¿Qué es el hacking ético?

Conceptos clave, cómo funciona y por qué es importante

Blog ¿Qué es el hacking ético?

| 11 min de lectura

Contáctanos

Como ya sabrás, Fluid Attacks es una empresa especializada en hacking ético. Somos un gran red team, un equipo de seguridad ofensivo con la misión de detectar vulnerabilidades de seguridad en sistemas informáticos. Como hace poco nos dimos cuenta de que no teníamos un artículo de blog informativo e introductorio sobre lo que es el hacking ético, decidimos crearlo. Este artículo está dirigido principalmente a quienes se inician en el tema y desean contar con una introducción. Está basado parcialmente en un reciente taller impartido por nuestro Vicepresidente de Hacking Andres Roldan, a un grupo de periodistas.

Conceptos clave del hacking ético

¿Qué es la ciberseguridad?

Se calcula que casi cinco mil millones de personas utilizan actualmente la Internet, lo que corresponde a cerca del 63% de la población mundial. Además, alrededor del 92% de estos usuarios, en algún momento, prácticamente desde cualquier lugar, tienen acceso a la red a través de dispositivos móviles. No cabe duda de que nos encontramos en un mundo digital altamente conectado en el que, al igual que en la realidad " material ", las amenazas existen desde el primer momento. Frente a las amenazas constantes, la ciberseguridad se ha hecho necesaria. Gartner, parcialmente acertado, define este término como "la combinación de personas, políticas, procesos y tecnologías empleadas por una empresa para proteger sus activos cibernéticos". (Digo "parcialmente" porque también es cierto que, como usuario individual, se puede acceder a la ciberseguridad). Pero, ¿contra qué deben protegerse los ciberactivos? —Ciberataques.

¿Qué son los ciberataques?

Son asaltos llevados a cabo por ciberdelincuentes que atacan uno o varios sistemas informáticos desde uno o varios computadores. Los ciberataques pueden desactivar los sistemas de las víctimas, robar sus datos o utilizarlos como puntos de partida para otros asaltos. Según un informe de seguridad de IBM, entre los principales tipos de ciberataques (tácticas) del año pasado figuran los siguientes: ransomware, acceso no autorizado a servidores, amenaza a correos electrónicos empresariales, robo de datos y captura de credenciales. Y entre las técnicas más utilizadas para lograr estos objetivos se encuentran las siguientes: phishing, explotación de vulnerabilidades, robo de credenciales, fuerza bruta y acceso remoto.

¿Qué es hacking?

Los ciberataques pueden considerarse una parte del hacking, el cual es principalmente el proceso de identificar y explotar problemas de seguridad en los sistemas para lograr acceder a ellos sin autorización. Esta actividad la llevan a cabo los hackers, quienes suelen dividirse en dos tipos o grupos.

¿Cuáles son los tipos de hackers?

Muchos de los ciberdelincuentes que perpetran los asaltos son los llamados hackers maliciosos, actores de amenazas o hackers de sombrero negro. Entre sus principales motivaciones está la idea de obtener alguna recompensa económica. También pueden atacar simplemente para expresar su desacuerdo con las decisiones de gobiernos o empresas. Además, hay ataques derivados del simple deseo de los hackers de asumir riesgos y lograr reconocimiento en determinados grupos de personas. A veces, los ciberdelincuentes son incluso contratados por empresas deshonestas para arruinar proyectos y afectar la reputación de sus rivales. Algo parecido ocurre entre gobiernos (p. ej., la ciberguerra entre Rusia y Ucrania). (Si quieres saber más sobre cómo piensan los hackers, lee este artículo del blog.) En todo caso, en un universo en el que podemos experimentar montones de estímulos contrarios, es de esperar que haya sombreros blancos si hay sombreros negros. Es decir, si hay hackers maliciosos, también hay hackers éticos.

¿Qué es un hacker ético?

Un hacker ético o hacker de sombrero blanco es un experto en ciberseguridad ofensiva que ejecuta ciberataques principalmente a favor de la seguridad de los demás. Si todavía tiene en mente la pregunta ¿En qué se diferencian los hackers éticos de los hackers maliciosos?, te invitamos a leer nuestro artículo “Ética del hacking. Allí explicamos cómo ambos grupos pueden compartir cualidades como la curiosidad, la astucia y la paciencia, pero son muy diferentes cuando se trata de sus propósitos y los efectos o consecuencias de sus acciones.

¿Cómo convertirse en un hacker ético?

Ya tenemos un artículo en el blog en el que respondemos a esta pregunta. Allí te contamos sobre las habilidades técnicas y no técnicas que deberías poseer para ser un hacker ético y sobre las certificaciones que deberías obtener para mejorar tus competencias y reconocimiento.

Definición de hacking ético

El hacking ético es quizás la mejor manera de hacer frente al hacking malicioso. Los hackers éticos examinan y atacan sistemas para descubrir, y a veces explotar, sus vulnerabilidades copiando las tácticas, técnicas y procedimientos de los actores de amenazas. La gran diferencia es que el ataque se efectúa con el consentimiento del propietario del sistema, quien será responsable de remediar las vulnerabilidades de seguridad notificadas. El hacking ético es, por tanto, una metodología de evaluación de sistemas informáticos en la que las pruebas pretenden simular con la mayor precisión posible los métodos de ataque de los ciberdelincuentes, pero no para hacer daño, sino para permitir a las organizaciones superar sus debilidades y optimizar su protección de operaciones y activos.

Empieza ya con la solución Hacking Ético de Fluid Attacks

En el hacking ético, los expertos deben mantenerse al día sobre la existencia y el uso de herramientas de hacking, así como sobre las tendencias de ataque utilizadas por los adversarios. En sus informes, los hackers éticos proporcionan información sobre las vulnerabilidades identificadas, incluyendo su grado de criticidad. Para ello siguen marcos públicos como CVE Y CVSS. También aportan pruebas de la explotación de vulnerabilidades y de qué activos de información pueden verse comprometidos en un ataque. Más allá de encontrar vulnerabilidades conocidas, los hackers éticos también pueden realizar investigaciones para descubrir y registrar vulnerabilidades de día cero, es decir, nuevas amenazas desconocidas hasta el momento.

Hacking ético vs. pentesting

El hacking ético es un concepto bastante amplio que, aunque a menudo se utiliza indistintamente con términos como pentesting y red teaming, sería más exacto decir que engloba ambas metodologías. Vamos a aclarar esto.

Hemos dicho una y otra vez que las pruebas de penetración son un tipo de pruebas de seguridad en las que la intervención humana es esencial. (A pesar de que muchos proveedores afirman que realizan un tipo de "pentesting automatizado".) Las personas capacitadas para realizar pentesting, es decir, para comprender la infraestructura y la funcionalidad de distintos sistemas informáticos, reconocer y detectar sus vulnerabilidades de seguridad y, si es necesario, aprovecharlas para proporcionar muestras tangibles de posibles impactos, pueden ser identificadas como hackers. Por lo tanto, un hacker ético que hace pentesting está haciendo hacking ético.

Lo que a veces sugieren algunas personas como diferencia entre el hacking ético y las pruebas de penetración es la amplitud del alcance de sus pruebas. Se dice que el pentesting está más orientado a evaluar sistemas específicos con métodos predefinidos para verificar que cumplen con requisitos de estándares de seguridad para determinados activos, mientras que el hacking ético tiene como objetivo una cobertura más amplia, y sus métodos pueden no estar predefinidos. (Esto es similar a la comparación que ya hicimos entre red teaming y pentesting). Sin embargo, ambos procedimientos son tareas realizadas por hackers éticos. Así que, volviendo a la afirmación inicial, ambos pueden considerarse hacking ético. En definitiva, el pentesting es una forma de hacking ético.

Tipos de hacking ético

Entonces, en relación con el apartado anterior, es curioso encontrar en internet que algunas compañías o medios de comunicación nos dicen que los tipos de hacking ético varían según los sistemas que se pretendan evaluar (p. ej., aplicaciones web, redes, IoT). ¿No es esto lo que debería hacerse en su lugar para separar los tipos de pentesting (procedimiento enfocado en sistemas específicos)? De hecho, eso es algo que ya hizo Chavarría en otro de los artículos de nuestro blog. (Si quieres entender la diferencia entre pentesting blanco, gris y negro, lee este artículo.) Aquí, podemos decir que entre los tipos de hacking ético, podríamos incluir las pruebas de penetración y el red teaming, pero la intención es no enredar las cosas.

5 fases del hacking ético

Para que se lleve a cabo el proceso de hacking ético, el propietario de los sistemas debe definir y aprobar previamente una superficie de ataque y un objetivo de evaluación (es decir, una parte o la totalidad de la superficie de ataque). Los objetivos pueden ser aplicaciones web o móviles, APIs y microservicios, clientes robustos, infraestructura en la nube, redes y hosts, dispositivos IoT y tecnología operativa. La metodología de hacking ético comúnmente utilizada puede dividirse en fases de reconocimiento, enumeración, análisis, explotación y reporte.

  1. Fase de reconocimiento: En la fase de reconocimiento pasivo, los hackers éticos recopilan información de fuentes externas sin interactuar directamente con el objetivo. Emplean, por ejemplo, técnicas de recopilación de Open Source Intelligence (es decir, información disponible públicamente) Pueden recurrir a buscadores web comunes como Google y Bing para descubrir detalles relevantes sobre el objetivo. Debido a las características de esta fase, hay pocas posibilidades de que los hackers sean detectados.

    En la fase de reconocimiento activo, los hackers éticos ya tienen contacto directo con el objetivo. Identifican fuentes de información y tecnología pertenecientes a la organización propietaria del sistema en evaluación. Interactúan con los servicios, sistemas e incluso personal de la organización para recoger datos y definir vectores de ataque. Las posibilidades de que los hackers sean descubiertos aumentan considerablemente si comparamos esta fase con la anterior.

  2. Fase de enumeración: En esta fase, los hackers éticos se proponen bosquejar el estado de seguridad del objetivo y prepararse para el ataque. Identifican sus puntos fuertes y débiles y comienzan a prever los posibles impactos que pueden derivarse del asalto. Según las características particulares del objetivo, los hackers preparan un arsenal especial para él.

  3. Fase de análisis: En esta fase, los hackers éticos se encargan de determinar el impacto exacto de atacar cada una de las vulnerabilidades que han identificado. Evalúan cada escenario y vector de ataque, así como las dificultades de explotación. Tienen en cuenta el daño a la integridad, confidencialidad y disponibilidad del objetivo en cada caso. Además, los hackers examinan el posible impacto en los sistemas cercanos al objetivo.

  4. Fase de explotación: Según Roldán, es en esta fase donde el hacking ético se diferencia del funcionamiento de las herramientas automatizadas de pruebas de seguridad. La herramienta se limita a identificar vulnerabilidades, mientras que el hacker ético pretende explotarlas para alcanzar objetivos de alto valor dentro de su objetivo de evaluación. De este modo, los hackers pueden identificar los efectos reales que un ciberdelincuente podría conseguir explotando estas vulnerabilidades.

  5. Fase de reporte: Una vez finalizada la explotación, los hackers éticos tienen que presentar los resultados a todas las partes interesadas. Uno de los entregables de los hackers es un resumen ejecutivo, gracias al cual los directivos de la organización propietaria del objetivo pueden comprender fácilmente los riesgos identificados. A partir de este informe, pueden gestionar los procesos para mitigar los riesgos. Otro entregable es un resumen técnico para que los desarrolladores u otros profesionales puedan comprender en detalle cada vulnerabilidad y proceder a su remediación.

Herramientas de hacking ético

En nuestro artículo principal sobre red teaming, ya habíamos proporcionado una lista de 23 herramientas utilizadas por los hackers para las diferentes fases de esa forma de evaluación, la cual, como dijimos, puede ser vista como un tipo de hacking ético. Ya que puedes acceder a esa lista, en este caso, queremos complementarla con algunas otras herramientas utilizadas por nuestros hackers éticos en nuestro plan Advanced de Hacking Continuo.

  • Amass: Amass es un proyecto OWASP para realizar mapeos de red de superficies de ataque y encontrar activos externos.
  • Apktool: Apktool es una herramienta de código abierto para realizar ingeniería inversa en archivos APK (Android Package Kit).
  • bettercap: bettercap es una herramienta de código abierto para realizar reconocimientos y atacar redes WiFi y Ethernet, dispositivos inalámbricos HID (dispositivos de interfaz humana) y dispositivos BLE (Bluetooth Low Energy).
  • Ciphey: Ciphey es una herramienta automatizada de código abierto para descifrar cifrados (sin conocer las claves), decodificar codificaciones y descifrar hashes.
  • Covenant: Covenant es un marco colaborativo de mando y control .NET para destacar las superficies de ataque y facilitar el uso de técnicas ofensivas.
  • DNSRecon: DNSRecon es una herramienta de código abierto para el reconocimiento de dominios.
  • Frida: Frida es un conjunto de herramientas de instrumentación dinámica de código abierto que se utiliza a menudo para comprender el comportamiento interno y las comunicaciones de red de las aplicaciones móviles.
  • Fuff: Fuff ("fuzz faster u fool") es una herramienta de código abierto escrita en Go para realizar fuzzing (es decir, enviar automáticamente datos aleatorios a una aplicación para encontrar errores o comportamientos inesperados).
  • Ghidra: Ghidra es un marco de código abierto de ingeniería inversa de software desarrollado por la National Security Agency Research Directorate.
  • Gitleaks: Gitleaks es una herramienta SAST de código abierto para escanear repositorios, archivos y directorios Git y detectar secretos codificados.
  • Hopper: Hopper es una herramienta de ingeniería inversa para Mac y Linux que permite desensamblar, descompilar y depurar aplicaciones.
  • HTTP Toolkit: HTTP Toolkit es una herramienta de código abierto para interceptar, inspeccionar y reescribir tráfico HTTP(S).
  • Hydra: Hydra es una herramienta paralela de código abierto para descifrar contraseñas (con “fuerza bruta”) que admite varios protocolos de ataque.
  • Interactsh: Interactsh es una herramienta de código abierto para detectar interacciones fuera de banda o vulnerabilidades que causan interacciones externas.
  • JMeter: Apache JMeter es una herramienta de código abierto para realizar pruebas de carga y analizar y medir el rendimiento de aplicaciones y servicios.
  • John the Ripper: John the Ripper es una herramienta de código abierto para descifrar contraseñas que soporta múltiples tipos de hash y cifrado.
  • MobSF: MobSF (Mobile Security Framework) es una herramienta automatizada de código abierto para realizar análisis estáticos y dinámicos en aplicaciones móviles.
  • Pacu: Pacu es un marco de explotación de código abierto para evaluar la seguridad de los entornos de Amazon Web Services (AWS).
  • ZAP: ZAP (Zed Attack Proxy) es una herramienta de código abierto para detectar automáticamente vulnerabilidades de seguridad en aplicaciones web.

La importancia del hacking ético

Aunque la importancia del hacking ético puede que ya te resulte evidente por lo que hemos comentado hasta ahora, podemos dejarla mucho más clara mostrando algunos beneficios específicos que esta metodología de pruebas de seguridad puede aportar a tu organización.

Beneficios del hacking ético

  • El esfuerzo de los hackers éticos permite un acercamiento significativo a la realidad. Ellos simulan con precisión lo que los hackers de sombrero negro o actores de amenazas pueden hacer contra tus sistemas (incluso utilizando técnicas como la ingeniería social). Esto implica el descubrimiento detallado de diferentes debilidades, vulnerabilidades o puntos de entrada que los ciberdelincuentes podrían explotar, y que deben remediarse lo antes posible.

  • Los hackers éticos no solo revelan la ubicación del problema de seguridad, sino que también pueden proporcionarte evidencia precisa de cómo podría explotarse y qué impacto tendría en tus operaciones, activos o información sensible.

  • El hacking ético suele tener un alcance de detección de vulnerabilidades más amplio que el escaneo de vulnerabilidades. Los hackers pueden analizar la lógica empresarial y correlacionar vulnerabilidades para identificar problemas de seguridad complejos y graves.

  • Los hackers éticos también pueden contribuir con su experiencia en ciberseguridad para revisar y verificar los informes de herramientas automatizadas, las cuales a menudo pueden enviar falsos positivos.

  • Cuando el hacking ético es una actividad continua paralela al desarrollo de software de tu organización, tus equipos pueden recibir reportes oportunos que ayudan a mejorar las tasas de remediación de vulnerabilidades, reducir gastos y desplegar productos seguros sin retrasos a los usuarios finales.

¿Cuáles son algunas limitaciones del hacking ético?

La limitación más notable del hacking ético es la velocidad. Los hackers, por muy experimentados que sean, no trabajan al ritmo de una máquina automatizada o un escáner. Aunque las pruebas de seguridad apoyadas únicamente en herramientas automatizadas no son hacking ético, un enfoque integral de hacking ético, como el que ofrecemos en Fluid Attacks, puede implicar la intervención conjunta de humanos y escáneres. Esto permite aprovechar la rapidez de la tecnología para detectar vulnerabilidades conocidas y la astucia y precisión de los hackers para identificar problemas de seguridad más complejos, riesgosos e incluso desconocidos hasta el momento.

¿Para quién es recomendable el hacking ético?

Las entidades financieras son las que más contratan los servicios de empresas de hacking ético, debido principalmente a las regulaciones que lo exigen. Sin embargo, es recomendable que cualquier organización con presencia en la Internet o que desarrolle productos digitales ponga a prueba la seguridad de sus sistemas con hacking ético, con el fin de evitar que se produzcan ciberataques exitosos contra ellos.

Sigue este enlace si tú y tu empresa están interesados en conocer detalles sobre la solución Hacking Ético de Fluid Attacks. Pero si lo que te gustaría es llevar un sombrero blanco y ser un hacker ético en nuestro red team, sigue este otro. Para más detalles sobre cada caso, no dudes en contactarnos.

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Jasmin Egger en Unsplash

Si tu capa esencial de seguridad es vulnerable, estás frito

Foto por Christian Wiediger en Unsplash

La necesidad de mejorar la seguridad en el sector fintech

FOto por Claudio Schwarz en Unsplash

¿Es tu servicio financiero tan seguro como crees?

Foto por mitchell kavan en Unsplash

Poniendo en práctica el modelo zero trust

Foto por Brian Kelly en Unsplash

Te necesitamos, pero no podemos darte dinero

Foto por Sean Pollock en Unsplash

Los robos de datos que dejaron su huella para siempre

Foto por Roy Muz en Unsplash

Lecciones aprendidas de los cisnes negros

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Hackeando software durante más de 20 años

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.