En la actualidad la seguridad cibernética es uno de los campos de más rápido crecimiento en la informática, acostumbrémonos al término general de que ya estamos en un mundo digital, la proliferación de los dispositivos interconectados (IoT) y los teléfonos inteligentes se han convertido en potencias de información.
¿Sabía que, según un informe de Cisco, se espera que 500 mil millones de dispositivos estén conectados a Internet para 2030?
El informe del índice anual de redes visuales de Cisco, también predijo un aumento en el tráfico IP global de 122 exabytes a 396 exabytes por mes de 2017 a finales de 2022, ¡eso es un aumento de más del 300 por ciento!
Entonces, a medida que más y más sistemas se conectan al ciberespacio, se vuelven vulnerables a los ataques desde todos los rincones del mundo, por lo que cada organización y negocio necesita proteger sus activos y datos contra tales ataques.
Esta mayor necesidad abre muchas perspectivas laborales para los ingenieros informáticos que buscan trabajo en un campo de ciberseguridad de vanguardia y de rápido crecimiento.
El hacking ético es un ejemplo de una excelente oportunidad para mejorar la seguridad de la red y los sistemas, específicamente mediante la prueba de dichas vulnerabilidades, recomiendo principalmente que los integrantes de tecnologías de la información, se preparen para cambios radicales que se vendrán, es más diría que todo ser humano que esté en posibilidades de usar un equipo digital, haga lo mismo en el ámbito de usuario.
En nuestra área de informática, recomiendo que desarrollemos el conjunto de habilidades de seguridad de red y mitiguemos el impacto de los piratas informáticos y ganemos en su propio juego.
¿Qué es el hacking ético?
El hacking ético es el proceso de probar las redes de un sistema en busca de vulnerabilidades contra cualquier amenaza, robo o ataque malicioso que pueda provocar pérdidas financieras u otros daños al sistema.
Un ejemplo:
En 2018, British Airways tuvo que desembolsar 183 millones de libras esterlinas tras una filtración de datos para resolver las investigaciones estatales que afectaron a 500 000 consumidores, por supuesto que los daños trascendieron en la pérdida financiera, ya que compromete la marca y reputación de la organización, además lo tienen que absorber.
Tengamos en cuenta algo muy importante, el hacking ético utiliza métodos similares a los que emplean los piratas informáticos ilegales para infiltrarse en los sistemas de manera estructurada, la principal diferencia es que el hacker ético tiene todos los permisos pertinentes del personal autorizado para intentar romper el sistema y mejorar la seguridad de los ataques reales.
Consideremos también que tienen la ventaja que los actores mal intencionados son auspiciados, por las organizaciones extremistas que financian para comprometer la seguridad de una nación o extorsionar datos masivos inyectando malware o spyware.
Etapas del hacking ético
Reconocimiento
Primero, un hacker ético recopila información relacionada con el sistema de destino, hay muchas herramientas de huella disponibles para que los piratas informáticos las utilicen para explorar motores de búsqueda, servicios web y sitios de redes sociales, DNS, correo electrónico, redes, etc.
Exploración
A continuación, los hackers éticos recopilan más información sobre la red y los dispositivos, incluidos puertos abiertos, protocolos, servicios, hosts y servidores en vivo.
Ganando acceso
Este es el paso más crítico, donde el hacker ético intentará obtener acceso a redes, hosts, dispositivos o aplicaciones en función de las vulnerabilidades identificadas en la fase de exploración.
Mantenimiento del acceso
Una vez que un pirata informático obtiene acceso a través de una vulnerabilidad, no es necesario que esa vulnerabilidad persista y un usuario final podría instalar parches, por lo tanto, si un pirata informático tiene la intención de mantener el acceso al dispositivo independientemente de la vulnerabilidad, es posible que sienta la necesidad de instalar registradores de pulsaciones de teclas, troyanos o spyware para mantener su acceso.
Borrado de pistas
La etapa final es eliminar todos los rastros del hacking y cualquier programa como troyanos, spyware que puedan haber instalado.
Es una prueba de concepto (POC) para verificar si los piratas informáticos pueden emular los mismos escenarios y pasar desapercibidos.
¿Por qué aprender Hacking Ético?
Veamos algunas de las estadísticas sobre ciberamenazas y ataques:
Un estudio de la Escuela Clark de la Universidad de Maryland señala que, en promedio, un hacker ataca cada 39 segundos, upss, entonces, es probable que uno de cada tres usuarios se convierta en objetivo de las amenazas de seguridad cibernética.
En una de las encuestas de EY Global Information, sobre seguridad de la información, solo el 38 por ciento de las organizaciones globales afirman que están preparadas para manejar un ciberataque sofisticado.
Las principales organizaciones como Facebook tienen un programa de recompensas que recompensa a cualquiera que identifique vulnerabilidades o fallas de seguridad en cualquiera de sus plataformas, en este caso es por qué ellos mismos no pueden, recordemos que esta plataforma es de las más vulneradas.
Existen las personas que identifican y denuncian amenazas sin causar ningún daño a sus plataformas con una intención genuina de mejorar sus plataformas son recompensadas generosamente en algunos casos.
Al aprender hacking ético, se puede desempeñar un papel vital en la protección de los sistemas y los datos contra amenazas y ataques, puede en su caso:
- Llevar a cabo investigaciones y análisis de los sistemas de destino para identificar cualquier vulnerabilidad de seguridad o del sistema desde el punto de vista del hacker y sugerir una solución.
- Ayudar a implementar una red de última generación que pueda resistir las infracciones de seguridad.
- Ayudar a las agencias gubernamentales a proteger la infraestructura de una nación de los extremistas.
- Proteger los datos y la información del consumidor mediante la implementación de las mejores prácticas de seguridad de su clase, manteniendo así la confianza y la confianza.
- Realizar una evaluación controlada de las redes y sistemas empresariales imitando un ataque en tiempo real; identifique e informe fallo para prepararse mejor para los inminentes ataques de piratas informáticos maliciosos.
¿Quién es un hacker ético?
Un hacker ético o de “sombrero blanco” es un experto en seguridad de la información que ayuda a identificar vulnerabilidades y fallas de seguridad en el sistema de destino rompiendo el sistema legal y éticamente, con lo cual, identifican e informan tales amenazas para que las organizaciones o agencias gubernamentales para que puedan tomar medidas de precaución para evitar cualquier daño a los datos o la red.
Tipos de hackers
Hackers de sombrero blanco
Estos son piratas informáticos éticos que identifican fallas de seguridad, vulnerabilidades de software y hardware e ineficiencias operativas, primero obtienen el permiso del personal autorizado de la organización antes de realizar el ejercicio legalmente.
Hackers de sombrero negro
Estos son ciberdelincuentes que obtienen acceso a un sistema sin autorización y roban o comprometen los datos de una empresa para obtener beneficios monetarios, cometer fraude o causar daño. ¿Recuerdan el ransomware WannaCry, que le costó al mundo una pérdida de $ 4 mil millones (USD)?, este infectó miles de computadoras con Windows en 2017 al cifrar los datos del usuario y exigir un rescate en forma de bitcoin.
Hackers de sombrero gris
Estos piratas informáticos realizan actividades tanto de sombrero blanco como de sombrero negro, entran en organizaciones sin autorización y, por lo general, tienen intenciones maliciosas, sin embargo, los sombreros grises también pueden aceptar contratos para ayudar a las organizaciones a mejorar su seguridad, en esencia, trabajan en ambos lados de la calle.
“Capacítese en las metodologías avanzadas que usan los piratas informáticos”
Habilidades y tácticas de hacking ético
Los hackers éticos también se basan en técnicas de ingeniería social para obtener información de un usuario o información relacionada con una organización, los piratas informáticos éticos al igual que los piratas informáticos de sombrero negro revisan los mensajes multimedia, las redes sociales, las cuentas públicas de los usuarios como Facebook, Twitter, GitHub, etc. para involucrar a los usuarios en un ataque de phishing y obtener acceso a la red a través de las vulnerabilidades del sistema de destino y comprometer al eslabón más débil de la ciberseguridad.
Las habilidades de programación ayudan en gran medida a los piratas informáticos éticos a automatizar tareas manuales específicas y pueden ayudar a identificar cualquier laguna en la plataforma o el entorno de destino, sabemos que además de las habilidades de programación, los hackers éticos también deben poseer conocimientos de motores de búsqueda y los conceptos básicos del sistema operativo Linux y sus comandos.
Las habilidades de redes, junto con las habilidades de seguridad de las aplicaciones, también ayudarán a los piratas informáticos éticos a desarrollar los conjuntos de habilidades de piratería.
Para que quede claro, en un primer momento, cuando hablamos de hackers puede entenderse que hablamos de ciberdelincuentes, sin embargo, nada más lejos de la realidad, un hacker viene a denominar a un experto en informática, una persona apasionada por los ordenadores y, en este caso, por la seguridad informática, sin la intención de obtener provecho o causar daños.
¿Cuál es el protocolo indispensable para realizar un hacking ético?
Los expertos contratados para realizar el procedimiento que nos ocupa siguen un estricto protocolo para cumplir los objetivos del mismo:
Ajustarse a la legalidad
Importante y pertinente es reiterar que, previo a la ejecución del hacking ético, el experto debe contar con el consentimiento explícito por escrito y firmado del responsable, de ninguna forma, esta evaluación puede llevarse a cabo sin tal autorización.
Determinar los límites del procedimiento
Claro, es importante establecer los alcances de la evaluación para mantener la labor del hacker ético dentro de la legalidad y dentro de los límites definidos por la propia empresa o entidad.
Presentar un informe completo de las vulnerabilidades del sistema analizado
Esto va incluido al mismo, es imprescindible incluir recomendaciones muy detalladas de las soluciones y medidas necesarias a implementar para resolver estas debilidades, normalmente, los profesionales y empresas especializados en hacking ético ofrecen asesoría a sus clientes.
Respetar la protección de datos
Por supuesto, considerando la confidencialidad y la sensibilidad de los datos, los hackers éticos deben aceptar un acuerdo de no divulgación; aparte de otras condiciones exigidas por el responsable de la organización evaluada para garantizar la seguridad de los datos.
Como encargado del área de TI, es una gran ventaja saber utilizar el sistema operativo GNU/Linux, es el que más se utiliza por sus potentes herramientas y sistemas dedicados como KALI.
Quedo a la espera de sus comentarios.
Saludos,
Visitas: 11
