Bekesantos Servicios de Tecnología

Planes Corporativos de Hardware & Software

Consolidación de Servidores y Almacenamiento

Servicios de Tecnología

Aplicaciones

Portales de Colaboración

Gerencia por Proyecto

Gestión por Proceso (BPM)

Servicios SAP

Outsourcing

Headhunting


					Solicite Servicio		\|	Suscríbase a Bekepasa	\|	Contáctenos


	Artículos


	Portafolio de Soluciones
	Gestión de Negocios	»
	Talento TI	»
	Optimización de Infraestructura	»

	Actualidad
	Noticias
	Artículos
	Eventos
	Soluciones a la medida
	Historias de Éxito


	Acerca de BekeSantos
	Quiénes Somos
	Qué Hacemos
	Aliados de Valor
	Clientes Atendidos
	Oficinas y Contactos
	Oportunidades Laborales

La seguridad informática proactiva: el hacking ético

Los piratas informáticos, buena parte por lucro, otros por simple entretenimiento, pueden llegar a atentar severamente contra la información y la infraestructura tecnológica de una organización. Incluso en el mejor de los casos, cuando el daño es reversible, el tiempo y el dinero necesarios para la recuperación del ataque hace ineludible buscar alternativas como la ofrecida por el hacking ético: pensar como el enemigo para enfrentarlo.

Por Jesús Nieves Montero.

Las armas de los piratas informáticos han alcanzado un grado de desarrollo y sofisticación capaz de vulnerar al más robusto sistema de seguridad, poniendo en riesgo la confidencialidad de información crítica para cualquier empresa y atentando contra la integridad de su infraestructura tecnológica.

El potencial de Internet como parte medular de las comunicaciones de una organización ha hecho obsoleto el enfoque que anteriormente se tenía en relación con la seguridad: aislar completamente las redes del mundo exterior.

El comercio-e, las complicadas cadenas de suministros, los dispositivos móviles y oficinas virtuales se han convertido en requerimientos de los negocios en el siglo XXI, por lo que este enfoque queda descartado, y a la vez obliga al personal TI a asumir el riesgo que la situación implica.

La seguridad informática reactiva

Las alternativas de protección son de conocimiento relativamente común entre los profesionales de la tecnología, sin embargo, cada vez que se asegura que un determinado sistema tiene una confiabilidad de 95 o 98% se está aceptando que hay por lo menos 2% de probabilidad de ser vulnerable a un ataque.

La preocupación es tal que en una encuesta realizada en 2006 a una muestra representativa de profesionales TI por parte de INS, apenas 8% respondió que estaba convencido de que su red no sería vulnerada durante este año.

Sin embargo, los ataques, aparentemente, tienen una ventaja: es gracias a ellos -durante o después del incidente- que el personal TI descubre habitualmente muchas de las vulnerabilidades de la infraestructura, es cuando el personal de tecnología sabe que existe un problema que debe ser solucionado.

Hacking ético: pensar como el enemigo

El proceso, entonces, lleva esta lógica: se tiene un sistema de protección que en algún momento es vulnerado, se descubre la debilidad, se corrige y se levantan los sistemas. Basta con un simple análisis para concluir que la inversión de tiempo y dinero necesarios para la recuperación, sumados a las complicaciones organizacionales, éticas e incluso jurídicas que podría acarrear la pérdida de confidencialidad de información propia de la empresa o datos sensibles de clientes o proveedores, obligan a explorar alternativas preventivas. Es entonces cuando se considera el hacking ético.

El hacking ético, llamado también tests o pruebas de penetración, son simulaciones de ataques verdaderos en redes, sistemas y aplicaciones. El objetivo principal de esta actividad es identificar las vulnerabilidades de la infraestructura TI para así conocer el alcance de los sistemas de seguridad actuales.

En sus versiones más exhaustivas, un proyecto de hacking ético no se limita simplemente a las áreas de la red accesibles desde internet, sino que también incluye la intranet, redes virtuales privadas, redes inalámbricas y aplicaciones web.

Es cuestión de utilizar las mismas herramientas que los piratas informáticos antes que ellos y hacer su trabajo muchísimo más complicado.

Condiciones para el hacking ético y modalidades

Si existe una condición sine qua non para el hacking ético, es que éste sea conducido por consultores independientes. La importancia de esto es que el ataque será realizado de manera objetiva y dejará al descubierto todas y cada una de las vulnerabilidades de la infraestructura.

De igual manera, las compañías especializadas en este tipo de proyectos se mantienen actualizadas en todas las herramientas y técnicas que utilizan los atacantes, a la vez que cuentan que suficiente experiencia para asegurar que las simulaciones no provocarán daño real alguno a los sistemas de su contratante.

Entre las modalidades de hacking ético se encuentran: caja blanca –se facilita la información de los puntos a atacar-, caja negra –no se ofrece información inicial alguna-, e interno para detectar intrusiones desde dentro de la red. Adicionalmente, existen simulaciones específicas para aplicaciones web, sistemas de comunicaciones o para las empresas que ya han realizado la migración a VoIP.

Un equipo de TI no puede olvidar que los piratas informáticos nunca descansan, por lo tanto, la defensa de la infraestructura es una prioridad de primer nivel en sus responsabilidades.

Politicas de Uso | Privacidad