El hacking es hacking. El hacking es pasión, inquietud, conocimiento, no conformarse. El hacking es lo que queremos para los jóvenes: que no se conformen, que no pierdan el interés por cómo funciona el sistema, sea cual sea éste, que quieran conocer, que tengan pasión por el conocimiento. El hacking es un motor.
Desde hace muchos años le añadimos la palabra ético para indicar que los conocimientos serán utilizados para hacer el bien, para ayudar, para mejorar. Si los conocimientos se utilizasen para hacer el mal, no hablaríamos de hacking, hablaríamos de delincuencia, sin más.
Las empresas necesitan medir cómo de eficientes y eficaces son sus controles de seguridad, por ello aplican diferentes herramientas y procesos. Hay que entender que las empresas necesitan conocer si deben invertir más en seguridad, mejorar lo que tienen o, directamente, implementar soluciones que no disponen. La seguridad es un proceso cíclico en el que se debe tener en cuenta que la tecnología avanza rápido, muy rápido. Debido a esto, las vulnerabilidades, las amenazas, los riesgos evolucionan, aparecen y ponen en jaque a muchas organizaciones. Gracias a la gestión de la seguridad en las organizaciones se puede ir controlando todo lo referente a estos riesgos que amenazan a las empresas.
Dentro de esta gestión se utilizan diferentes herramientas. Una de estas herramientas es el hacking ético. El hacking ético es el conjunto de pruebas que permitirá evaluar la seguridad en diferentes aspectos y entornos de la organización. Las pruebas varían mucho dentro del hacking ético, pero todas tienen en común la identificación de aspectos que están fallando dentro de la organización y que dichos fallos pueden provocar que un atacante pueda aprovecharse y sacar un beneficio.
Para muchos lectores, el hacking ético puede ser una película dónde hay un bando que son los buenos y un bando que son los malos, los cuales son simulados por los profesionales del sector. En realidad, ambos bandos están en el mismo equipo en el de llevar a cabo sus acciones con el objetivo de proteger la información de la empresa. Es más, la parte defensiva y la parte ofensiva trabajarán juntas en algún momento para mejorar la seguridad de la organización.
¿Y qué pruebas se hacen en esta “película”? Las pruebas son muy diferentes. ¿Auditorías? ¿Pentesting o test de intrusión? ¿Pruebas de concienciación? ¿Simulación DDoS? ¿Simulación de una fuga de información? Sí, la verdad es que las pruebas son muy diferentes, pero, ¿Qué son estas pruebas? Lo primero es que el hacking ético y sus pruebas son algo dinámico, ya que dependerá de la tecnología emergente, de las amenazas nuevas, de los riesgos asociados que van apareciendo a los nuevos sistemas de los que consta la infraestructura de una organización.
Las auditorías pretenden identificar el máximo de vulnerabilidades sobre sistemas fundamentales para que la organización lleve a cabo su actividad. Por ejemplo, una auditoría sobre los recursos web de la empresa permite obtener información sobre el estado de éstos, permitiendo tomar decisiones sobre las mejoras o inversiones que se necesitan. Las auditorías se llevan a cabo sobre diferentes ámbitos: las páginas web, los servicios internos, el servidor de correo electrónico, sobre cualquier servicio que sea importante para la actividad de la organización.
El test de intrusión es una simulación de un ataque para verificar que la empresa tiene las medidas adecuadas para lograr evitar dicho ataque. El objetivo es alcanzar unos elementos que se marcan a priori. Si el pentester tiene éxito, la empresa entenderá que tiene caminos por los que un atacante pueda alcanzar datos importantes y hacer un gran daño. Como se puede entender, este tipo de pruebas aportan un gran valor a la organización.
La prueba de concienciación permite probar cuál es el nivel de conocimiento de los empleados ante una amenaza que se vuelve “real”. La empresa quiere validar si sus empleados están concienciados y conocen las políticas internas de seguridad para detectar y actuar en caso de una amenaza. ¿Qué ocurre con los empleados que caen en este tipo de pruebas? Realmente, podrían poner en riesgo la seguridad de la organización, por lo que deben pasar por charlas y formaciones dónde se les explique qué deben hacer ante ciertas situaciones.
Y como si llegásemos al final de la película de la tarde, tenemos el producto de todo el trabajo técnico: el informe. La visión de cómo está la organización. De lo que necesita la organización. Es algo fundamental. Es algo sobre lo que los profesionales ponen el “mimo” adecuado, ya que es la presentación de su trabajo. El trabajo realizado que permitirá a la organización tomar decisiones sobre el camino que deben llevar en esto llamado: ciberseguridad.