Boletines de Sistemas

06-07-2022

Hacking Ético

Cuando se escucha la palabra hacking es habitual que la mayoría de las personas la asocien con prácticas ilícitas con el objetivo de robar información, o con ciberataques contra sistemas informáticos, con el fin de que dejen de funcionar o lo hagan de forma anómala.

Sin embargo, el hacking ético en ciberseguridad se ha convertido en una de las herramientas más importantes para mejorar la seguridad de los sistemas, reduciendo sus vulnerabilidades y aplicando las medidas necesarias para evitar o minimizar los ataques externos. 

¿Qué es el hacking ético?

El hacking ético es una técnica o práctica que tiene como objetivo mejorar la ciberseguridad de los sistemas informáticos de empresas y organizaciones. Para ello, se realizan ciberataques supervisados para evaluar el nivel de seguridad y poder descubrir vulnerabilidades, errores y debilidades en los sistemas y protocolos de ciberseguridad. 

Los profesionales del white hat hacker son contratados por empresas o agencias de ciberseguridad para realizar ciberataques a un sistema y detectar los puntos débiles del mismo, proponiendo soluciones para poder reforzar la ciberseguridad.

El hacker se pone en el lugar de un ciberdelincuente y realiza las mismas acciones que este haría para intentar introducirse en un sistema, como sobrecargar un servidor con peticiones, robar credenciales de usuarios, y demás acciones maliciosas que se harían sobre el sistema.

En una auditoría de hacking ético se realizan pruebas de penetración o tests que abarcan todas las áreas de la empresa como el análisis de la red interna y externa (accesos a internet), las aplicaciones y plataformas utilizadas, los servidores, routers, pruebas de contraseñas, etc.

¿Para qué se utiliza el hacking ético?

El principal objetivo de realizar hacking ético es el de la prevención. Adelantándose a posibles ataques se pueden preparar los sistemas con las medidas necesarias para repeler estos ataques, evitarlos o reaccionar a tiempo para minimizar sus consecuencias. 

El hacking ético se ha convertido en parte importante de cualquier auditoría de ciberseguridad porque permite medir con mayor exactitud el grado o nivel de seguridad de los sistemas informáticos de una empresa. 

A pesar de que el hacking ético realiza test y ataques de penetración en sistemas, consiguiendo averiguar sus puntos débiles para reforzar la seguridad, no es suficiente para poder mantener la ciberseguridad de una empresa en el tiempo.

Los ciberdelincuentes encuentran nuevas formas de ataque y utilizan nuevas herramientas sofisticadas, los sistemas reciben actualizaciones que pueden contener nuevas vulnerabilidades, o se incorporan nuevas herramientas o plataformas a los sistemas.

Todas estas acciones hacen que las auditorías de ciberseguridad deban realizarse de forma periódica para poder garantizar que el hacking ético testee las nuevas condiciones y descubrir nuevas vulnerabilidades o debilidades en los sistemas.  

Tipos de hackers que existen

El hacker ético maneja una gran cantidad de funciones que son de suma importancia para el manejo de los sistemas informáticos. Sin embargo, es preciso aclarar que dentro de los hackers existe una diversificación de los mismos. Los cuales con el paso del tiempo han ido creciendo, con base en las características que cada uno posee.

Hackers Black hat

Son los hackers conocidos como ciberdelincuentes, siendo los que logran acceder a una serie de redes informáticas. En los sistemas a los cuales no se les ha permitido ingresar, el propósito de estos es dañar y con ello acceder a información de seguridad. Colocando así en posición de peligro al otro.

Dentro de este tipo de hackers existe una clasificación, conocidos como los crakers y phreakers. Los primeros pueden llegar a establecer modificaciones en los software, creando malware, pueden llegar a colapsar servidores y contaminan las redes. Por otro lado, los segundos son capaces de introducirse en las redes de las telecomunicaciones.

Hackers Grey Hat

Estos hackers son aquellos que basan su ética de acuerdo al lugar y las condiciones bajo las cuales operen. Es común que lleguen a prestar sus conocimientos para agencias de inteligencia, empresas de gran tamaño y entes gubernamentales. Pueden divulgar información importante bajo el establecimiento de precios.

Hackers White Hat

Son aquellos dedicados al hacking ético, en donde la premisa es la investigación. Dedicándose a notificar en cuanto a posibles vulnerabilidades o riesgos que existan en los sistemas o en redes de seguridad. Son capaces de mejorar la calidad de la seguridad de las redes informáticas que lleguen a incursionar.

Hackers Newbies

Son profesionales dedicados al hacking ético con muy poca experiencia. Que apenas han incursionado en el mundo de la ciberseguridad, comúnmente conocidos como los novatos del Hacking.

Hackers Hacktivista

Este último Hacker ha crecido en números en los últimos años, son aquellos dedicados a atacar sistemas de redes informáticos con fines políticos. Como ha sucedido en el caso de Anonymous. Implementan todos sus conocimientos en divulgar información que en muchos casos es de utilidad pública. 

¿Cuáles son las ventajas del hacking ético para las empresas?

Las empresas obtienen muchos beneficios al utilizar el hacking ético para evaluar y reforzar sus sistemas de seguridad. Realizar ataques programados aporta una serie de ventajas entre las que destacan: 

Descubrir vulnerabilidades 

Uno de los principales objetivos del hacking ético es el de descubrir las posibles vulnerabilidades o fallos informáticos que ponen en riesgo la integridad de la información y de los sistemas. Con los ciberataques realizados en el hacking ético se pueden identificar vulnerabilidades y así aplicar las acciones correctoras necesarias para eliminarlas y evitar los riesgos que suponen en materia de ciberseguridad. 

Algunas de las vulnerabilidades habituales que pueden corregirse con el hacking ético y que son de las más utilizadas por los hackers para atacar sistemas son de inyección SQL, de desbordamientos de buffer o de Cross Site Scripting (XSS), entre otras.  

Reforzar los protocolos y políticas de ciberseguridad 

Otro de los fines que se persigue con el hacking ético es el de evaluar el grado de seguridad de los protocolos y políticas de ciberseguridad de las empresas. Con este tipo de acciones es posible descubrir si los protocolos son eficientes y si las políticas de seguridad se están cumpliendo de forma correcta. 

Con el hacking ético se puede evaluar si la política de ciberseguridad de la empresa es correcta y si los usuarios la están siguiendo de forma adecuada. Estos aspectos son parte esencial para poder garantizar un nivel alto de ciberseguridad. 

Aporta valor a la ciberseguridad 

Muchos empresarios, directivos y responsables de departamento no son capaces de ver o dar el valor que realmente tiene la ciberseguridad en su empresa hasta que son víctimas de un ciberataque que ponga en riesgo la integridad de los datos o interfiera en el funcionamiento de sus sistemas. 

Con el hacking ético se puede dar valor a la ciberseguridad, ayudando a que las empresas sean conscientes de la importancia real que tiene la seguridad de sus sistemas y protocolos. Al ver de forma directa y real cómo existen debilidades y carencias en sus sistemas para protegerse ante ataques externos es más sencillo que entiendan la importancia de aplicar todas las medidas necesarias en ciberseguridad. 

Reducción de costos de inversión 

Al utilizar el hacking ético para poder evaluar la ciberseguridad de una empresa se podrán definir de forma eficiente las medidas necesarias para eliminar vulnerabilidades e implementar las herramientas y sistemas de defensa que hagan al sistema más fuerte y seguro. De esta forma se evitarán inversiones en sistemas poco eficientes o que no responden a las necesidades reales en ciberseguridad de la empresa. 

El hacking ético es una forma de optimizar las inversiones necesarias que debe realizar una organización o empresa en materia de ciberseguridad. 

Conciencia empresarial en ciberseguridad 

Uno de los mayores riesgos a los que se enfrentan las empresas a la hora de recibir ataques maliciosos externos tiene su origen en los usuarios. Con el hacking ético se ayuda a crear una conciencia en ciberseguridad mostrando a los empleados la importancia de seguir los protocolos de seguridad y los riesgos reales de no cumplir con los mismos (no utilizar contraseñas seguras o abrir archivos adjuntos en correos no solicitados, por ejemplo). 

Si tiene alguna consulta en relación a esta temática, por favor no dude en contactarse con nosotros.

 

Departamento de Sistemas

Julio 2022

 

Este boletín informativo ha sido preparado por mgi Jebsen & Co. para información de clientes y amigos. Si bien ha sido confeccionado con el mayor cuidado y celo profesional, mgi Jebsen & Co. no asume responsabilidades por eventuales inexactitudes que este boletín pudiera presentar.