El Ethical Hacking, también conocido como pentesting, o prueba de intrusión, es un servicio de ciberseguridad ofensiva que consiste en la ejecución de una prueba de penetración con el objetivo de simular un ciberataque real sobre una empresa o aplicación.
El objetivo del Ethical Hacking es detectar las principales debilidades de seguridad existentes en los sistemas y/o plataformas, de nuestro negocio. Esto por su parte nos permitirá conocer el grado de impacto en el que se puede ver afectada la confidencialidad, integridad y disponibilidad de los datos de las plataformas y/o los usuarios.
Al final del proyecto, se entrega un reporte de vulnerabilidades, con un apartado ejecutivo y otro técnico, en el cual se detallan cada una de las vulnerabilidades encontradas con su respectiva criticidad, impacto, prueba de concepto y recomendación para su corrección.
Por otro lado, con base a las recomendaciones brindadas en el reporte de vulnerabilidades tendremos una idea mucho más clara para crear un plan de remediación con el que podamos corregir las vulnerabilidades encontradas y evitar ciberataques y/o brechas de seguridad de forma proactiva.
Pentesting vs Escáner de Vulnerabilidades
Un escáner de vulnerabilidades corresponde a una, o varias herramientas para la detección automatizada de vulnerabilidades. Existe una amplia gama de herramientas tanto para el testeo dinámico como estático de una aplicación.
Dichas utilidades se encargan de ejecutar un escaneo pasivo sobre la aplicación, sin ahondar mucho en el testeo de sus funcionalidades. Por otro lado, el escáner no detecta vulnerabilidades que afecten a la lógica del negocio o que requieran del pensamiento lateral de un hacker.
A diferencia de un escáner de vulnerabilidades, el Ethical Hacking va mucho más allá, dado que conlleva la ejecución tanto de pruebas manuales como automatizadas, realizadas por un experto en seguridad ofensiva quien es capaz de evaluar los resultados de ambas pruebas, considerando también la detección y explotación de vulnerabilidades que afecten directamente a la lógica del negocio.
Caso contrario, el escáner es sólo una herramienta automatizada que nos sirve para la detección (no explotación) de sólo cierto tipo de vulnerabilidades. Es por esto que, no es recomendable utilizar solo un escáner de vulnerabilidades para evaluar el nivel de seguridad de nuestra aplicación. Incluso en muchos casos suelen arrojar falsos positivos o vulnerabilidades de criticidad alta que realmente no tienen un impacto significativo en el negocio.
¿Para qué sirve el Ethical Hacking?
Una auditoría de prueba de intrusión es sumamente útil para conocer cuáles son los riesgos de seguridad a los que se exponen los sistemas informáticos de nuestro negocio, abriendo la posibilidad proteger los activos de nuestra empresa a tiempo y anticiparnos al movimiento rápido de los ciberdelincuentes.
Esto por su parte contribuye con mejoras en la concientización de ciberseguridad de nuestra empresa, la correcta administración de sistemas y la implementación y adquisición de prácticas seguras para el desarrollo.
De la misma forma, el hecho de identificar las debilidades de nuestros sistemas a tiempo, nos permitirá armar un plan de remediación, con el cual podremos brindar seguridad y confianza a nuestros clientes.
Modalidades de Ethical Hacking o Pentesting
Existen tres modalidades principales de Ethical Hacking, que en la mayoría de los casos conllevan una evaluación y análisis adaptado a las necesidades del negocio del cliente:
White Box
Es una modalidad en la que el hacker tiene acceso completo a toda la información de la aplicación, abarcando: usuarios (privilegiados y no privilegiados), código fuente, documentación y arquitectura de red, lo cual permite analizar el funcionamiento externo e interno de la aplicación. Por otro lado, el análisis de caja blanca involucra la revisión de código fuente, el análisis de datos de entrada y salida, la identificación de entradas inválidas y la prueba de estructuras de control como bucles, condicionales y estructuras de datos.
El análisis de caja blanca también incluye la prueba de la integridad de los datos, la verificación de la seguridad y la identificación de los puntos de falla en el programa. Básicamente sirve para encontrar errores en el código fuente, testearlos en la aplicación y mejorar la calidad del código para evitar problemas de seguridad. De la misma forma, este análisis también puede ser usado para optimizar el rendimiento del programa.
Gray Box
Es similar a la modalidad White Box, sin embargo, en este caso el hacker sólo posee conocimiento parcial de la plataforma: tecnologías de la aplicación y credenciales de usuarios con distintos privilegios. Para este tipo de auditorías se analiza el comportamiento de la aplicación y sus funcionalidades con el fin de detectar fallos de seguridad, errores de lógica y verificación de seguridad.
Black Box
Es una modalidad de análisis externo de la empresa, en la cual el hacker se coloca en la posición de un ciberdelincuente considerando todos los activos de la compañía, con el objetivo de encontrar vectores de ataque para penetrar y vulnerar a la organización. En este caso, no se le proporciona ningún tipo de información o credencial al hacker.
¿Por qué es importante el Ethical hacking?
El Ethical Hacking es importante ya que nos permite mantener seguro nuestro negocio con un buen status, sosteniendo la seguridad y confianza de nuestros clientes. Por otro lado, gracias a ello podemos evitar dolores de cabeza, tales como las filtraciones de datos.
Tipos de Ethical Hacking o Pentesting
Para los ejercicios de Ethical Hacking se suelen considerar distintos objetivos a atacar, dependiendo de las necesidades del cliente y el servicio tomado:
- Mobile Pentest: Es una prueba de penetración que abarca la revisión completa del APK, o IPA, de una aplicación mobile. Este análisis se ejecuta en conjunto con el testeo de las funcionalidades de la app de forma dinámica. Por lo general, este tipo de ejercicios se desarrollan en modalidad Gray Box con credenciales de usuarios que poseen distintos tipos de privilegios.
- WebApp Pentest: Este tipo de auditorías se enfoca en el testeo completo de las funcionalidades de la aplicación web, en búsqueda de detectar y explotar la mayor cantidad de vulnerabilidades. Al igual que el Mobile Pentest, este tipo de ejercicios se suele desarrollar en modalidad Gray Box, con distintos usuarios con distintos privilegios.
- External Pentest: Es una revisión del perímetro externo de la empresa, abarcando los sistemas informáticos de la empresa y la seguridad de sus empleados. Este tipo de ejercicios se realiza en modalidad Black Box, sin ningún tipo de acceso o información acerca de la compañía.
- Internal Pentest: Se realiza una revisión y análisis de la red de la empresa, considerando a los distintos equipos y servidores de la red, en busca de vulnerar su seguridad.
- Phishing: Corresponden a simulaciones de ataques de ingeniería social sobre los empleados de la empresa, teniendo como objetivo manipularlos para clicar enlaces maliciosos adjuntos por correo o mensajes SMS.
Razones por las que necesitas una Prueba de Intrusión
Realizar auditorías de Ethical Hacking le permitirá a tu negocio:
Mejor posicionamiento en seguridad
Las grandes organizaciones buscan relaciones comerciales con empresas que poseen y demuestran que sus sistemas están seguros. Los reportes de ethical hacking son cada vez más importantes y necesarios para el cierre de un contrato comercial.
Cubrir controles de auditorías regulatorias
En el ámbito informático existen regulaciones y requisitos de seguridad para hacer que las empresas de cualquier tipo y/o tamaño cumplan con la protección de sus activos digitales.
- Ley Fintech de México: Es una ley que se encarga de regular el uso de tecnología financiera en México. Establece un marco legal para la operación de empresas que utilizan la tecnología financiera, como las fintechs, definiendo responsabilidades y obligaciones de las entidades financieras y las autoridades reguladoras. Esta ley también establece un marco regulatorio para la protección de los datos personales de los usuarios que consumen sus servicios.
- RAN 20-10 de Chile: La RAN es un conjunto de normativas chilenas documentadas y publicadas por la Comisión para el Mercado Financiero de Chile (CMF). Dentro de este conjunto, específicamente en el Capítulo 20-10, se les exige a las empresas cumplir con una serie de lineamientos de seguridad, indicando que deben proteger la información física y digital de sus clientes. Esta normativa recae sobre bancos, filiales de bancos, sociedades de apoyo al giro bancario, y emisores y operadores de tarjetas de pago bancarias.
- Circular 007 de 2018 de Colombia: Es una norma colombiana que exige a las empresas, que están en el sector financiero, diseñar políticas y procedimientos de ciberseguridad para gestionar efectivamente el riesgo en sus sistemas. Dicha normativa recae sobre bancos y empresas que estén en el sector de medios de pago, enfocadas al uso y cobro de créditos.
Cumplimiento de estándares y normas internacionales
Las pruebas de penetración de forma periódica son un requisito obligatorio para cumplir con algunos estándares y normas de seguridad a nivel mundial. Algunas de las más relevantes son:
- ISO 27001: Es un estándar internacional que establece los requisitos para montar un Sistema de Gestión de Seguridad de la Información (SGSI). La norma indica un marco base para crear, implementar, mantener y mejorar un SGSI, centrándose directamente en los que es la gestión de riesgos de seguridad de la información. Esta norma es aplicable a cualquier organización, independiente de su tamaño o de la industria en la que se encuentre. La implementación de un SGSI ayuda a una organización a proteger sus activos informáticos y a garantizar la confidencialidad, integridad y disponibilidad de la información.
- SOC 2: Es una norma de seguridad de la información que establece los requisitos técnicos y de gestión que deben cumplirse para garantizar la seguridad y confiabilidad de los sistemas de información de una organización. Esta normativa está diseñada para ayudar a las empresas a proteger sus activos informáticos y a asegurar que la información que manejen esté disponible, segura y se trate de forma confiable. Para cumplir con esta norma, una organización debe demostrar que ha implementado un conjunto de controles y procedimientos adecuados para gestionar adecuadamente los riesgos relacionados con la seguridad de la información.
- PCI DSS: Es un estándar de cumplimiento que establece un conjunto de requisitos técnicos y de gestión para la seguridad de la información en el ámbito de transacciones de pago. Todas las organizaciones que procesan, transmiten o almacenan datos de pago deben cumplir con el estándar PCI DSS para garantizar la seguridad de estos datos. La implementación de este estándar puede ayudar a prevenir la pérdida o el robo de información confidencial, y puede contribuir a mejorar la confianza de los clientes y consumidores.
- Entre otras.
Ahorro de costos por recuperación
Las pruebas de penetración nos permiten detectar anticipadamente las vulnerabilidades de nuestros sistemas. Es por esto que, gracias a ello, podemos realizar un correcta gestión de vulnerabilidades, identificando su verdadero impacto y los costes que estas pueden significar en un plan de recuperación ante incidentes. Por su parte, los ejercicios de Ethical Hacking son una herramienta clave para evitar las brechas de seguridad y los incidentes.
Mantenimiento de una buena reputación
La confianza de los clientes es uno de los pilares base para el éxito de nuestro negocio. Es por ello por lo que los ejercicios de pentesting nos permitirán tener control e identificar vulnerabilidades en nuestros sistemas a tiempo y mantener la reputación de nuestro negocio.
Desarrollo Seguro
Una vez que se conocen los resultados de los ejercicios del Ethical Hacking, los desarrolladores se ven en la obligación de ocupar prácticas seguras a la hora de desarrollar una aplicación, teniendo más conciencia y precaución de causar vulnerabilidades. Con el tiempo esto se transforma en un hábito y permite que el desarrollo madure y sea cada vez más seguro.
En Hackmetrix, somos especialistas en Ethical Hacking. Trabajamos con Hackers expertos que podrán aprueba tu sistema y encontrarán todas las vulnerabilidades existentes, para poder eliminarlas o mitigarlas.
Si necesitas un Ethical Hacking o Pentesting para poner a prueba tu sistema o cumplir con algún requerimiento normativo, haz clic acá y contacta a nuestro equipo ahora.