Sin el hacking ético, las vulnerabilidades de los sistemas de grandes empresas no llegarían a conocerse. Los hackers éticos no buscan saquearte y dejarte en la ruina, si no descubrir en qué fallan los sistemas de seguridad de tu empresa o de cualquier institución. En este post, trataremos de explicarte un poco más acerca de esto.
Hacking ético
La detección de vulnerabilidades en los sistemas informáticos es básica y cada vez más importante. Si las contramedidas caen o existe un error catastrófico sin detectar, las consecuencias serán desastrosas. La actividad del hacker ético consiste en detectar las vulnerabilidades y repararlas, así se evita que sean explotadas con fines delictivos.
Estos profesionales son contratados por las grandes compañías, que tienen mucho que perder ante cualquier fallo. Quienes se dedican a esta labor son expertos en penetración de sistemas informáticos, aunque, por suerte, trabajan para para subsanarlos y no para aprovecharse de ellos. Fortalecen los sistemas aumentando su seguridad e impidiendo que los ciberdelincuentes accedan a ellos. Los hacker éticos también son conocidos por el nombre de hacker de sombrero blanco.
Identificar vulnerabilidades es vital para las empresas
La seguridad informática lo es todo en un mundo tan conectado como el presente, tanto que ya es habitual ver en las noticias este tipo de ciberdelitos a grandes empresas, instituciones o incluso a famosos. Como ya has podido leer, estos hackers identifican las vulnerabilidades de los sistemas informáticos y las subsanan. Esto permite a las compañías ir un paso por delante y desarrollar las contramedidas necesarias.
Una vulnerabilidad hace referencia a cualquier debilidad o fallo del sistema, que queda expuesto a ataques externos. Para que te hagas una idea, son como agujeros dentro de una pared que permiten ver el interior del edificio y que sirven de antesala a un robo, ya que van a ser forzados para acceder al interior. Fallos de diseño, procedimientos rudimentarios, errores en la configuración o una falta de actualización son algunos de los agujeros más comunes.
Las vulnerabilidades pueden ser explotadas por agentes externos si son encontradas. Aunque creas que es prácticamente imposible descubrirlas, la realidad demuestra que sí lo es y que siempre habrá alguien dispuesto a buscarlas, sobre todo, si la recompensa es muy alta.
En VIEWNEXT realizamos este tipo de pruebas con nuestro equipo de hacking ético para detectar vulnerabilidades en las aplicaciones, tanto móviles como web. Si quieres saber más, te aconsejamos leas el post «Hacking ético en aplicaciones móviles y web» de nuestra compañera Verónica Blasco, Test Manager en Viewnext.
Tipos de hackers
En los círculos sobre ciberseguridad se hace referencia a tres tipos de hackers: los sombreros negros, grises y blancos. Estos últimos ya los conoces. Dedican sus actividades a proteger los sistemas informáticos de ataques externos, que suelen ser realizados por los otros dos grupos.
Los sombreros negros son, como te puedes imaginar, los hackers que actúan movidos por sus propios intereses. No hay ética o moral detrás de sus actividades. Quizá busquen ganar una buena cantidad de dinero atacando una gran empresa o solo quieren una venganza por un despido; incluso los hay que actúan por el mero hecho de causar daños, que llegan a ser millonarios en algunos casos.
El último tipo, el de los sombreros grises, es el más complejo de definir. Sus acciones se encuentran en un punto intermedio entre las realizadas por los otros dos. Cometen actos ilegales, pero con buenas intenciones. Son, salvando las distancias, una versión radical de los sombreros blancos, que puede que se aprovechen de una brecha para entrar en un sistema, pero sin causar daño ni dar aviso a la empresa.
Ingeniería social
Se puede pensar que en algunas ocasiones estos hacker éticos puedan llegar a realizar actividades no autorizadas para conseguir forzar los sistemas de seguridad, pero nada que ver con la realidad. Por regla general, antes de efectuar cualquier acción la empresa autoriza las acciones necesarias para poner a prueba su seguridad, asegurando así cualquier contratiempo e ilegalidad que puedan causarse. Por ejemplo, un método recurrente es el de la ingeniería social, a través de contactos con determinadas personas es posible obtener información vital que luego se usa para lograr eliminar las defensas de un sistema informático. Este método se basa en la premisa de «es más facil manejar a las personas que a las máquinas».
Uno de los métodos de ingeniería social más conocidos y efectivos para los ciberdelicuentes son los ataques phising. A través de una campaña masiva de emails, y bajo la máscara de una compañía o entidad de la que el usuario es cliente o trabajador, se solicitan las claves por distintos problemas, como un impago de una factura, un problema de seguridad de la plataforma o simplemente para evitar la baja de un servicio como Netflix. Una vez con las claves, los usuarios ya pueden utilizarlas para hacer lo que se propongan. Pero el mayor problema de esto no es sólo que tengan acceso a tu cuenta de Netflix, sino que ese mismo usuario y contraseña, puedan ser probados rápidamente para conseguir tu cuenta de gmail… ¿Utilizas tu contraseña de gmail para otras cuentas?. Si respondes si…estás perdido.
Este tipo de ataques, ya son simulados en empresas de forma controlada con sus trabajadores, para ver el nivel de riesgo y cultura de ciberseguridad tienen las empresas, y según ello realizar formaciones para asegurar a través de estos sus sistemas.
A modo de anécdota, el Pentágono fue atacado con un virus a través de un simple pendrive, que fue encontrado por un trabajador en la calle. Después de realizar las investigaciones necesarias las autoridades llegaron a la conclusión de que un agente extranjero lo había dejado allí… y esto ocurrió en 2008.
Como conclusión, el hacking ético garantiza la seguridad de los sistemas y aplicaciones informáticas. Como has podido ver, la actividad de estos expertos en ciberseguridad permite descubrir y subsanar los fallos de los sistemas de una empresa.
Si quieres conocer más sobre el hacking ético y otras actividades que permitan securizar los sistemas y aplicaciones de su empresa, póngase en contacto con nosotros.
