Por Opinno Editor de MIT Technology Review en español. Yvonne Rodríguez.

El hacking ético se está convirtiendo en una necesidad ineludible para las empresas. Este tipo de práctica analiza la infraestructura tecnológica de las organizaciones simulando ataques “pirata” para así evaluar el nivel de ciberseguridad con el que cuentan

A principios de 2019 salía a la luz que se habían publicado más de 700 millones de cuentas de correo y contraseñas recopiladas en una base de datos llamada “Colection #1”. Un hackeo masivo que puso de manifiesto la necesidad de prestar atención a la ciberseguridad.

A este hackeo se suma que, durante el año 2018, se produjeron ataques masivos a empresas que afectaron tanto a las propias compañías como a miles de usuarios y clientes. El caso de la cadena hotelera Marriott es uno de los más llamativos. Aunque las alarmas saltaron en noviembre del pasado año, el robo de información se venía produciendo desde 2014. Es decir, durante cuatro años los hackers tuvieron acceso a información personal y financiera de los clientes: datos como nombres y apellidos, pasaportes, direcciones postales y tarjetas de crédito quedaron expuestos.

Son sólo dos ejemplos de entre los cientos de miles que se sucedieron durante 2018. En el mapa interactivo de Threat Cloud pueden consultarse en tiempo real y por países los ataques que están ocurriendo. Solo durante el día 23 de enero de 2019 se realizaron 148.983.041 ataques. No es de extrañar que las empresas hayan cambiado sus prioridades. Según el Barómetro de Riesgos 2019 de AGCS, los ciberataques están entre las mayores preocupaciones de las corporaciones, junto con el temor a la pérdida de beneficios. Cada vez más empresas son conscientes de la importancia de la ciberseguridad en su día a día y de que los ataques cibernéticos pueden poner en peligro no sólo los datos de la organización, sino también los de sus clientes y trabajadores.

Por eso, el hackeo ético se perfila como una de las tendencias más importantes en la industria. Pero no solo eso. Las empresas comienzan a concienciarse de la importancia de formar a su plantilla para reforzar la ciberseguridad. Los sistemas son tan fuertes como la gente que los protege. Los ciberdelincuentes son cada vez más creativos y hace tiempo que los cortafuegos y antivirus convencionales dejaron de ser totalmente efectivos. La demanda de redes de seguridad que realmente eviten prácticas malintencionadas ha hecho que algunos hackers, los llamados white hats, trabajen para las empresas comprobando si sus sistemas resisten las ofensivas y mejorándolos para hacerlos prácticamente inexpugnables.

El hacking ético es, al fin y al cabo, una auditoría de seguridad informática donde la empresa contrata a un proveedor para que este elabore un informe sobre posibles vulnerabilidades. En ese documento se recogen las posibles brechas de los sistemas informáticos. El proceso conlleva varias fases para asegurar la protección total de las infraestructuras.

Acuerdo de colaboración

Cuando una organización decide utilizar los servicios de una empresa de hacking ético, lo primero que debe hacer es firmar un contrato para definir el alcance, los permisos y las posibilidades que tiene la colaboración. En este documento también quedará por escrito que la corporación da vía libre a los hackers para realizar estos ataques de prueba. Es una pieza clave para asegurar que las pruebas se realizan sin malas intenciones.

Entre los puntos que se tratan en este acuerdo o contrato de colaboración, estarán los sistemas o “zonas” donde el hacker debe indagar y tratar de acceder. Estas áreas pueden ser sistemas de software, servidores, aplicaciones, equipos e incluso aplicaciones que los clientes de la organización auditada tengan instaladas en sus dispositivos.

Investigación y elaboración de un plan de ataque

Una vez firmado el contrato de colaboración, la empresa encargada de realizar la auditoría estudiará de forma exhaustiva todas las opciones que tienen para atacar a la empresa. Se investiga tanto el hardware como el software, utilizando todo tipo de herramientas que identifiquen las posibles vías por las que podrían entrar los hackers.

Otra de las acciones de investigación consiste en hablar con los trabajadores. Gracias a ello extraen la información sensible que manejan en su día a día, desde datos confidenciales a cifras bancarias pasando por aplicaciones instaladas. Además, se estudia el perfil personal y profesional de los empleados y se analiza su posición en la corporación e incluso sus aficiones. En este plan se recopilan todos los accesos detectados que supongan un peligro para el sistema de la organización y todas las herramientas con las que se podría acceder al mismo.

Una vez organizados estos datos, se elabora un plan de ataque que ponga a prueba la seguridad de la empresa. Este proyecto se plasma en un documento que la empresa auditada revisará con el hacker y en el que se explican los pasos a seguir para realizar los ataques de prueba. Este escrito es informativo y tiene la intención de preparar a los implicados, tanto directivos como empleados, para así evitar posibles confusiones.

El ‘pentesting‘ y la eliminación de riesgos

Los expertos en ciberseguridad atacan diversos entornos dentro del sistema de la corporación con intención de detectar fallos, vulnerabilidades o brechas. En este proceso, denominado pentesting o test de penetración, se comprueban los errores de seguridad tanto de software como de hardware buscando un lugar por el que entrar y hacerse con el control de los equipos o aplicaciones.

El origen de estos huecos puede deberse a factores diversos que van desde errores de código en programación a contraseñas previsibles establecidas por los propios usuarios. Los hackers se aprovechan de estas vulnerabilidades por medio de los exploits, que son herramientas programadas para acceder a estos sistemas y que estarán preparadas gracias al estudio realizado en la fase anterior.

Al terminar este proceso, la empresa que realiza la auditoría recopila todas las pruebas que hayan tenido éxito dentro del pentesting y se entrega un reporte con todas las vulnerabilidades detectadas y un plan para eliminarlas. En el siguiente proceso se depuran los sistemas de seguridad de la organización y se eliminan todas las vulnerabilidades encontradas. Una vez superada esta fase, se realiza un seguimiento para comprobar que las vulnerabilidades han sido erradicadas y que los sistemas informáticos de la empresa son seguros.

Las previsiones para 2019 en materia de ciberseguridad no son tan alarmantes como las de 2018, pero sí ponen especial énfasis en el hackeo con intención económica y financiera. No se pretende sembrar el pánico, sino concienciar de la importancia de la protección de la información. No sólo está en juego la propia empresa, sino la seguridad de sus clientes y empleados.