La piratería informática ética corresponde al uso de técnicas de piratería informática por parte de partes de confianza para intentar descubrir, comprender y corregir vulnerabilidades de seguridad en una red o sistema informático. Los hackers éticos tienen las mismas habilidades y utilizan las mismas herramientas y tácticas que los hackers maliciosos, pero su objetivo siempre es mejorar la seguridad de la red sin dañar la red ni sus usuarios.
En muchos sentidos, la piratería informática ética es como un ensayo para los ciberataques del mundo real. Las organizaciones contratan hackers éticos para lanzar ataques simulados en sus redes informáticas. Durante estos ataques, los hackers éticos demuestran cómo los ciberdelincuentes reales podrían dividirse en una red, y lo que podrían o probablemente harían una vez dentro. Los analistas de seguridad de la organización pueden utilizar esta información para eliminar vulnerabilidades, reforzar sistemas de seguridad y proteger datos confidenciales.
Los términos "piratería informática ética" y "pruebas de penetración" a veces se utilizan indistintamente. Sin embargo, las pruebas de penetración (que se analizan a continuación) son solo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden realizar evaluaciones de vulnerabilidades, análisis de malware y otros servicios de seguridad de la información.
Los hackers éticos siguen un estricto código de ética para garantizar que sus acciones ayuden a las empresas en lugar de perjudicarlas. Muchas organizaciones que forman o certifican a hackers éticos, como el International Council of E-Commerce Consultants (EC Council), publican su propio código ético formal por escrito. Aunque la ética declarada puede variar de un hacker a otro y de una organización a otra, las directrices generales son:
- Los hackers éticos obtienen permiso de las empresas que piratean: los hackers éticos son empleados o socios de las organizaciones que piratean. Trabajan con las empresas para definir el alcance de sus actividades, incluido cuándo puede tener lugar el pirateo, qué sistemas y activos pueden probar los piratas y qué métodos pueden utilizar.
Los hackers éticos no causan ningún daño: los piratas informáticos éticos no causan ningún daño real a los sistemas que piratean ni roban los datos confidenciales que encuentran. Cuando los sombreros blancos piratean una red, sólo lo hacen para demostrar lo que podrían hacer los verdaderos ciberdelincuentes.
Los hackers éticos mantienen la confidencialidad de sus hallazgos: Los hackers éticos comparten la información que recopilan sobre vulnerabilidades y sistemas de seguridad con la empresa, y solo con la empresa. También ayudan a la empresa a utilizar estos hallazgos para mejorar las defensas de la red.
Los hackers éticos trabajan dentro de los límites de la ley: Los hackers éticos solo utilizan métodos legales para evaluar la seguridad de la información. No se asocian con sombreros negros ni participan en ataques maliciosos.
En relación con este código de ética, hay otros dos tipos de hackers.
Hackers absolutamente maliciosos
A veces denominados "hackers de sombrero negro", los piratas informáticos malintencionados cometen delitos cibernéticos para beneficio personal, ciberterrorismo o alguna otra causa. Abordan los sistemas informáticos para robar información confidencial, robar fondos o interrumpir operaciones.
Hackers éticos poco éticos
A veces denominados "hackers de sombrero gris" (o mal escritos como "hackers de sombrero gris"), estos hackers utilizan métodos poco éticos o incluso trabajan al margen de la ley con fines éticos. Entre los ejemplos se incluyen atacar una red o un sistema de información sin permiso para probar un ataque, o aprovechar públicamente una vulnerabilidad de software que los proveedores trabajarán en una solución. Aunque estos hackers tienen buenas intenciones, sus acciones también pueden alertar a los atacantes malintencionados sobre nuevos vectores de ataque.
La piratería informática ética es una carrera profesional legítima. La mayoría de los hackers éticos tienen una licenciatura en ciencia informática, seguridad de la información o un campo relacionado. Suelen conocer lenguajes comunes de programación y scripting como Python y SQL. Son expertos - y continúan formándose - en las mismas herramientas y metodologías de piratería informática que los hackers malintencionados, incluidas herramientas de escaneado de redes como Nmap, plataformas de pruebas de penetración como Metasploit y sistemas operativos especializados diseñados para piratear, como Kali Linux.
Al igual que otros profesionales de ciberseguridad, los hackers éticos suelen obtener credenciales para demostrar sus habilidades y su compromiso con la ética. Muchos realizan cursos de piratería informática ética o se inscriben en programas de certificación específicos del campo. Algunas de las certificaciones de piratería informática ética más habituales son:
Hacker Ético Certificado (CEH): Ofrecida por EC-Council, un organismo internacional de certificación de ciberseguridad, CEH es una de las certificaciones de piratería informática ética más reconocidas.
CompTIA PenTest+: esta certificación se centra en las pruebas de penetración y la evaluación de vulnerabilidades.
Probador de penetración de SANS GIAC (GPEN): Al igual que PenTest+, la certificación GPEN del SANS Institute valida las habilidades éticas de prueba de bolígrafos de un hacker.
Los hackers éticos ofrecen una variedad de servicios
Pruebas de penetración
Las pruebas de penetración son violaciones de seguridad simuladas. Los expertos en pruebas de penetración imitan a los hackers malintencionados que obtienen acceso no autorizado a los sistemas de la empresa. Por supuesto, los expertos en pruebas de penetración no causan ningún daño real. Utilizan los resultados de sus pruebas para ayudar a defender a la empresa contra ciberdelincuentes reales.
Las pruebas de penetración se realizan en tres etapas:
1. Reconocimiento
Durante la etapa de reconocimiento, los probadores de penetración recopilan información sobre los ordenadores, los dispositivos móviles, las aplicaciones web, los servidores web y otros activos de la red de la empresa. Esta etapa a veces se denomina "huella" porque los evaluadores mapean toda la huella de la red.
Los evaluadores de penetración utilizan métodos manuales y automatizados para realizar el reconocimiento. Pueden buscar sugerencias en los perfiles de redes sociales de los empleados y en las páginas de GitHub. Pueden usar herramientas como Nmap para buscar puertos abiertos y herramientas como Wireshark para inspeccionar el tráfico de red. Si la empresa lo permite, pueden utilizar tácticas de ingeniería social para engañar a los empleados para que compartan información confidencial.
2. Organizar el ataque
Una vez que los comprobadores de penetración comprenden los contornos de la red y las vulnerabilidades que pueden explotar, piratean el sistema. Los comprobadores de penetración pueden probar diversos ataques dependiendo del alcance de la prueba de penetración. Algunos de los ataques más probados son:
- Inyecciones SQL: los expertos en pruebas de penetración intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
– Secuencias de comandos cross-site: los evaluadores de penetración intentan colocar código malicioso en el sitio web de una empresa.
— Ataques de denegación de servicio: los expertos en pruebas de penetración intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.
- Ingeniería social: Los penetradores utilizan el phishing, el baiting, el pretexto u otras tácticas para engañar a los empleados y comprometer la seguridad de la red.
Durante el ataque, los comprobadores de penetración exploran cómo los hackers maliciosos pueden explotar las vulnerabilidades existentes y cómo pueden moverse a través de la red una vez dentro. Descubren a qué tipo de datos y activos pueden acceder los piratas informáticos. También comprueban si las medidas de seguridad existentes pueden detectar o prevenir sus actividades.
Al final del ataque, los probadores de rotuladores cubren sus pistas. Esto tiene dos propósitos. En primer lugar, demuestra cómo los cibercriminales pueden ocultarse en una red. En segundo lugar, evita que los hackers maliciosos sigan de forma secreta a los hackers éticos en el sistema.
3. Informes
Los evaluadores de penetración documentan todas sus actividades durante el ataque. Luego, presentan un informe al equipo de seguridad de la información que describe las vulnerabilidades que explotaron, los activos y datos a los que accedieron y cómo evadieron los sistemas de seguridad. Los hackers éticos también hacen recomendaciones para priorizar y solucionar estos problemas.
Evaluaciones de vulnerabilidad
La evaluación de vulnerabilidades es como una prueba de penetración, pero no llega tan lejos como para explotar las vulnerabilidades. En cambio, los hackers éticos utilizan métodos manuales y automatizados para encontrar, categorizar y priorizar las vulnerabilidades de un sistema. Luego comparten sus hallazgos con la empresa.
Análisis de malware
Algunos hackers éticos se especializan en analizar cepas de ransomware y malware. Estudian las nuevas versiones de malware para entender cómo funcionan y compartir sus conclusiones con las empresas y la comunidad de seguridad de la información en general.
Gestión de riesgos
Los hackers éticos también pueden ayudar con la gestión estratégica de riesgos de alto nivel. Pueden identificar amenazas nuevas y emergentes, analizar cómo estas amenazas afectan a la postura de seguridad de la empresa y ayudar a la empresa a desarrollar contramedidas.
Si bien hay muchas formas de evaluar la ciberseguridad, la piratería informática ética puede ayudar a las empresas a comprender las vulnerabilidades de la red desde la perspectiva de un atacante. Al hackear redes con permiso, los hackers éticos pueden mostrar a las empresas cómo los hackers malintencionados aprovechan las vulnerabilidades de los sistemas operativos, las aplicaciones, las redes inalámbricas y otros activos. Esta información puede ayudar a la empresa a descubrir y poner fin a las vulnerabilidades más críticas.
La perspectiva de un hacker ético también puede revelar cosas que los analistas de seguridad interna podrían pasar por alto. Por ejemplo, los piratas informáticos éticos realizan un trabajo complementario a los cortafuegos, algoritmos criptográficos, sistemas de detección de intrusiones (IDS), sistemas de detección extendida (XDRs) y otras contramedidas. Como resultado, saben exactamente cómo funcionan estas defensas en la práctica (y dónde son insuficientes) sin que la empresa sufra una vulneración de datos real.
IBM X-Force Red proporciona pruebas de penetración para sus aplicaciones, redes, hardware y personal para descubrir y corregir vulnerabilidades que exponen sus activos más importante a ataques.
Los servicios de seguridad ofensiva incluyen pruebas de penetración, gestión de vulnerabilidades y simulación de simulación de adversarios para ayudar a identificar, priorizar y corregir errores de seguridad que abarcan todo su ecosistema digital y físico.
Gestione la expansión de su huella digital y acierte con menos falsos positivos para mejorar rápidamente la ciberresiliencia de su organización
El IBM Security® X-Force® Threat Intelligence Index 2023 ofrece a los directores de seguridad de la información (CISO, por sus siglas en inglés), equipos de seguridad y líderes empresariales conocimiento procesable para entender cómo atacan los agentes de amenazas y cómo pueden proteger a organizaciones de forma proactiva.
Explore las amplias conclusiones del informe Coste de la vulneración de datos 2023. Este informe proporciona valiosos conocimientos sobre las amenazas a las que se enfrenta, junto con recomendaciones prácticas para mejorar su ciberseguridad y minimizar las pérdidas.
Un centro de operaciones de seguridad mejora las capacidades de detección, respuesta y prevención de amenazas de una organización al unificar y coordinar todas las tecnologías y operaciones de ciberseguridad.
Los investigadores de IBM han descubierto nuevas amenazas y han desarrollado defensas procesables para un tipo diferente de modelo de IA llamado modelos generativos profundos (DGM). Los DGM son una tecnología de IA emergente capaz de sintetizar datos de colectores complejos y de alta dimensión.
La seguridad de las redes es el área de la ciberseguridad que se centra en la protección de las redes informáticas frente a las ciberamenazas. La seguridad de la red protege la integridad de la infraestructura, los recursos y el tráfico de la red para frustrar estos ataques y minimizar sus repercusiones financieras y operativas.
La gestión de superficies de ataque (ASM) es el descubrimiento, el análisis, la corrección y la supervisión continuos de las vulnerabilidades de ciberseguridad y posibles vectores de ataque que conforman la superficie de ataque de una organización.