¿Qué mejor forma de saber qué tan expuestos a riesgos cibernéticos están nuestros sistemas y redes que simulando ataques que los pongan a prueba? Centrado en esta premisa, el hacking ético se ha convertido hoy en parte integral de las estrategias de seguridad de las organizaciones, ayudando a identificar y mitigar riesgos antes de que puedan ser explotados por actores malintencionados. Sobre esta práctica y sus beneficios, conversamos con Hellis Leiva y Rodrigo Ulloa, Directores de la Alianza Chilena de Ciberseguridad.
¿En qué consiste el hacking ético y cuáles son sus principios fundamentales?
H. Leiva: El hacking ético implica la práctica de penetrar en sistemas y redes informáticas con el propósito de encontrar vulnerabilidades y fallos de seguridad, todo esto desde una perspectiva legal y con la autorización expresa de la organización propietaria. Este proceso se realiza para prevenir ataques maliciosos al identificar y solucionar debilidades antes de que puedan ser explotadas por hackers con intenciones maliciosas.
Los principios fundamentales del hacking ético incluyen: operar siempre con la autorización explícita de los propietarios de los sistemas y datos involucrados; asegurar que todas las actividades se realicen dentro de los límites de la ley aplicable; mantener toda la información descubierta en estricta confidencialidad, compartiéndola solo con personas con derecho a saber; no alterar la información ni los sistemas (integridad) más allá de lo necesario para realizar la prueba de penetración; y asegurarse de que las pruebas no causen daño ni interrupciones a los sistemas.
¿Qué tipos de hacking ético existen y qué herramientas usan?
H. Leiva: Existen varios tipos de hacking ético, que se diferencian principalmente por el enfoque y los objetivos específicos de la prueba:
- Pruebas de penetración, con herramientas como Nmap o Nessus, Kali Linux, Metasploit y Burp Suite, simulando ataques cibernéticos en sistemas, aplicaciones y redes para identificar y solucionar vulnerabilidades.
- Auditorías de seguridad, que evalúan la adherencia de los sistemas y políticas a las normas de seguridad recomendadas y legales.
- Pruebas de phishing, simulaciones de campañas de phishing para evaluar la conciencia y reacción de los empleados ante intentos de engaño, usando herramientas como GoPhish o similares.
- Evaluaciones de seguridad inalámbrica para identificar vulnerabilidades en redes WiFi y sistemas de comunicación inalámbrica.
- Análisis de código, con herramientas tipo SAST (Static Application Security Testing) que revisan el código fuente de las aplicaciones en busca de errores de programación que podrían ser explotados.
- Ingeniería social, técnica de manipulación psicológica usada para engañar a las personas y obtener acceso a información confidencial, sistemas y redes.
¿Cuáles son los beneficios que brinda a las organizaciones?
H. Leiva: Primero, mejora de la seguridad, identificando y corrigiendo vulnerabilidades antes de que sean explotadas; previene ataques, reduciendo el riesgo de incidentes de seguridad y protegiendo los activos y la información crítica; ayuda a asegurar el cumplimiento con estándares y regulaciones de seguridad de la información, evitando sanciones; fomenta una cultura de seguridad entre los empleados, aumentando la conciencia sobre las amenazas cibernéticas; y previene incidentes de seguridad que podrían dañar la reputación y la confianza de clientes y socios.
R. Ulloa: El hacking ético tiene un rol crucial en la prevención de ciberataques y la protección de data sensible. Al descubrir proactivamente las vulnerabilidades ayuda a las organizaciones a parchar o corregir los fallos de seguridad antes de que sean explotados por ciberdelincuentes. Asimismo, las pruebas de penetración ayudan a identificar debilidades y deficiencias en las defensas de seguridad, permitiendo fortalecer la postura de seguridad. Finalmente, los hackers éticos pueden evaluar la efectividad de las medidas de seguridad implementadas por una organización, pudiendo revisar políticas, configuraciones de red, controles de acceso y procedimientos de respuesta a incidentes y medir el nivel de madurez frente a estándares internacionales como ISO 27.001, NIST, etc.
¿Qué consejos daría a quienes desean incorporar hacking ético en sus programas de ciberseguridad?
R. Ulloa: Primero, es clave contratar profesionales capacitados: hackers éticos o consultores de seguridad, con experiencia y certificaciones reconocidas en el campo. Esto garantizará que estén bien preparados para realizar pruebas de penetración de manera efectiva y ética.
Antes de cualquier actividad de hacking ético, se debe definir claramente los objetivos y alcance de las pruebas de penetración, enfocando así los esfuerzos en áreas críticas y evitando posibles malentendidos. Asimismo, es crucial obtener autorización por escrito y consentimiento de los propietarios de los sistemas que se van a evaluar, evitando problemas éticos y legales.
Una vez realizadas las pruebas de penetración y descubiertas las vulnerabilidades es esencial remediarlas, priorizando los hallazgos según su severidad (estos se miden mediante estándares como la CVSS), así como mejorar las políticas, procedimientos y controles de seguridad de la organización, a partir de los resultados de estas pruebas, ofreciendo, además, formación y concientización en seguridad informática para empleados y personal técnico.
La ciberseguridad es un proceso continuo y en evolución, por lo que es clave auditar regularmente para detectar nuevas vulnerabilidades y garantizar que las defensas de seguridad estén actualizadas.
Siguiendo estos consejos, las organizaciones pueden integrar de manera efectiva prácticas de hacking ético en sus estrategias para mejorar su postura de seguridad y proteger su información.
¿Qué otras tendencias observan en el campo del hacking ético?
R. Ulloa: Existen otras tendencias y prácticas relacionadas que son importantes en el ámbito de la ciberseguridad, como:
- La investigación y divulgación de vulnerabilidades en software, hardware y sistemas, fundamental para el desarrollo de parches y soluciones de seguridad.
- Threat hunting o búsqueda proactiva de amenazas.
- Análisis forense digital, que investiga incidentes de seguridad para determinar el alcance del daño, identificar responsables y recopilar pruebas, clave para la resolución de casos de ciberdelitos y para entender la causa raíz del incidente.
- Threat intelligence, recopilación y análisis de información sobre las amenazas que ayuda a comprender mejor las tácticas, técnicas y procedimientos de los adversarios, para así anticipar y responder de manera más efectiva a posibles ataques.
En el contexto actual, el hacking ético seguirá desempeñando un papel crucial, siendo parte integral de las estrategias de ciberseguridad. Con el crecimiento en la conciencia sobre la importancia de la privacidad y seguridad de los datos, se espera que haya un mayor énfasis en la ética y la legalidad en el hacking ético, teniendo foco en la innovación, la colaboración y el cumplimiento ético y legal.