No se porque, ni donde vino la confusión de muchos términos a la hora de definir las evaluaciones de seguridad y muchas veces la gente confunde los términos y andan desorientados de lo que en realidad quieren para su empresa. Me ha pasado que me llaman por una Auditoria del Sistema y al final lo que desean es una prueba de sus controles atraves de un Hackeo Ético. La verdad no me quiero hacer el único todopoderoso "dueño de la verdad" pero el sentido práctico y el análisis que voy a realizar espero sirva para orientar a algunas personas,aún profesionales de estas áreas que no saben ni lo que están ofreciendo y que les permita ayudar a no confundir a sus clientes. El otro día me invitaron a un Seminario de Seguridad Informática y al final lo que hizo el instructor es mostrarnos una cátedra de Hacking Ético, obviamente hay muchas diferencias.
En primer lugar quiero definir las Categorías de Evaluación de Seguridad en las TIC las cuales las divido así:
1. Auditoría de Seguridad
2. Pruebas de Penetración o Intrusión
3. Evaluación de Vulnerabilidades
4. Hacking Ético
Las diferentes categorías mencionadas y que no precisamente son todas, ayudan a describir las amenazas e identificar las vulnerabilidades a las cuales los sistemas de TI de las empresas se encuentran sometidos. Una vez efectuado esto, se podrán tomar las medidas necesarias para contrarrestarlas.
Cabe destacar que cada organización es diferente, para lo cual utiliza distintos tipos o categorías de evaluaciones de seguridad para validar el nivel de seguridad de sus recursos de red. Entre estas categorías incluyen auditorías de seguridad, evaluaciones de vulnerabilidades, hacking ético y pruebas de penetración[1].
1. Auditoría de Seguridad
La Auditoría de Seguridad ayuda a evaluar la seguridad ayuda a evaluar la seguridad de los recursos de red de una organización mediante evaluación de qué tan bien se ajusta a una serie de normas establecidas.
2. Pruebas de Penetración
Las pruebas de penetración se refieren a la explotación de las vulnerabilidades que se encuentran presentes en los recursos de red de una organización. Las pruebas de penetración simulan los métodos que utilizan los intrusos para obtener acceso no autorizado a los sistemas de red de una organización. Las pruebas de penetración pueden pueden utilizar herramientas propietarias y/o de libre distribución para evaluar las vulnerabilidades técnicas dentro de los sistemas de red. Aparte de las técnicas automatizadas, las pruebas de penetración consisten además, en técnicas manuales para la realización de pruebas selectivas a sistemas específicos, para garantizar que no existen fallas de seguridad que pudieron no haber sido detectadas anteriormente. Asimismo, ayuda a determinar qué vulnerabilidades son explotables y el grado de exposición de información o de control de red que la organización podría esperar de un atacante si éste llegase a explotar la vulnerabilidad.
3. Evaluación de Vulnerabilidades
La vulnerabilidad es una debilidad potencial en la seguridad de una organización. Una falla puede existir, e incluso puede ser documentada, pero que aún, nadie ha sabido como explotarla.
Algunas de las vulnerabilidades, a pesar de poder ser explotadas, no producen suficiente daño a la información de las compañías, para lo cual el tiempo invertido para proteger los recursos no puede ser viable. Es por ello, que es necesario realizar una evaluación para así poder identificar las debilidades en las computadoras, redes, políticas, procedimientos, prácticas, etc. relativas a la organización y a la red de información y ver que contramedidas son necesarias para mitigar los daños que pueden ser ocasionados por algún ataque tecnológico.
La diferencia entre las pruebas de penetración y la evaluación de vulnerabilidades es que la primera intenta penetrar (atacar) el sistema mediante la explotación de las vulnerabilidades, en cambio la segunda, solo identifica las vulnerabilidades de seguridad sin comprometer al sistema.
4. Hacking Ético
Un Hacker es el neologismo que hace referencia a un experto en alguna disciplina relacionada con la informática o las telecomunicaciones. Un hacker no va ligado a lo ilegal, de hecho puede trabajar para una empresa testeando las vulnerabilidades de aplicaciones. [2]
Un proyecto de Hacking Ético consiste en una
penetración controlada en los sistemas informáticos de una empresa, de la misma
forma que lo haría un hacker o pirata informático pero de forma ética, previa
autorización por escrito. El resultado es un informe donde se identifican los
sistemas en los que se ha logrado penetrar y la información confidencial y/o
secreta conseguida. Cada proyecto se
estudia individualmente y se realiza una propuesta de servicios que puede
combinar diversos ámbitos de auditoría (interna, externa, de sistemas, de
aplicaciones web, etc) en función de las necesidades específicas de cada
cliente.[3]
Un hacker ético intenta responder a las siguientes preguntas:
• ¿Qué puede saber un
intruso de su objetivo?
• ¿Qué puede hacer un intruso con esa información?
• ¿Se podría detectar un
intento de ataque? [4]
El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Si un hacker ético
descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se
corresponden con unos protocolos estándar.[5]
En resumen, el hacking ético se define como la metodología que adoptan los hackers éticos para descubrir las vulnerabilidades existentes en los entornos operativos de los sistemas de información. Los hackers
éticos suelen emplear las mismas herramientas y técnicas que los atacantes,
pero sin dañar los sistemas de objetivo, y sin robar información, sino que
mantienen la integridad y la confidencialidad del sistema. Su trabajo consiste
en evaluar la seguridad de los objetivos, proveer información actualizada con
respecto a las vulnerabilidades descubiertas, y recomendar procedimientos de
mitigación adecuados.
Has comprendido la diferencia? Ayudame con tus comentarios.
[1] Fuente: Ec-council.
Licensed Penetration Tester. [en línea] (2010). [Fecha de consulta: 21 abril
2010.] Disponible en: <http://www.eccouncil.org/certification/licensed_penetration_tester.aspx>
[2] Fuente:
Techtear. Hacking Etico, aprende hackeando. [en
línea] (2007). Disponible en:
<http://www.techtear.com/2007/04/09/hacking-etico-aprende-hackeando/>
[3] Fuente: ESA
Security. Servicios > Hacking Ético. [en línea] (2006). [Fecha de consulta: 18 septiembre
2010.] Disponible en: <http://www.esa-security.com/web/servicios/hacking.htm>
[4] Fuente:
Nebrija Universidad. Hacking Etico. [en línea]
(2010). [Fecha de consulta: 18
septiembre 2010.] Disponible en:
<http://www.nebrija.es/~cmalagon/seguridad_informatica/transparencias/Modulo_0.pdf>
[5] Fuente:
Hacking Ético. La divulgación de las vulnerabilidades de un sistema. [en línea]
(2010). [Fecha de consulta: 18
septiembre 2010.] Disponible en:
<http://www.hackingetico.info/index.php?option=com_content&view=article&id=47:la-divulgacion-de-las-vulnerabilidades-de-un-sistema&catid=34:demo-category>
