Mantén la calma con esta guía esencial de ethical hacking para startups y PyMEs
Ya no es una novedad. La ciberseguridad se está volviendo un requisito comercial y cada vez con más exigencias, como reportes de ethical hacking, mientras ocurren las transformaciones digitales.
Los corporativos y grandes empresas necesitarán asegurarse de hacer integraciones seguras con sus proveedores para no acarrear ningún riesgo o amenaza de su proveedor.
Probablemente te ha tocado: estás a punto de cerrar un acuerdo con un cliente, pero antes de hacerlo o te han preguntado “¿cada cuánto realizan ethical hacking?” O peor aún, “¿tienes tu último reporte de ethical hacking?”.
Ahí mismo te preguntarás ¿qué es exactamente un ethical hacking? ¿Basta con pasar un escáner de vulnerabilidades? ¿Cada cuánto debo hacerlos?
Tranquilo. En esta guía definitiva traemos las respuestas a todas tus dudas.
¿Qué es un pentesting o ethical hacking?
Un pentesting (también conocido como ethical hacking o pruebas de intrusión) son simulaciones de ciberataques a las aplicaciones, redes y sistemas de una empresa para encontrar y explotar sus vulnerabilidades.
Como te imaginarás, estos ataques se realizan con la previa autorización de la empresa (y varios contratos de por medio, por supuesto) y en un espacio delimitado que, generalmente, suele ser los ambientes de Producción y Staging.
Durante estos ejercicios, los expertos de la seguridad ofensiva y pentesting combinan diferentes métodos manuales y automatizados hasta poder vulnerar las tecnologías. Algunos de estos métodos pueden ser:
- Ingeniería social: las personas son siempre el eslabón más débil cuando hablamos de seguridad. Por este motivo, usarán distintas técnicas para manipular a un empleado, como campañas de e-mail, mensajes o enlaces maliciosos para conseguir información confidencial como contraseñas, usuarios, etc.
- Análisis de vulnerabilidades: consiste en usar un escáner automatizado (aunque también puede hacerse manualmente) para identificar, clasificar y priorizar las vulnerabilidades previsibles de una app. Estos análisis suelen poner en evidencia las brechas de nivel medio o bajo.
- Evaluación de vulnerabilidades: el escaneo de vulnerabilidades es simplemente el primer paso, ya que si este no detecta vulnerabilidades conocidas, el ingeniero de seguridad tendrá suficiente información del sistema para identificar vulnerabilidades potenciales después de esta prueba. Por lo tanto, en este paso evaluará (sin escáneres automatizados) si el sistema es susceptible a otras vulnerabilidades y les asignará niveles de gravedad. Estas evaluaciones son un proceso muy manual a diferencia del anterior ya que hay que pensar y planificar estrategias para sortear las capas de defensa de los sistemas.
El objetivo es buscar rutas de ataque para obtener o “robar” la información más crítica del negocio y conseguir información y accesos que antes no tenían. Recuerda que, después de todo, la idea es obtener información de las defensas de una empresa desde la perspectiva de un atacante.
Una vez que han finalizado las pruebas, los expertos emiten un reporte con todas las vulnerabilidades encontradas según su nivel de relevancia o riesgo (lo cual depende en gran parte del tipo de negocio) y con el detalle de cómo logró vulnerar cada parte. De esta forma, la empresa puede solucionarlas lo antes posible.
Debes saber que el ethical hacking o pentesting es un requisito para cumplir con normativas de seguridad de la información como ISO 27001, PCI DSS, SOC 2 y leyes o regulaciones como HIPAA, Ley Fintech de México y el Capítulo 20-10 (RAN) de Chile. De todas formas, más adelante hablaremos en profundidad sobre este tema.
Objetivos de ataque
Las pruebas pueden realizarse sobre diferentes sistemas, aunque los más comunes son:
- Aplicaciones: pueden ser WebApp o MobileApp. Aquí el objetivo será encontrar vulnerabilidades en los flujos de usuario, funcionalidades, componentes y conexiones de la aplicación, entre otros.
- Redes internas: en este caso, los ingenieros se posicionan desde dentro de la red para encontrar vulnerabilidades y moverse lateralmente hasta encontrar lo que se busca, por ejemplo, controlar los servidores y bases de datos.
- Redes externas: aquí tendrán visión de la red interna desde afuera y el objetivo será encontrar una vulnerabilidad que les permita ingresar a las redes internas, por ejemplo, buscando dispositivos que sean visibles al exterior de la empresa o dispositivos que están configurados con credenciales predeterminadas (el blanco más común).
- Personas: también conocido como “ingeniería social”, aquí el objetivo es manipular a los empleados de una empresa para que entreguen información confidencial a los atacantes. Generalmente, esto se hace con e-mails fraudulentos (phishing) o mensajes con enlaces maliciosos que infectan la computadora del empleado y les permite tomar el control de sus máquinas.
Tipos de ethical hacking
Hay tres formas de realizar un pentesting o ethical hacking.
White Box
También conocido como caja blanca, es un formato en el que los ingenieros de seguridad tienen acceso a toda la información del ambiente a probar. Esto incluye acceso a las aplicaciones, credenciales de los usuarios, diagramas de arquitectura, código fuente y un “tour” por las aplicaciones para que los ingenieros conozcan los flujos de usuario.
Black Box
También conocido como caja negra. En este formato los ingenieros no tienen acceso ni información de los sistemas a probar, en otras palabras, únicamente saben cuál es la empresa a la que deben probar. Esto implica que los ingenieros de seguridad deben realizar los ataques con poco o nulo conocimiento y descubrir todo por su cuenta.
Grey Box
También conocido como caja gris, es una mezcla de las anteriores. En este caso, la empresa le brinda al ingeniero una introducción general para mostrarle los flujos de usuario, casos de usos, componentes y funcionalidades que tiene la plataforma.
¿En qué se diferencian un pentesting y un escáner de vulnerabilidades?
Hay grandes diferencias con las herramientas automatizadas (como escáneres y herramientas de análisis de código): el pentesting o ethical hacking son ejecutados por un experto en seguridad que mezcla pruebas manuales y automatizadas para encontrar vulnerabilidades más allá del código de una aplicación, también buscan vulnerabilidades en las redes internas y externas, y en el factor humano.
Un pentesting es un proceso activo en el que se intenta romper un sistema explotando las vulnerabilidades descubiertas, mientras que el escaneo de vulnerabilidades revisa pasivamente un sistema en busca de problemas potenciales.
Básicamente es la diferencia entre: tocar el picaporte de tu casa para verificar si la puerta está cerrada (escáner de vulnerabilidades) y probar la resistencia de la cerradura, picaporte y material de la puerta con diferentes métodos y ataques (ethical hacking).
¿Con qué frecuencia debes hacer pruebas de intrusión o pentesting?
Tus clientes corporativos requerirán que cada año entregues reportes actualizados de las pruebas de intrusión, si no es que cada 6 meses. De esta forma podrán conocer a profundidad el nivel de seguridad de tus sistemas, redes, ambientes y aplicaciones.
Si tu intención es cumplir con los requerimientos de alguna regulación o normativa de seguridad, dependerá del caso.
| ISO 27001 | PCI DSS | SOC 2 | Ley Fintech de México | Capítulo 20-10 (RAN) | |
| Frecuencia | Anual | Anual | Anual | Semestral (Ley de Financiamiento Colectivo) Cada 2 años (Ley de Medios de Pago Electrónico) | No especificado (Anual recomendado) |
| Nivel de exigencia | Obligatoria | Obligatoria | Obligatoria | Obligatorio | Obligatorio |
¿Cuándo es momento de contratar un pentesting?
Si por el momento no buscas cumplir con ninguna normativa o regulación y eres una empresa pequeña o mediana, nuestra recomendación es que contrates un pentesting de forma anual.
Debes saber que lo ideal es realizarlas cada seis meses o cada vez que:
- Se hagan actualizaciones importantes de la infraestructura o las aplicaciones.
- Se apliquen nuevos e importantes parches de seguridad.
- Las políticas del usuario final se actualicen o modifiquen.
- Se lanzan nuevos productos digitales, como sitios web o servicios en la nube.
- Se establezcan nuevas oficinas.
Conclusión
El Ethical hacking (también conocido como pentesting o prueba de intrusión) es el ejercicio de simular el ataque de un ciberdelincuente a las aplicaciones, redes y sistemas de una empresa para encontrar y explotar vulnerabilidades.
El objetivo es reportar estas vulnerabilidades a la empresa que lo solicita para que puedan remediarlas y así su seguridad aumente.
Hay grandes diferencias con las herramientas automatizadas (como escáneres y herramientas de análisis de código): los pentesting o ethical hacking son ejecutados por un experto en seguridad que mezcla pruebas manuales y automatizadas para encontrar vulnerabilidades más allá del código de una aplicación, también buscan vulnerabilidades en las redes internas y externas, y en el factor humano.
Se trata de un ejercicio en el que el experto en seguridad pensará en cómo, desde la perspectiva de un cibercriminal, podría conseguir accesos e información que antes no tenía.
Principalmente, existen tres formas de realizar un ethical hacking o pentesting: White Box (le brindas toda la información y accesos posibles al experto), Black Box (no le brindas información alguna) o Grey Box (brindas información parcial, una introducción general a los sistemas a testear).
Si por el momento no buscas cumplir con ninguna normativa o regulación y eres una empresa pequeña o mediana, nuestra recomendación es que realices un pentesting de forma anual.
Ten en cuenta que lo ideal es realizarlo cada seis meses aunque esto depende en gran medida del dinamismo de tu empresa y de si el negocio suma nuevos productos, realizas grandes cambios en ellos o si quieres cumplir con una normativa o regulación específica (ver el cuadro de arriba).
