La piratería informática ética es el uso de técnicas de piratería por partes amistosas para intentar descubrir, comprender y corregir vulnerabilidades de seguridad en una red o sistema informático. Los piratas informáticos éticos tienen las mismas habilidades y usan las mismas herramientas y tácticas que los piratas informáticos maliciosos, pero su objetivo es mejorar la seguridad de la red sin dañar la red ni a sus usuarios.
En muchos casos, la piratería informática ética es como un ensayo para los ataques cibernéticos del mundo real. Las organizaciones contratan piratas informáticos éticos para lanzar ataques simulados en sus redes informáticas. Durante estos ataques, los piratas informáticos éticos demuestran cómo los delincuentes cibernéticos reales podrían entrar en una red, y lo que podrían o probablemente harían una vez dentro. Los analistas de seguridad de la organización pueden usar esta información para eliminar vulnerabilidades, fortalecer sistemas de seguridad y proteger datos confidenciales.
Los términos "piratería informática ética" y "pruebas de penetración" a veces se utilizan indistintamente. Sin embargo, las pruebas de penetración (que se analizan a continuación) son solo uno de los métodos que utilizan los piratas informáticos éticos. Los piratas informáticos éticos también pueden realizar evaluaciones de vulnerabilidad, análisis de malware y otros servicios de seguridad de la información.
Los piratas informáticos éticos siguen un estricto código de ética para garantizar que sus acciones ayuden a las empresas en lugar de perjudicarlas. Muchas organizaciones que capacitan o certifican a piratas informáticos éticos, como el Consejo Internacional de Consultores de Comercio Electrónico (EC Council), publican su propio código de ética formal por escrito. Si bien la ética declarada puede variar de un pirata informático a otro y de una organización a otra, las pautas generales son:
- Los piratas informáticos éticos obtienen permiso de las empresas que atacan: Los piratas informáticos éticos son empleados o se asocian con las organizaciones que atacan. Trabajan con las empresas para definir el alcance de sus actividades, incluyendo cuándo puede tener lugar la piratería informática, qué sistemas y activos pueden probar los piratas informáticos y qué métodos pueden utilizar.
Los piratas informáticos éticos no causan ningún daño: Los piratas informáticos éticos no hacen ningún daño real a los sistemas que atacan ni roban ningún dato confidencial que encuentren. Cuando los sombreros blancos atacan una red, solo lo hacen para demostrar lo que podrían hacer los delincuentes cibernéticos reales.
Los piratas informáticos éticos mantienen confidenciales sus hallazgos: Los piratas informáticos éticos comparten la información que recopilan sobre vulnerabilidades y sistemas de seguridad con la empresa y solo con la empresa. También ayudan a la empresa a utilizar estos hallazgos para mejorar las defensas de la red.
Los piratas informáticos éticos trabajan dentro de los límites de la ley: Los piratas informáticos éticos solo utilizan métodos legales para evaluar la seguridad de la información. No se asocian con sombreros negros ni participan en ataques maliciosos.
En relación con este código de ética, hay otros dos tipos de piratas informáticos.
Piratas informáticos absolutamente maliciosos
A veces denominados "piratas informáticos de sombrero negro", los piratas informáticos malintencionados cometen delitos cibernéticos para beneficio personal, terrorismo cibernético o alguna otra causa. Atacan sistemas informáticos para robar información confidencial, robar fondos o interrumpir las operaciones.
Piratas informáticos éticos poco éticos
A veces denominados "piratas informáticos de sombrero gris" (o mal escritos como "piratas informáticos de sombrero gris"), estos piratas informáticos utilizan métodos poco éticos o incluso trabajan al margen de la ley con fines éticos. Algunos ejemplos incluyen atacar una red o un sistema de información sin permiso para probar una explotación o explotar públicamente una vulnerabilidad de software que los proveedores trabajarán en una solución. Aunque estos piratas informáticos tienen buenas intenciones, sus acciones también pueden alertar a los atacantes malintencionados sobre nuevos vectores de ataque.
La piratería informática ética es una trayectoria profesional legítima. La mayoría de los piratas informáticos éticos tienen una licenciatura en ciencias de la computación, seguridad de la información o un campo relacionado. Tienden a conocer lenguajes comunes de programación y scripting como python y SQL. Están capacitados (y continúan desarrollando sus habilidades) en las mismas herramientas y metodologías de piratería de piratas informáticos maliciosos, incluidas herramientas de escaneo de redes como Nmap, plataformas de pruebas de penetración como Metasploit y sistemas operativos especializados diseñados para piratería, como Kali Linux.
Al igual que otros profesionales de seguridad cibernética, los piratas informáticos éticos suelen obtener credenciales para demostrar sus habilidades y su compromiso con la ética. Muchos toman cursos de piratería ética o se inscriben en programas de certificación específicos del campo. Algunas de las certificaciones de piratería ética más comunes incluyen:
Pirata informático ético certificado (CEH): ofrecido por EC-Council, un organismo internacional de certificación de seguridad cibernética, CEH es una de las certificaciones éticas de piratería informática ética más reconocidas.
CompTIA Pentest+: Esta certificación se centra en pruebas de penetración y evaluación de vulnerabilidades.
Probador de penetración SANS GIAC (GPEN): Al igual que Pentest+, la certificación GPEN del SANS Institute valida las habilidades de prueba de pluma de un pirata informático ético.
Los piratas informáticos éticos ofrecen una variedad de servicios
Pruebas de penetración
Las pruebas de penetración o "pruebas de pen" son violaciones de seguridad simuladas. Los evaluadores de penetración imitan a los piratas informáticos maliciosos obteniendo acceso no autorizado a los sistemas de la empresa. Por supuesto, los evaluadores de penetración no causan ningún daño real. Utilizan los resultados de sus pruebas para ayudar a defender a la empresa contra delincuentes cibernéticos reales.
Las pruebas de penetración se realizan en tres etapas:
1. Reconocimiento
Durante la etapa de reconocimiento, los probadores de penetración recopilan información sobre las computadoras, los dispositivos móviles, las aplicaciones web, los servidores web y otros activos de la red de la empresa. Esta etapa a veces se denomina "huella" porque los evaluadores de penetración mapean toda la huella de la red.
Los evaluadores de penetración utilizan métodos manuales y automatizados para realizar el reconocimiento. Pueden anotar los perfiles de las redes sociales de los empleados y las páginas de GitHub para obtener sugerencias. Pueden usar herramientas como Nmap para buscar puertos abiertos y herramientas como Wireshark para inspeccionar el tráfico de red. Si la empresa lo permite, pueden usar tácticas de ingeniería social para engañar a los empleados para que compartan información confidencial.
2. Organizar el ataque
Una vez que los evaluadores de penetración comprenden los contornos de la red y las vulnerabilidades que pueden explotar, piratean el sistema. Los evaluadores de penetración pueden probar una variedad de ataques según el alcance de la prueba de penetración. Algunos de los ataques probados con mayor frecuencia incluyen:
- Inyecciones SQL: Los evaluadores de penetración intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
– Secuencias de comandos entre sitios: los evaluadores de penetración intentan colocar código malicioso en el sitio web de una empresa.
— Ataques de negación de servicio: Los evaluadores de penetración intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.
– Ingeniería social: Los evaluadores de penetración utilizan phishing, baiting, pretextos u otras tácticas para engañar a los empleados y hacer que comprometan la seguridad de la red.
Durante el ataque, los evaluadores de penetración exploran cómo los piratas informáticos maliciosos pueden explotar las vulnerabilidades existentes y cómo pueden moverse a través de la red una vez dentro. Averiguan a qué tipos de datos y activos pueden acceder los piratas informáticos. También prueban si las medidas de seguridad existentes pueden detectar o prevenir sus actividades.
Al final del ataque, los evaluadores de penetración cubren sus huellas. Esto tiene dos propósitos. En primer lugar, demuestra cómo los delincuentes cibernéticos pueden ocultarse en una red. En segundo lugar, evita que los piratas informáticos maliciosos sigan secretamente a los piratas informáticos éticos en el sistema.
3. Informes
Los evaluadores de penetración documentan todas sus actividades durante el ataque. Luego, presentan un informe al equipo de seguridad de la información que describe las vulnerabilidades que explotaron, los activos y datos a los que accedieron y cómo evadieron los sistemas de seguridad. Los piratas informáticos éticos también hacen recomendaciones para priorizar y solucionar estos problemas.
Evaluaciones de vulnerabilidades
La evaluación de vulnerabilidades es como las pruebas de penetración, pero no va tan lejos como explotar las vulnerabilidades. En cambio, los piratas informáticos éticos utilizan métodos manuales y automatizados para encontrar, categorizar y priorizar vulnerabilidades en un sistema. Luego, comparten sus hallazgos con la empresa.
Análisis de malware
Algunos piratas informáticos éticos se especializan en analizar cepas de ransomware y malware. Estudian nuevos lanzamientos de malware para comprender cómo funcionan y comparten sus conclusiones con las empresas y la comunidad de seguridad de la información en general.
Gestión de riesgos
Los piratas informáticos éticos también pueden ayudar con la gestión estratégica de riesgos de alto nivel. Pueden identificar amenazas nuevas y emergentes, analizar cómo estas amenazas afectan la postura de seguridad de la empresa y ayudar a la empresa a desarrollar contramedidas.
Si bien hay muchas formas de evaluar la seguridad cibernética, la piratería informática ética puede ayudar a las empresas a comprender las vulnerabilidades de la red desde la perspectiva de un atacante. Al atacar las redes con permiso, los piratas informáticos éticos pueden mostrar a las empresas cómo los piratas informáticos maliciosos aprovechan las vulnerabilidades en los sistemas operativos, las aplicaciones, las redes inalámbricas y otros activos salvajes. Esta información puede ayudar a la empresa a descubrir y cerrar las vulnerabilidades más críticas.
La perspectiva de un pirata informático ético también puede revelar cosas que los analistas de seguridad interna podrían pasar por alto. Por ejemplo, los piratas informáticos éticos van de pies a cabeza con firewalls, algoritmos criptográficos, sistemas de detección de intrusiones (IDSs), sistemas de detección extendidos (XDRs) y otras contramedidas. Como resultado, saben exactamente cómo funcionan estas defensas en la práctica, y dónde se quedan cortas, sin que la empresa sufra una violación de datos real.
IBM X-Force Red proporciona pruebas de penetración de sus aplicaciones, redes, hardware y personal para descubrir y arreglar las vulnerabilidades que exponen sus activos más importantes a los ataques.
Los servicios de seguridad ofensiva incluyen pruebas de penetración, gestión de vulnerabilidades y simulación de adversarios para ayudar a identificar, priorizar y remediar fallas de seguridad que cubren todo su ecosistema digital y físico.
Gestione la expansión de su huella digital y logre sus objetivos con menos falsos positivos para mejorar rápidamente la resiliencia cibernética de su organización.
IBM Security® X-Force® Threat Intelligence Index 2023 ofrece a los CISOs, equipos de seguridad y líderes empresariales conocimientos prácticos para ayudarles a comprender cómo los actores de amenazas planean los ataques y cómo pueden proteger proactivamente a las organizaciones.
Explore los hallazgos integrales del Informe del costo de una filtración de datos 2023. Este informe proporciona información valiosa sobre las amenazas que enfrenta, junto con recomendaciones prácticas para actualizar la ciberseguridad y minimizar las pérdidas.
Un centro de operaciones de seguridad mejora las capacidades de detección, respuesta y prevención de amenazas de una organización al unificar y coordinar todas las tecnologías y operaciones de seguridad cibernética.
Los investigadores de IBM han descubierto nuevas amenazas y desarrollado defensas accionables para un tipo diferente de modelo de IA llamado modelos generativos profundos (DGMs). Los DGMs son una tecnología de IA emergente capaz de sintetizar los datos de manifolds complejos y de alta dimensión.
La seguridad de red es el campo de la seguridad cibernética enfocada en proteger las redes informáticas de las amenazas cibernéticas. La seguridad de red protege la integridad de la infraestructura de red, los recursos y el tráfico para frustrar ataques y minimizar su impacto financiero y operativo.
La gestión de la superficie de ataque (ASM) es la detección, el análisis, la corrección y la supervisión continuos de las vulnerabilidades de seguridad cibernética y los posibles vectores de ataque que componen la superficie de ataque de una organización.