El hacking ético es la práctica que consiste en utilizar las habilidades en sistemas informáticos y de red para ayudar a las organizaciones a probar sus mecanismos y procedimientos de seguridad con tal de identificar debilidades y/o vulnerabilidades.
Las pruebas de un hacking ético se realizan con el conocimiento de los administradores y/o propietarios de los activos a probar, sin la intención de causar daños. Todos los hallazgos detectados se reportan para su subsanación.
Herramientas, trucos y técnicas
Los hackers éticos utilizan las mismas herramientas, trucos y técnicas que los atacantes para descubrir vulnerabilidades que pueden ser explotadas por estos. Uno de los métodos que utilizan son los pentest o pruebas de intrusión.
Para la realización de un hacking ético es necesario lo siguiente:
–Contrato o acuerdo firmado por el cliente o la organización donde se autoriza a realizar las pruebas.
–Acuerdo de confidencialidad de la información (NDA: “Non-Disclosure Agreement”) durante y después de la realización de las pruebas.
–Realizar las pruebas sin sobrepasar los límites acordados con el cliente o organización (alcance).
–Analizar los resultados obtenidos de las pruebas y realizar el informe final.
–Presentar los hallazgos al cliente u organización.
Durante el proceso se intentará responder a:
–¿Qué información pueden obtener los atacantes del sistema objetivo? Por ejemplo: Sistema Operativo, servicios que corren en él, versiones de software…
–¿Qué puede hacer un intruso con la información obtenida acerca del sistema objetivo? Una posible opción es descubrir vulnerabilidades que pueden ser explotadas para ganar acceso al sistema.
–¿Se registran los intentos de acceso o los accesos de los atacantes?
Y se ejecutarán las siguientes tareas:
–Asegurar que los activos de información están adecuadamente protegidos, actualizados y parcheados.
–Servir de base para la elaboración de planes de acción preventivos y correctivos para la Seguridad de la Información: cuánto esfuerzo, tiempo y dinero se necesitan para una adecuada protección.
–Comprobar que los mecanismos y procedimientos de seguridad cumplen con los estándares y regulaciones de aplicación.