Se trata de un nuevo rol muy importante y de gran ayuda para las firmas, en un contexto en el cual crecen día a día los ciberataques
03.09.2024 • 15:30hs • Ciberseguridad
Ciberseguridad
Hacker ético: cuál es el rol de este nuevo personaje que todas las empresas buscan
:quality(85)/https://assets.iproup.com/assets/jpg/2024/08/39899.jpg)
Un hacker es, en el imaginario colectivo, una persona maliciosa que busca hacer daño a través de sus conocimientos informáticos. Sin embargo, existe un nuevo personaje, muy buscado en la actualidad, que es elhacker ético.
Se trata de un profesional de la ciberseguridad que utiliza sus habilidades para identificar vulnerabilidades y brechas en sistemas informáticos, redes y aplicaciones, con el objetivo de ayudar a las organizaciones a mejorar su seguridad.
A diferencia de los hackers malintencionados o directamente ciberdelincuentes, (a veces llamados "black hat hackers"), los hackers éticos actúan con el permiso y conocimiento de los propietarios de los sistemas que examinan.
El propósito principal de un hacker ético es prevenir violaciones de seguridad y proteger la información sensible. Los profesionales que ejecutan estos servicios integran los equipos de Red Team de las organizaciones o empresas de ciberseguridad.
Leonardo M, Líder Técnico de Red Team de Security Advisor, destaca a iProUP la importancia de la ejecución de los Servicios de Análisis de Vulnerabilidades, Pentesting o Ethical Hacking, "no solo por la necesidad de las empresas de cumplir con los requerimientos de ciertas normativas, sino también para prevenir y detectar a tiempo cualquier brecha de seguridad".
Hackeo ético: para qué lo usan las empresas
Hay dos usos muy comunes que buscan las empresas a través de esta práctica. Así lo explica Leonardo:
- Evaluar cómo está una empresa a nivel de seguridad desde la perspectiva de los atacantes: para esto, un hacker ético se encarga de identificar vulnerabilidades en activos de la organización, ya sea web, mobile, infraestructura tipo servidores, firewalls, computadores, es decir todo lo relacionado y que sea crítico para la organización
- Apoya la certificaciones y cumplir con normativas: Asegurar que una organización cumple con las normativas y estándares de seguridad internacionales como la ISO 27001, y estas mismas piden actividades de hacking ético
Acerca de cómo es el proceso para realizarlo, Leonardo precisa que, "el hacking ético funciona de muchas maneras donde esto puede ser en caja negra, caja gris y caja blanca, lo principal es nunca dejar de actualizarse, ya que al igual que la tecnología en su conjunto, la ciber delincuencia evoluciona a velocidades cada vez mayores".
/https://assets.iproup.com/assets/public/images/lazyload.gif)
En la actualidad es sumamente importante contar con especialistas en ciberseguridad en las empresas
Los 6 pasos claves para un hackeo ético
- Se debe planificar con el cliente el alcance establecido, establecer qué es lo que el cliente desea proteger y cuales son los riesgos asociados al negocio si fueran explotadas por ciber delincuentes o simplemente el dominio de ellos
- Realizar Reconocimiento pasivo y activo: el reconocimiento pasivo es recopilar mucha información en fuentes abiertas sin tener contacto directo con el objetivo. El activo son técnicas que brindan conexión con los activos de tu objetivo y pueden identificarse si tiene herramientas de seguridad
- Realizar full enumeración y escaneos de vulnerabilidades, ya que directamente debes entender cuales son las dolencias y encontrar vulnerabilidades para verificar si son reales o no
- Luego, se deben revisar las vulnerabilidades con exploits verificados, modificados, donde estos deben ser revisados por el hacker ético y que no afecten la continuidad del negocio del cliente. Tras esto se procede a explotar vulnerabilidades, se debe escalar privilegios y ver hasta donde se puede llegar
- Post-explotación, hay que verificar y mantener acceso con el activo afectado, ya que en un hacking ético siempre se debe tener control absoluto de todo buscando informar los hallazgos encontrados, de todas formas esto puede variar según lo planificado con el cliente
- Es fundamental tener todo documentado, la bitácora de las pruebas, realizar un informe ejecutivo para que los directores puedan entender los hallazgos y un informe técnico donde se debe recomendar y mitigar las vulnerabilidades explotadas
Democratización de la ciberseguridad
Pese al conocimiento de la relevancia de este tipo de prácticas, no todas las empresas se ven tentadas a ejecutarlas con la periodicidad que deberían.
En este sentido, desde Security Advisor aseguran que es posible "democratizar" estos servicios.
"Lo fundamental para lograr este cometido es encontrar al partner adecuado, que ejecute correctamente este tipo de análisis y que aporte no solo un escaneo automatizado de vulnerabilidades sino que, a través de inteligencia humana, se generen informes de calidad con recomendaciones que sirvan para remediar las vulnerabilidades encontradas".
Leonardo resalta que desde Security buscan que las empresas se sientan seguras y remarca que este tipo de prácticas generan acciones que son productivas para mejorar la ciberseguridad de todos los activos de una compañía.
"Nuestra oferta, no solo busca realizar simulaciones de ataques cibernéticos realistas y avanzados, sino también acompañar al cliente a lo largo de todo el proceso, generando informes tanto técnicos como ejecutivos, evaluando el nivel de riesgo de las vulnerabilidades encontradas y brindando recomendaciones a medida para cada cliente", concluye.
