Hacking ético. ¿Qué es esto? La historia, la literatura y el cine nos han dejado una imagen ambivalente de la piratería. De románticos idealistas a nefastos ladrones y asesinos. Pero unir las palabras piratería y ética… esto sí que es nuevo.
Parecen términos irreconciliables, sin embargo, la tecnología ha conseguido que juntos trabajen en un mismo sentido, el de la ciberseguridad.
Ya no cruzan los mares caribeños goletas y fragatas coronadas por banderas negras, con un montón de tipos bebiendo ron y gritando “¡Al abordaje!”.
Ahora los verdaderos piratas navegan por la Darknet, la Internet oscura. No quedan mutilados después de ninguna batalla y piratean cómodamente desde cualquier ubicación. Y en lugar de asaltar barcos a la búsqueda de tesoros, navegan en busca de vulnerabilidades en redes que les permitan abordarlas, con fines de los más variados: robo de datos, estafa, dañar la infraestructura de la red… Nada bueno, vamos. En esto no ha cambiado.
Barbanegra, Barbazul, Barbarroja… Si antes iba de barbas coloreadas, ahora se trata de sombreros. Y es que hay piratas para todo hoy en día: piratas de sombrero negro, de sombrero gris, verde, azul, rojo… y luego están los buenos, los piratas de sombrero blanco.
Estos últimos no son otra cosa sino profesionales expertos en ciberseguridad que combaten la piratería utilizando las mismas armas que loa piratas de sombrero negro, los más temibles.
El hacking ético, piratas con sombrero blanco
Como lo fue en el pasado, la piratería hoy es todo un negocio y una industria en auge. Olvidémonos de la imagen del hacker solitario encerrado en una habitación oscura, alimentándose de ganchitos y cocacola.
Se trata de crimen organizado, muy bien organizado. Hablamos de empresas con sus proveedores, compradores, socios y asociados, jefes y trabajadores de distintos niveles. Sí, vamos, como tu propia empresa, pero con muy malas intenciones.
Una amenaza que crece exponencialmente año a año, y que ha visto en la pandemia su oportunidad de oro y la ha sabido aprovechar.
Para hacernos una idea de la amenaza real que esto supone para empresas de todo tipo y tamaño, la oferta y la demanda de estas “empresas” es tan grande que ya se habla de la comercialización de habilidades de piratería como HaaS (Hacking as a Service).
Por su parte, las organizaciones pueden (y deben) implementar los mejores sistemas de ciberseguridad posibles para proteger sus redes y servidores, siempre en función de sus necesidades y características.
Pero para disponer de una fortaleza lo más inviolable posible es necesario ser consciente de sus propias debilidades. Y también conocer la capacidad, las estrategias y el comportamiento de tu posible agresor.
Y es aquí donde entra en juego el hacking ético y los piratas de sombrero blanco. Éstos son los buenos. Se trata de hackers con las mismas habilidades que los BlackHat, pero con intenciones mucho más benignas.
Estos “piratas de sombrero blanco” son en realidad expertos en ciberseguridad que emplean técnicas y métodos de hackers de sombrero negro, con el fin de evaluar la seguridad e identificar vulnerabilidades en los sistemas, redes e infraestructuras.
Se trata de conocer a fondo a tu enemigo. Si lo ves venir… te pillará preparado/a.
Ataques controlados y metodología hacker
Como proveedores de servicios de seguridad gestionada (MSSP), en Leader Redes y Comunicaciones ya nos hemos puesto el sombrero blanco y afilado los cuchillos. Es hora de poner nuestra amplia experiencia técnica en seguridad informática para combatir esta amenaza creciente.
Pero, ojo, de forma pacífica. No somos hackers de sombrero rojo. Se trata de identificar los posibles vectores de ataque que amenazan los datos corporativos, antes de que otros los descubran.
Un proyecto de hacking ético es, en definitiva, una auditoria exhaustiva a los sistemas, redes e infraestructuras TI de la organización, por parte de expertos en ciberseguridad que emulan el comportamiento de piratas de sombrero negro.
Algunas de las técnicas y estrategias de hacking ético que se utilizan para ello son:
- Tareas de ingeniería social. Al igual que hacen los piratas de sombrero negro, se trata de involucrar a empleados y usuarios en determinadas circunstancias que puedan constituir una amenaza.
Ponerles pequeñas trampas para ver cómo actúan, por ejemplo, al hacer transferencias bancarias, o si están dispuestos a compartir sus contraseñas y claves de acceso. En este caso lo que evaluamos es el nivel de amenaza interna, por parte de usuarios y empleados, y su nivel de formación en ciberseguridad, así como su nivel de compromiso con las políticas de seguridad establecidas.
- Revisar posibles agujeros en la “fontanería”. O lo que es lo mismo, evaluar el estado físico del cableado de la red y sus dispositivos (puntos de acceso, switches, firewall…)
- Atraer a hackers “malos” con señuelos de vulnerabilidades del sistema para ver cómo actúan y recabar información sobre esos atacantes.
- Escanear puertos para encontrar agujeros de seguridad. Estudiar las flaquezas de cada puerto y recomendar acciones correctivas.
- Realizar ataques y rastreo del tráfico de la red.
- Intentar evadir los sistemas de detección de intrusos, y los sistemas de prevención de intrusiones.
- Pen Testing o pruebas de penetración. Se trata de simular un ciberataque contra el propio sistema informático para identificar posibles vulnerabilidades explotables.
En definitiva, se trata de realizar un trabajo de inteligencia, de conocer tus debilidades, las posibles amenazas que te rodean y a los enemigos que pululan por la red. Tomar conciencia de todo ello y ver cuáles son las medidas necesarias a implementar para minimizar los riesgos y mantener intacto nuestro cofre del tesoro de los datos empresariales.
La digitalización de las empresas trae consigo una mayor exposición a múltiples amenazas de la red abierta y, claro está, la seguridad informática se complica como no lo había hecho hasta hoy. Pero… ¿quién va a decir que no a las posibilidades que ofrece la transformación digital?