Laboratorio401: Pentesting ético

Lab401 es el socio líder en Europa para los pentesters, los profesionales de la seguridad y las fuerzas del orden. Nuestras herramientas y materiales de aprendizaje se proporcionan para permitir la auditoría de seguridad autorizada y el análisis de seguridad por parte de los profesionales, según lo permitido por las leyes locales e internacionales.

Es importante que los profesionales de la seguridad comprendan y cumplan sus compromisos legales, morales y profesionales.

A continuación se presenta una guía no exhaustiva para entender cómo garantizar el cumplimiento durante las auditorías de seguridad.

Ventajas éticas

El objetivo de un hacker ético es sencillo: atacar e infiltrarse en las redes de las empresas antes de que los actores maliciosos tengan la oportunidad. Al identificar las principales vulnerabilidades de la red, el software y el hardware, los hackers éticos ayudan a las organizaciones a identificar posibles puntos débiles, diseñar mejores defensas y desplegar mejores estrategias de mitigación de riesgos.

Como señala la Oficina de Estadísticas Laborales de EE.UU., hay una creciente demanda de hackers formados y veraces. En los próximos ocho años, la agencia predice un crecimiento laboral "mucho más rápido que la media", con un aumento del 32% en los puestos disponibles. Dado que los actores maliciosos aprovechan todo tipo de técnicas avanzadas de malware sin archivos, vulnerabilidades de código abierto y ataques de phishing de la vieja escuela, tiene sentido que las empresas necesiten hackers éticos con experiencia para ayudar a apuntalar las defensas clave.

Los hackers éticos son ahora esenciales para asegurar los nuevos sistemas tecnológicos, como el Internet de las Cosas (IoT). Según la FDA, por ejemplo, los hackers de sombrero blanco ayudaron a descubrir problemas críticos con los monitores cardíacos conectados que permitían a los atacantes controlar estos dispositivos y cambiar la configuración de los implantes de forma remota.

Pero, dada la zona gris natural que ocupan los hackers éticos, ¿cómo pueden los profesionales de TI -y las organizaciones- garantizar una seguridad adecuada incluso cuando ponen en peligro sistemas vitales?

Nos quitamos el sombrero ante los hackers

Cuando se trata de romper las reglas de forma correcta, hay tres componentes que son fundamentales:

  • La intención
  • Certificación
  • Normativa

En consecuencia, merece la pena examinar las tres clases comunes -o "sombreros"- de hackers y cómo afectan a los resultados de las TI:

  1. Sombrero negro - estos hackers son los "malos" estereotipados: comprometen y se infiltran en los sistemas para causar daños o robar datos. Los hackers de sombrero negro pueden robar y exfiltrar información, instalar ransomware y exigir un pago, o dañar sistemas clave. Estos atacantes pueden operar solos o en grupo y no obedecen ningún código normativo
  1. Sombrero gris - este hacker suele tener buenas intenciones pero opera al margen de los marcos legales que rigen la seguridad informática. Pueden utilizar vulnerabilidades comunes o herramientas de hacking gratuitas para poner en peligro los sistemas o el software de la empresa y luego advertir a los diseñadores y desarrolladores de que existen fallos
  1. Sombrero blanco - estos hackers operan con el permiso expreso de las empresas. En algunos casos, son contratados directamente por las empresas; en otros, operan como contratistas o forman parte de servicios de terceros. Pueden realizar pruebas de penetración o ejercicios de "equipo rojo" diseñados para infiltrarse en los sistemas e informar activamente de sus hallazgos. Los hackers de sombrero blanco combinan la intención y la normativa para mejorar la seguridad informática

Formación esencial

Aunque cualquier profesional de TI puede asumir el papel de hacker de sombrero blanco con el permiso de la empresa, muchas organizaciones buscan ahora personal con certificaciones específicas que hablen de su perspicacia para el ataque y su conjunto de habilidades de seguridad. Las cualificaciones más populares son:

  • Certified Ethical Hacker (CEH) : esta certificación del EC-Council evalúa la capacidad de los profesionales de TI para identificar, abordar y remediar los principales problemas de seguridad.
  • Global Information Assurance Certification (GIAC) - gestionado por el SANS Institute, el programa GIAC ofrece una variedad de cualificaciones centradas en el hacking ético, como la certificación GIAC Penetration Tester
  • Offensive Security Certified Professional (OSCP) - diseñada para profesionales de TI con experiencia; esta certificación altamente técnica se centra en el hacking activo de sistemas que demuestra una clara comprensión del proceso de pruebas de penetración

Leyes y orden

Dado que los hackers éticos se encuentran en la intersección de la ciberseguridad y el compromiso del sistema, se han desarrollado marcos para definir las funciones clave y describir las obligaciones esenciales. Estas normas se dividen en tres grandes categorías:

  • Normativa gubernamental : la legislación varía según el lugar; por ejemplo, la Ley de Privacidad del Consumidor de California (CCPA) regula la recopilación, el almacenamiento y la transmisión de datos de los consumidores por parte de las empresas. Esto significa que los hackers éticos deben tener cuidado de no exponer o comprometer estos datos mientras evalúan los sistemas empresariales. Por su parte, la Ley Federal de Fraude y Abuso Informático (CFAA) define sanciones específicas por "acceder a un ordenador y obtener información" o "causar daños y pérdidas por negligencia mediante un acceso intencionado". En consecuencia, es fundamental que los hackers éticos se aseguren de que todos los planes de piratería informática de la empresa vayan acompañados de documentación de apoyo para evitar un posible enjuiciamiento.
  • Expectativas de la empresa : el hacking ético requiere una documentación detallada para garantizar que las empresas obtienen los resultados que buscan, y los profesionales de TI tienen unos límites claramente definidos. Por ejemplo, las empresas pueden querer que se prueben determinados sistemas o programas informáticos, y que se dejen en paz otros; unas expectativas claras, combinadas con instrucciones escritas, garantizan que los agentes éticos y las empresas estén en sintonía. Y esto ayuda a evitar posibles problemas una vez concluidos los contratos, o cuando los profesionales de TI se marchan para buscar otra oportunidad.
  • Obligaciones profesionales : los hackers de sombrero blanco también se rigen por las obligaciones profesionales establecidas por los organismos de certificación. Por ejemplo, el código deontológico del EC-Council contiene indicaciones específicas para los profesionales de la informática, como por ejemplo
    • Protección de la propiedad intelectual
    • Revelación de posibles daños o perjuicios a las partes afectadas
    • Uso de la propiedad de TI y de las redes sólo según lo autorizado
    • Priorizar la conducta ética y la atención profesional

El incumplimiento de estas obligaciones éticas dará lugar a la pérdida de las certificaciones de hacking ético.

Además, Lab401 proporciona sus herramientas y formación específica y exclusivamente para su uso en situaciones éticas y legales. Los usuarios son los únicos responsables de cumplir con todas las leyes de su localidad. Lab401 no se hace responsable del uso no autorizado o ilegal.

Estas normas están formalizadas en nuestros Términos y Condiciones de venta, y son compromisos legalmente vinculantes: para más información, consulte nuestros Términos y Condiciones.

Español