1 45 Table of Contents 47 124

Segurilatam 018

/ Segundo cuatrimestre 2021 46 artículo técnico Ciberseguridad E l término hacking ético se acuña a los procesos que se efectúan con el fin de verificar la integridad de una entidad gubernamental o privada y detectar las vulnerabilidades potencia- les que un ciberatacante pueda emplear para alterar el adecuado funcionamiento de un servidor. ‘Hacking’ ético En este mundo globalizado, los accesos al mundo de la información son la venta- na que ayuda a la visibilidad de produc- tos ofrecidos en el comercio electrónico. Pero el estado frágil de los mismos, me- diante los data leaks , ha hecho necesa- rio que los reguladores de las entidades financieras obliguen a efectuar pruebas continuas en los servidores con el fin de prevenir incidentes. En ese marco, los equipos de res- puesta ante emergencias informáticas (CSIRT, por sus siglas en inglés) gene- ran reportes semanales que conllevan información relevante sobre exploits circulantes en el cibermundo, siendo los bug bounty quienes, alimentados por los programas de recompensas de entida- des como Facebook, Google o PayPal, atribuyen reconocimiento en un hall of fame a quienes colaboran para descu- brir fallos de seguridad. Pero en este mundo no todo es tan ideal. Para un proceso de hacking ético se requiere cumplir con pasos y norma- tivas, siendo los mismos establecidos en los procesos de convocatorias de con- trataciones estatales. La transparencia en el acceso de información hace que estas licitaciones ayuden a reclutar em- presas para efectuar estas labores, no sin antes firmar los contratos de confi- dencialidad correspondientes con el fin de que ninguna información, a raíz de los procesos de auditoría informática, sea accesible para terceros. Lamentablemente, los servicios de hac- king ético son mal solicitados. Se trata de solicitudes de acceso de información de transferencia de documentos de emplea- dos a externos, espionaje industrial, ac- cesos remotos no autorizados, sabotaje informático, archivos ocultos o porque la entidad sufrió un ataque de ransomware . Pero todos estos motivos corresponden a análisis informático forense, dado que el hacking ético se efectúa de forma preven- tiva, no post mortem . La importancia del ‘hacking’ ético: fases, informes y análisis C ésar C hávez M artínez C onsultor en S eguridad I nformática

RkJQdWJsaXNoZXIy ODM4MTc1