La ciberseguridad es una de las principales preocupaciones que tienen las empresas de hoy en día debido a los riesgos que se exponen estando conectadas a la red y accesibles para hackers del mundo entero con malas intenciones. A cualquier negocio le preocupa tener unas férreas defensas que les permitan superar cualquier tipo de ataque con el que se encuentren, lo que en muchos casos se puede prevenir a través del hacking ético. Si bien parece una contraposición unir en una misma frase el término hacking y el concepto de una acción ética, en realidad este tipo de actividad se ha llegado a transformar en uno de los salvavidas más frecuentes de empresas del mundo entero. ¿Qué entendemos como hacking ético y por qué es algo tan importante?

 

El trabajo del hacker ético

El hacking ético consiste en “atacar” de una manera pasiva el entorno de seguridad que ha cimentado la empresa que ha solicitado este tipo de servicio. La idea es que un especialista, un hacker, intente ponerse en el pellejo de los individuos que intentarán en algún momento atacar los servidores y sistemas de esta empresa en cuestión. El objetivo es ver hasta qué punto la seguridad está bien configurada y qué se puede hacer para impedir que la situación tenga un desenlace negativo en una ocasión futura. Por lo tanto, el hacking ético se ocupa de prevenir, de emular lo que podría ocurrir en el peor de los escenarios y así demostrar qué es lo que hay que hacer para que finalmente no ocurra. Explicado de una forma sencilla se puede decir que es un proceso imprescindible en las empresas de hoy día que están dispuestas a hacer cualquier cosa para protegerse.

Descarga nuestra guía gratuita: Los grandes desafíos de la ciberseguridad. Cuando protección y talento blindan el negocio

La persona encargada de ocupar este puesto de hacker ético actuará desde las filas de la propia compañía o lo hará de forma externa previa firma de un contrato de confidencialidad y moralidad laboral. En ambos casos son personas muy demandadas por las empresas de hoy día debido a que pueden ayudar mucho a las empresas al ayudarles a:

  • Ahorrar miles de euros en implementar sistemas de seguridad ineficientes
  • Evitar catástrofes públicas por recibir un ataque hacker drástico
  • Organizar los sistemas de seguridad para que no se produzcan filtraciones

 

Las fases del hacking ético

El hacking ético actúa a partir de un esquema que se divide en cinco fases:

  • Firma de un acuerdo
  • Investigación de los sistemas
  • Elaboración de plan de ataque
  • Descubrimiento de vías de acceso y vulnerabilidades
  • Prueba de la teoría y de la resistencia de la empresa en su seguridad

Lo primero que hará el hacker ético en colaboración con la empresa que le haya contratado será firmar un acuerdo que detallará con pelos y señales el papel que realizará. Se trata de incluir en un documento las bases de la colaboración y de dejar registrado por escrito que la empresa está dando vía libre a ese especialista para que intente superar sus sistemas de seguridad sin que existan malas intenciones de por medio. El hacker necesitará que la empresa sea consciente de lo que está haciendo para probar sus sistemas, dado que en algunos casos podría suponer que se realizarían ataques emulados capaces de crear confusión.

Una vez firmado el acuerdo el hacker ya podrá realizar la fase de investigación, profundizando de manera exhaustiva en los servidores de la compañía y analizando todas las vías posibles de acceso. En este punto se usan todo tipo de programas y herramientas a disposición de los hackers que les permitirán entrar a fondo en la empresa para descubrir qué es lo que falla o no está suficientemente protegido. Entre los datos que se van a intentar “robar” se incluye información personal de los ejecutivos y empleados, cifras bancarias y estadísticas, datos confidenciales, detalles sobre los programas y apps instaladas, así como otros elementos que puedan interesar.

El siguiente paso es elaborar un plan de ataque que reflejará todas las distintas posibilidades por las que pueden optar los hackers con malas intenciones para colarse en el entorno de la empresa. En el modelo de amenazas posible se plantean los detalles con pelos y señales para que la compañía sepa a lo que se está arriesgando. Además, de forma vinculada se salta a una siguiente fase en la cual se destacan cuáles son las vías de acceso y las vulnerabilidades específicas que tiene el negocio.

Para terminar el hacker ético pone en marcha los ataques que ha planteado y comprueba que sus investigaciones y descubrimientos son ciertos. Se elimina cualquier tipo de riesgo al existir conocimiento de causa por parte de la compañía, pero se pone a prueba todo el sistema para que en el futuro la empresa se pueda proteger.

 

 

Autor

Equipo de Expertos

Universidad Internacional de Valencia