Español
English
El objetivo del Hacking Ético es eludir la derrota sin entrar en batalla
La obra por excelencia de tácticas militares “El Arte de la Guerra” atribuida al general, estratega y filósofo taoísta Sun Tzu, fue datada hace más de 2,500 años en China. Muchas son las aplicaciones modernas que se han encontrado para este ejemplo de anticipación y destreza en conflictos bélicos, y sorprendentemente, en áreas con una agresividad no manifiesta: ventas, marketing, legal, negociación, adquisición y reestructuración de empresas, etc. Más sorprendente es que este no sea nuestro primer título de referencia cuando reflexionamos sobre la Seguridad de la Información en nuestro panorama presente. Somos testigos de un momento histórico sin precedentes, la denominada “fría” guerra tecnológica, caracterizada por la competencia digital, el tratamiento y el control de la información, el vertiginoso desarrollo de la tecnología y la lucha por el dominio del mercado entre las grandes potencias mundiales. Esta guerra está marcada por la sensación de indefensión de las organizaciones independientemente del sector, tamaño y de los recursos con los que cuentan. Se convierte en una guerra menos visible por distante, menos agresiva por los medios empleados, pero igualmente perceptible, y de consecuencias graves y evidentes para el prestigio y éxito de las actividades empresariales actuales.
Es más, es la constante y creciente presencia de “incidentes” de seguridad la causa más probable de nuestro recelo en el uso de nuestra identidad digital, o el aprovechamiento completo de la innovación tecnológica en pos del crecimiento empresarial. Esta desconfianza es seguramente el fruto del miedo a no poder anticiparnos a ataques más sofisticados futuros, que convertirán esos avances diseñados para el éxito, en la propia herramienta de ataque que supondrá nuestro desprestigio. La Seguridad Informática se convierte en nuestro escudo de defensa y los hackers éticos en nuestros aliados, como soldados de los ejércitos de la nueva era. Como apunta Sun Tzu, “El ataque es el secreto de la defensa, la defensa es la planificación de un ataque”. No hay mejor modo de anticiparse al enemigo, que simular un ataque que fortalezca nuestras defensas, convirtiendo el hacking ético en un ejercicio esencial en esta época de continua contienda.
“Conócete a ti mismo y conoce a tu enemigo”: la competencia entre antagonistas
Los hackers éticos y los ciberdelincuentes son contrincantes en este combate constante, compitiendo en ingenio y rapidez para encontrar formas de ataque, que los primeros convertirán en medidas de defensa. Ambos comparten, sin embargo, el espíritu de lucha, en el que afán de superación, estrategia creativa, atención al detalle y capacidad de anticipación son factores determinantes para la consecución de un ataque certero, que pueda suponer la victoria. Son mentes rivales espejo, a menudo categorizadas en sociedad como problemáticas, precisamente por su mayor talento: la destreza para encontrar debilidades en sistemas funcionales. Conocer al enemigo es el factor clave para anticiparse a sus acciones. Vital es conocer su fuente de recursos y tácticas, y reconocer su valor y perseverancia.
El estigma del ethical hacker aislado y marginal se derrumba cuando se conoce a los profesionales del hacking ético. En estos proyectos trabajan integrados en equipos colaborativos cuyo objetivo final no es otro que aumentar la seguridad integral de una empresa, de un modo proactivo y basándose en la comunicación. Son conscientes de que su verdadera fortaleza y ventaja decisiva, al contrario que la de los ciberdelincuentes, es el escenario cooperativo facilitado por la ética e integridad implícitas en su ejercicio. La victoria significa para ellos haber diseñado una defensa eficaz que proteja a su aliado; apoyar a la empresa a conocer al enemigo y determinar en qué frente es vulnerable.
“Si envías refuerzos a todas partes, serás débil en todas partes”
Los proyectos de hacking ético comienzan por determinar el tipo de proyecto específico según los requerimientos de negocio del aliado: se define el alcance, la información que se le dará al hacker ético y el tiempo en el campo de batalla. En base a esto, se concreta el tipo de ofensiva y la profundidad de la misma (white, grey o black box). Se establece una estrategia, se elige a los soldados y el control de mando. Se tiende un puente de comunicación constante con la organización amiga, y se informa del progreso, con el fin también, de llegado el caso y antes de que el proyecto finalice, alertar de hallazgos que puedan requerir de una acción correctiva urgente.
Se establecen maniobras concretas y los campos de actuación: Pentesting Externo y/o Interno. Pueden hasta librarse batallas en campos específicos de modo complementario: ataques focalizados en aplicaciones web, redes Wi-Fi, dispositivos IoT, aplicaciones para iOS y Android, entre otros, cuyo objetivo es no descuidar ningún punto posible de acceso. Se utiliza además la base fundamental de «El Arte de la Guerra» – el engaño – para desarrollar ataques de Ingeniería Social que fortalezcan a los empleados, que incorporarán en su actividad diaria, con el debido entrenamiento, rutinas de detección que les transformen en la primera salvaguardia de los activos más críticos.
El fin último de las distintas disciplinas es conseguir el equilibrio y el sosiego en un entorno de conflicto. Se lucha adquiriendo un entendimiento preciso del estado de seguridad global de nuestra organización, poniéndonos a prueba mediante ejercicios de hacking ético. Se combate incrementando el control sobre la información y activos más valiosos, manteniendo nuestra reputación de compromiso con el tratamiento de los datos, en consonancia con las normativas vigentes e implementando medidas para la defensa que garanticen la continuidad de negocio. No estamos indefensos: si entre nuestras filas contamos con los oficiales y las tropas mejor entrenadas, eludiremos la derrota sin entrar en batalla.
A través de los proyectos de Hacking Ético en A2SECURE, replicamos las tácticas y técnicas utilizadas por los ciberdelincuentes, mediante proyectos claros y estructurados para recomendar actividades de mitigación de riesgos. Contamos con hackers éticos con alta capacitación y marcado compromiso con la estrategia y objetivos de nuestros clientes. El énfasis recae en la priorización de acciones correctivas y el acompañamiento a las organizaciones en fortalecer su seguridad integral y salvaguardar sus activos más críticos. Ponte en contacto con nosotros y sepa qué podemos hacer por ti.
Autor: Paola Monforte