¿Por qué necesito una autorización para hacer Hacking Ético?

Avatar

Estudio de las etapas de Hacking Ético desde el punto de vista del mosaico legal.

Desde el nacimiento de Internet, el mundo no ha dejado de cambiar a un ritmo inigualable. Una de las características de internet es su universalización: cualquiera desde cualquier punto del mundo puede acceder. La eliminación de las barreras hace que se pueda acceder a un contenido fuera del alcance territorial, a un click. Por el contrario, los riesgos a los que estamos expuesto también cobran esa especialización, puesto que cualquiera incluso sin ninguna intención de cometerlo, puede estar incurriendo en alguna ilegalidad a tan sólo un click. 

Precisamente esa rapidez en la interacción en internet es uno de los puntos que caracteriza el delito informático de los restantes delitos; la relativa facilidad por la cual un curioso informático puede quebrantar medidas de seguridad al descubrir una contraseña, o un atacante malintencionado al enviar un troyano a través de un correo electrónico. Incluso, errores de configuraciones en las páginas webs que dejen la puerta abierta a su acceso. 

Nuestro  Código Penal regula en su artículo 197.3 el delito informático de la siguiente manera: El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”.

hacking-etico-legal

Por lo tanto, la entrada a un sistema informático ajeno es considerado delito, sin distinción entre aquellos que acceden a un sistema y los que además, causan un daño. En otras palabras, este artículo contempla indistintamente tanto al que accede al sistema y accede sin realizar ninguna acción posterior, como al que accede y hace uso del mismo, como la sustracción de datos, introducir virus, alterar los sistemas…

Pero… ¿En qué consiste un hacking? Reflexionamos a continuación sobre las distintas etapas que conforman un hacking desde el punto de vista del mosaico legal:

1.- Recolección de la información / Information Gathering: la búsqueda de información del objetivo para utilizarla en las fases posteriores del hacking. Esta etapa consistiría en un análisis pasivo de los recursos del objetivo, no consiste en acceder a ningún sistema informático vulnerando medidas de seguridad. Esta fase se puede distinguir en dos: 

  • La recolección de información que se realiza a través de fuentes públicas a disposición de todos los internautas (esta técnica se conoce como OSINT). Bajo este método se consigue una información general del objetivo: dirección física, dirección/direcciones IP, empleados, necesidades, debilidades… 
  • La recolección de información está dirigida y es específica a un objetivo, observando directamente el comportamiento de sus sistemas y las respuestas que retornan ante ciertos estímulos. Aunque la información esté publicada, no significa que sea pública o que esté disponible para un uso no destinado para el fin por el cual fue publicado. 

Dentro de la recolección de información, es necesario hacer especial mención a la ingeniería social. El atacante hace uso de técnicas de manipulación personal para recabar cierta información o conseguir cierta visión del objetivo y su entorno. Este tema es extenso, pues no sólo se encuentra en la fase de recolección de información. Con respecto a su legalidad, es muy complicado identificar la legitimidad de ciertas acciones, puesto que es difícil demostrar y/o discernir la intención del atacante en esta etapa preliminar. 

2.- Escaneo de vulnerabilidades: Esta es la etapa donde se utilizan los conocimientos y recursos adquiridos previamente para detectar las vulnerabilidades. Esta etapa consistiría en mirar por la mirilla/tocar la puerta…para comprobar si hay alguien. En resumen, analizar los servicios expuestos, sus versiones, principalmente para la búsqueda de vulnerabilidades públicas, sería como una fase preparatoria para el futuro ataque. 

3.- Ataque: En esta etapa se realizan los intentos de explotación de las vulnerabilidades anteriormente encontradas, ataques de fuerza bruta, denegaciones de servicio si se requieren y otros tipos de ataque en los que se busca obtener acceso al sistema objetivo, acceder a datos privados y/o confidenciales o simplemente provocar la caída de los sistemas. 

4.- Mantener acceso: el hacker ya está dentro: Una vez el hacker ha accedido al sistema en cuestión, el objetivo es mantenerse en el sistema vulnerable, lo que suele llamarse comúnmente persistencia. El objetivo de mantenerse puede consistir en realizar más ataques, pivotar a otros sistemas, obtener información confidencial…

5.- Borrar huellas: En esta última etapa, el hacker elimina todas aquellas huellas o rastros que evidencian su participación en el ataque. Aunque esta etapa es relativa, ya que en muchos ataques, los accesos se realizan mediante métodos de anonimización (Tor, proxys, pivoting, etc.) y no es tan necesario eliminar rastros ya que siempre van a ser erróneos. Pero en el caso de que se quiera pasar desapercibido y retrasar la detección de la intrusión para ganar persistencia y poder estar en sus redes o equipos el mayor tiempo posible, sí es un recurso muy utilizado. 

Si bien al principio hablábamos de la rapidez de internet, la anonimización es crucial en este tipo de delitos, ya que se hace difícil o incluso imposible averiguar al autor. 

¿Cómo entonces se protegen las empresas? A través de Auditorías de Seguridad. Es el mejor método para simular un ataque indeseado a los sistemas informáticos. 

Puesto que la ley no distingue a los hackers entre “buenos” y “malos”, se debe obtener  la autorización por escrito de la compañía auditada junto con la delimitación del alcance de la auditoría para evitar cualquier malentendido legal. Tampoco se debe olvidar la afección a los sistemas de terceros contratados por la compañía auditada. 

A2SECURE en su compromiso con la ética derivada de proyectos de Pentesting, cuenta con especialistas legales expertos en materia de tecnología y aplicación de la ley a la evolución de las actuales normativas vigentes. En caso de cualquier duda sobre la legalidad del hacking ético, póngase en contacto con nosotros.

Autor: Elen Irazabal

Leave a Comment

protección-datos-empresassegmentacion-pcidss_2