�Qu� es el Hacking �tico y para qu� sirve?

La seguridad TI es una de las mayores preocupaciones de las empresas hoy en d�a.

Adem�s de contar con una completa plataforma de seguridad, capaz de proteger la
infraestructura empresarial,
el hacking �tico se ha convertido en un servicio fundamental para detectar d�nde
est� el peligro o la vulnerabilidad.
hackersEl hacking �tico analiza los sistemas y programas inform�ticos corporativos,

asumiendo el rol de un ciberdelincuente y simulando ataques a la empresa con el

objetivo de evaluar el estado real
de si seguridad TI. Para llevar a cabo este hacking �tico es imprescindible contar
con la autorizaci�n expresa de la
empresa, plasmada en un contrato donde se indiquen las obligaciones que debe
cumplir el auditor
(confidencialidad, integridad, secreto profesional, l�mites de la auditor�a, etc.).

El resultado final indica los puntos d�biles de la empresa y que pasos se deben
realizar para eliminar dichas
debilidades o mitigarlas caso de no ser posible su eliminaci�n.

Vector ofrece a sus clientes el servicio de hacking �tico dentro de su �rea de

seguridad de la divisi�n Software
Products and Outsourcing, dirigida por Francisco Jose Mateos Ballester y
Christopher McMahon. La principal ventaja
del hacking �tico es que aporta a las empresas las claves para protegerse de los
ciberataques y conseguir tres
objetivos fundamentales:

Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden

provocar un ciberataque.
Concienciar a los profesionales de las compa��as de la importancia de la seguridad
inform�tica en su trabajo diario.
Mejora sus procesos de seguridad (actualizaci�n de software, plan de respuesta a
incidentes, etc.).
Tal y como explica Vector, el hacking �tico se divide en varias fases:
Acuerdo de Auditor�a: consiste en elaborar un documento, consensuado con el
cliente, que refleje el alcance de la
auditor�a, qu� pruebas se van a realizar, qu� obligaciones tiene el auditor, el
nivel de permisividad de la empresa
frente a las pruebas de ataques que se realicen, etc.

Recopilaci�n de Informaci�n: En esta fase el auditor tratar� de recabar toda la

informaci�n posible sobre su
objetivo (empresa o aplicaci�n). Para ello emplea las m�s diversas herramientas,
desde simples b�squedas en Google,
Bing, etc. hasta el empleo de herramientas como NMap y similares en b�squeda de
puntos de entrada a la aplicaci�n y/o
empresa. Se busca informaci�n de todo tipo entre las que podemos mencionar:

Informaci�n sobre empleados: direcciones de emails, nombres de usuarios,

informaci�n personal (estilo de vida,
gustos sobre ocio, foros donde est�n inscritos, etc.) para tratar de adivinar su
contrase�a en base a dicha informaci�n,
cargo que ostentan en la organizaci�n, etc.

Informaci�n corporativa: a que se dedica la empresa, direcciones url de la empresa

(internet e intranet), DNS que utiliza,
que empresa les da hosting, directorios y archivos expuestos, servicios abiertos
en los servidores de la empresa
(http, https, ftp, ssh, etc.), versiones que ofrece de dichos servicios, sistemas
operativos que emplea la empresa,
documentaci�n filtrada en internet buscando en sus metadatos, b�squeda de
informaci�n relevante en comentarios en
c�digo de la p�gina, etc.

Modelado de Amenazas: Con la informaci�n proporcionada, se define la importancia de

los activos de la empresa y
se crean �rboles de ataque con posibles amenazas que puedan afectar a los activos
objetivo de la auditor�a.

An�lisis de Vulnerabilidades: De forma activa se buscan puertos y servicios

existentes para localizar vulnerabilidades.
Se usan recursos como bases de datos de vulnerabilidades de aplicaciones, exploits
que exploten dichas vulnerabilidades.
Se usan herramientas manuales y autom�ticas de escaneo de vulnerabilidades para
descubrirlas.

Explotaci�n: En esta fase, el auditor confirma que las vulnerabilidades detectadas

en la fase anterior son riesgos reales
a los que est� expuesta la empresa.

Post-explotaci�n: El auditor recopilar� evidencias de que la fase de explotaci�n ha

tenido �xito, valorar� el impacto
real que pueda tener la explotaci�n para la empresa y tratar� de llegar lo m�s
adentro de la organizaci�n que pueda
vulnerando otros ordenadores internos, creando puertas traseras para posteriores
accesos, etc.

Reporte: el auditor Finalmente, el auditor elaborar� un informe detallado con todas

las vulnerabilidades detectadas,
como explotarlas y como corregirlas o mitigarlas.

Posteriormente, se elaborar� un Plan de Mitigaci�n de Vulnerabilidades en el

siguiente ciclo de desarrollo y un seguimiento
de las vulnerabilidades detectadas para confirmar la eliminaci�n de las mismas.

El hacking �tico puede enfocarse en el an�lisis de la red externa o interna de la

empresa, o de las aplicaciones web.

En Vector cuentan con un Servicio de hacking �tico realizado por personal experto
en la materia y certificado.