¿Qué es y qué hace un Hacker ético?

Es un profesional dotado de habilidades para encontrar vulnerabilidades en los sistemas informáticos utilizando las mismas herramientas, metodologías y técnicas que un hacker malicioso. El objetivo del Hacker Ético es ayudar a la entidad (entendamos entidad como toda colectividad que puede considerarse como una unidad) a tomar medidas contra ataques maliciosos atacando al sistema mismo; todo dentro de límites legales.


Según lo anterior podemos entender que el objetivo fundamental del Hacking ético es encontrar las vulnerabilidades existentes en el sistema de "interés" (para el caso de un contrato, seria la entidad que nos a contactado) valiéndose de un test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y "demostrar" que un sistema es vulnerable, los datos que nosotros obtengamos sobre la seguridad de la entidad, en todos sus aspectos, nos puede dar una guía y las bases para ofrecer las medidas pertinentes que tiene que tomar.

Podemos concluir que el fin del Ethical Hacking consiste en la simulación de un modelo que reproduce intentos de acceso de un potencial intruso de manera controlada.

¿Cuáles son los beneficios de un Ethical hacking ?

El beneficio de un Ethical hacking es que al terminar su ejecución se entrega al contratante (o al contratista, según como se haya acordado) un reporte especificando los resultados que se obtuvieron, una lista detallada de las vulnerabilidades encontradas y verificadas. También dentro del reporte el hacker ético agrega un conjunto de recomendaciones y acciones a tomar para que los responsables de la seguridad apliquen con el fin de corregir los fallos.

Debemos que tener en cuenta (nosotros como profesionales en pentesting) lo rápido que avanzan las IT( o TICs) por ello los beneficios que obtiene una entidad al contratar un hacker etico son muchas y muy provechosas: Cuando la entidad toma la decisión de adoptar las nuevas tecnologías (que son muy necesarias ) como la computación en la nube, la virtualización, o la externalización de TI, se enfrenta a amenazas inminentes y deben ajustar sus procesos de seguridad, políticas y arquitecturas de forma consecuente.

El gran reto para las empresas es implementar de forma correcta políticas de seguridad que logren afrontar las cambiantes tácticas de piratería y las innumerables vulnerabilidades. Tales desafíos deben ser abordados por profesionales con amplia experiencia en análisis de vulnerabilidades e implementación de políticas en un organización.



TRIADA C.I.A:


- Confidentiality(confidencialidad): entendamos confidencialidad como la característica que asegura que los usuarios no tengan acceso a la información a menos que estén autorizados para ello.

- Integrity(integridad): esta característica nos señala que toda la modificación de la información es hecha por usuarios autorizados, por medio y en un lapso autorizado.

- Availability(disponibilidad): garantiza que los recursos del sistema y la información estén disponibles solo para usuarios autorizados y en el momento que lo necesiten.

(Pero también encontramos otros conceptos asociados a esta triada como son la identificación, autenticación y autorización)

¿Quiénes son los Ethical Hackers?



Por hacker ético podemos entender rápidamente a "hacker de sombrero blanco" o "white hat hacker" (este término proviene de la tipica denominación del color blanco y negro junto con la unión con las antiguas películas del viejo oeste, en donde el "bueno" siempre llevaba un sombrero blanco y el "malo" un sombrero negro, black hat hacker), también conocidos como Pen-Tester, como su nombre lo indica, realizan "Pruebas de Penetración", es un experto en las TICs o IT, su función es atacar los sistemas de seguridad en nombre de sus dueños con el fin de encontrar sus debilidades y protegerlas de un potencial hacker malicioso. Una de las certificaciones más comunes que avalan este tipo de conocimientos es CEH (Certified Ethical Hacker).


Fases que sigue un Ethical Hacker al hacer un pentest:

1. Pre-contrato
2. Recolección de información
3. Modelado de amenazas
4. Análisis de vulnerabilidades
5. Explotación
6. Post-explotación
7. Reporte

TIPOS DE PENTESTING

- Pruebas de penetración con objetivo: se buscan las vulnerabilidades en partes específicas de los sistemas informáticos críticos de la organización.

- Pruebas de penetración sin objetivo: consisten en examinar la totalidad de los componentes de los sistemas informáticos pertenecientes a la organización. Este tipo de pruebas suelen ser las más laboriosas pero las mas realista.

- Pruebas de penetración a ciegas: en estas pruebas sólo se emplea la información pública disponible sobre la organización (también se puede considerar Trashing "nada se destruya, se transforma").

- Pruebas de penetración informadas: aquí se utiliza la información privada, otorgada por la organización acerca de sus sistemas informáticos. En este tipo de pruebas se trata de simular ataques realizados por individuos internos de la organización que tienen determinado acceso a información privilegiada.

- Pruebas de penetración externas: son realizas desde lugares externos a las instalaciones de la organización. Su objetivo es evaluar los mecanismos perimetrales de seguridad informática de la organización ( La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles).

- Pruebas de penetración internas: son realizadas dentro de las instalaciones de la organización con el objetivo de evaluar las políticas y mecanismos internos de seguridad de la organización.

fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta