Lic. Alejandra Báez Curiel, CISA, CRISC
Socia ERS Seguridad & Privacidad
Deloitte Galaz, Yamazaki, Ruiz Urquiza, S.C.
abaez@deloittemx.com

M.C. José Francisco Mejía Hernández, OPST, CRISC
Gerente ERS Seguridad & Privacidad
Deloitte Galaz, Yamazaki, Ruiz Urquiza, S.C
frmejia@deloittemx.com

Las empresas dependen cada vez más de la tecnología para producir bienes de manera más eficiente, con el fin de mantener comunicadas a las personas, dar un servicio de mayor calidad a sus clientes y, en general, soportar las funciones diarias de la empresa. El hackeo ético es un servicio que ayuda a las empresas a conocer el grado de seguridad en que se encuentran; sin embargo, es necesario conocer la diferencia que existe entre este y el hackeo malicioso

A continuación se presentan dos escenarios que tienen por objetivo mostrar los beneficios del hacking ético y sus diferencias con el malicioso.
Escenario uno. Un joven de 27 años es contactado, anónimamente, vía correo electrónico. De manera breve se le pide que acceda a la red interna de una empresa y que extraiga cierta información financiera. Pone manos a la obra de inmediato. Al cabo de algunos días encuentra varias vulnerabilidades en los servicios que la empresa tiene en Internet para sus clientes y socios comerciales. Esta búsqueda de vulnerabilidades la realiza de manera tal que evita que los equipos de monitoreo de la empresa se percaten de que se está realizando esta búsqueda. Días después accede a los equipos centrales más fortificados que contienen los diseños de los productos de la compañía para el próximo año. La compañía se percata de la intrusión meses después cuando los nuevos diseños de la competencia salen al mercado y son muy parecidos a los suyos. El hacker obtuvo un beneficio económico del ingreso no autorizado a los sistemas privados de esa empresa.
Escenario dos. El joven de 27 años es miembro activo de la comunidad de seguridad. El correo electrónico que recibe es una confirmación de su jefe, quien le indica que las pruebas de evaluación de seguridad comenzarán el próximo lunes y se realizarán por espacio de tres semanas en horarios de 6:00 p.m. a 2:00 a.m., para no alterar la operación. El área de Auditoría Interna contrató los servicios de la consultora para evaluar la seguridad mediante Internet. Como en el primer escenario, gana acceso a sistemas internos mediante Internet, pero al contrario que el primer escenario, no extrae la información, sino que solo toma evidencia de que pudo llegar a esa información. Al cabo de unos días de finalizada la revisión de seguridad se entrega el reporte a la empresa, el cual muestra con claridad y detalle las fallas de seguridad encontradas, el riesgo que representan para la empresa y cómo remediarlas. Al cabo de unos días atiende y soluciona las fallas más críticas y elabora un plan de remediación a tres meses. El proyecto llevó por nombre “Hacking ético por medio de Internet”.
Mientras que un hackeo ético es visto y utilizado como una herramienta práctica para evaluar la seguridad informática, demostrando fallas de seguridad existentes en la infraestructura tecnológica, valiéndose de técnicas y herramientas que utilizan atacantes reales; el hacking malicioso tiene por objetivo acceder de manera no autorizada a los recursos informáticos de la empresa para robo/modificación/borrado de información privada, con el fin de buscar un beneficio personal.
Al hacking ético, también se le conoce como Pen-Testing, ya que tiene por objetivo, como su nombre en inglés lo indica, las pruebas de penetración de sistemas informáticos. El objetivo de los Ethical Hackers (hackers éticos) es buscar, encontrar y validar las vulnerabilidades de los sistemas de cómputo con el patrocinio del propietario.

TIPOS DE ETHICAL HACKING
Existen distintos tipos de pruebas de ethical hacking que se pueden realizar para comprobar la fortaleza o debilidad de seguridad de los sistemas de cómputo, dependiendo de las necesidades particulares de cada empresa. En general se pueden clasificar en los siguientes tres tipos:

• Pruebas de penetración de caja negra. Buscar vulnerabilidades sin que el propietario de los sistemas de cómputo provea información de ningún tipo al ethical hacker, a fin de que este solo se valga de la información pública disponible.
• Pruebas de penetración de caja gris. Pruebas dirigidas hacia un sistema o red con conocimiento parcial de la estructura interna y de acuerdo con el cliente. En estas pruebas el cliente puede proveer incluso ciertos niveles de acceso para simular ataques realizables por personal interno.
• Pruebas de penetración de caja blanca. Pruebas dirigidas hacia un sistema o red  en donde el dueño provee al ethical hacker del conocimiento completo de la infraestructura y el alcance de las pruebas. Se utiliza, por lo general, para pruebas exhaustivas a un objetivo específico.

Asimismo, estas pruebas pueden tener variaciones tales como ser realizadas desde Internet o en la red interna de la empresa, o buscar objetivos específicos, por ejemplo, tomar control completo del servidor de correo de la empresa. También es importante mencionar que, dependiendo del área que patrocine el ethical hacking y el objetivo que busque, puede no importar que el área de TI esté al tanto de que se realicen las pruebas o; por el contrario, el hackeo ético puede ser solo del conocimiento de ciertos elementos clave del área que patrocina el proyecto sin informar al área de TI, con el objetivo de evitar que TI realice correcciones o mantenimientos que normalmente no realiza sobre la seguridad de los sistemas que se están evaluando y que están motivados por la idea de evitar una “mala nota” sobre el área de TI. Esto produce, por supuesto, resultados sesgados de las prácticas que se llevan día tras día en materia de seguridad dentro de la empresa.

BENEFICIOS DE REALIZAR UN ETHICAL HACKING
La empresa recibe un detalle extenso de las vulnerabilidades encontradas y las respectivas recomendaciones de solución, así como las causas raíz de las fallas encontradas. Sin embargo, el mayor beneficio que recibe la empresa al finalizar las pruebas de penetración es un mapa de riesgos reales para el negocio. Este mapa tiene por objetivo explicar a la dirección de la empresa cuál podría ser el impacto para el negocio y la probabilidad de que las vulnerabilidades encontradas sean aprovechadas por un atacante real. Las decisiones que se tomen para atender y mitigar estos riesgos dependerán en gran medida del análisis que realizó el equipo de hackeo ético para medir con precisión el impacto que tengan para el negocio. Con estas acciones la empresa está tomando un rol preventivo sobre sus activos de información de negocio más importantes. Otros beneficios que se obtienen de las pruebas de penetración son:

• Proveer al área de TI las medidas correctivas sobre las vulnerabilidades encontradas para su remediación.
• Identificar las causas raíz de las fallas encontradas para que la empresa pueda atender soluciones a largo plazo.
• Alinear las políticas de seguridad de la empresa con la visión y objetivos del negocio.