguir explotando estas vulnerabilidades.

  6. Fase de reporte:
    Una vez finalizada la explotación,
    los hackers éticos tienen que presentar los resultados
    a todas las partes interesadas.
    Uno de los entregables de los hackers es un resumen ejecutivo,
    gracias al cual los directivos de la organización propietaria
    del objetivo pueden comprender fácilmente los riesgos identificados.
    A partir de este informe,
    pueden gestionar los procesos para mitigar los riesgos.
    Otro entregable es un resumen técnico para que los desarrolladores
    u otros profesionales puedan comprender en detalle
    cada vulnerabilidad y proceder a su remediación.

¿Para quién es recomendable el hacking ético?

Las entidades financieras son las que más contratan
los servicios de empresas de hacking ético,
debido principalmente a la regulación que lo exige.
Sin embargo,
es recomendable que cualquier organización con presencia
en Internet o que desarrolle productos digitales
ponga a prueba la seguridad de sus sistemas con hacking ético,
es decir,
para evitar que se produzcan ciberataques exitosos contra ellos.

Sigue este enlace
si tú y tu empresa están interesados en conocer detalles
sobre la solución de Hacking Ético de Fluid Attacks.
Pero si lo que te gustaría es llevar un sombrero blanco
y ser un hacker ético en nuestro red team,
sigue este otro.
Para más detalles sobre cada caso,
no dudes en contactarnos.

*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Felipe Ruiz. Read the original post at: https://fluidattacks.com/es/blog/que-es-hacking-etico/

Felipe Ruiz