En ciberseguridad, el término hacking ético se acuña a los procesos que se efectúan con el fin de verificar la integridad de una entidad gubernamental o privada y detectar las vulnerabilidades potenciales que un ciberatacante pueda emplear para alterar el adecuado funcionamiento de un servidor.
‘Hacking’ ético
En este mundo globalizado, los accesos al mundo de la información son la ventana que ayuda a la visibilidad de productos ofrecidos en el comercio electrónico. Pero el estado frágil de los mismos, mediante los data leaks, ha hecho necesario que los reguladores de las entidades financieras obliguen a efectuar pruebas continuas en los servidores con el fin de prevenir incidentes.
En ese marco, los equipos de respuesta ante emergencias informáticas (CSIRT, por sus siglas en inglés) generan reportes semanales que conllevan información relevante sobre exploits circulantes en el cibermundo, siendo los bug bounty quienes, alimentados por los programas de recompensas de entidades como Facebook, Google o PayPal, atribuyen reconocimiento en un hall of fame a quienes colaboran para descubrir fallos de seguridad.
Pero en este mundo no todo es tan ideal. Para un proceso de hacking ético se requiere cumplir con pasos y normativas, siendo los mismos establecidos en los procesos de convocatorias de contrataciones estatales. La transparencia en el acceso de información hace que estas licitaciones ayuden a reclutar empresas para efectuar estas labores, no sin antes firmar los contratos de confidencialidad correspondientes con el fin de que ninguna información, a raíz de los procesos de auditoría informática, sea accesible para terceros.
Lamentablemente, los servicios de hacking ético son mal solicitados. Se trata de solicitudes de acceso de información de transferencia de documentos de empleados a externos, espionaje industrial, accesos remotos no autorizados, sabotaje informático, archivos ocultos o porque la entidad sufrió un ataque de ransomware. Pero todos estos motivos corresponden a análisis informático forense, dado que el hacking ético se efectúa de forma preventiva, no post mortem.
Fases del ‘hacking’
Aclarado esto, a continuación detallaré los pasos del hacking ético.
Fase 1: reconocimiento. Se suele dividir en Information Gathering, Human Hacking y Doxing. En esta fase se necesita adquirir, de toda forma posible, la información pública, descargar el contenido de un servidor, ubicar el listado de empleados, la información relevante de personas que pueden tener los accesos de información privilegiada (administradores)…
Fase 2: escaneo. En esta etapa se efectúan los escaneos de puertos, listados de IP de los computadores, la arquitectura de los mismos y otros datos relevantes para el análisis como son certificados digitales o listado de subdirectorios.
La información se obtiene con herramientas automatizadas, basándose incluso en listados de incidentes previos, forados de seguridad que se consiguen del lenguaje de programación de la página como Drupal, Joomla o WordPress. O en el caso de base de datos, problemas de configuración SQL Injection, Cross-site scripting incluso Dorks como colocar las palabras (index of .gob.es) en un browser que permite conocer arquitectura y problemas de configuración de información pública, verificación de errores de código con W3C y otros servicios que permiten a cualquier administrador mejorar la seguridad de sus entidades.
Fase 3: obtener acceso. Una vez testeado de forma manual o automática, esta etapa consiste en acceder al servidor analizado con el fin de efectuar un payload y comprobar al contratante las vulnerabilidades que podrían suscitar en sus servidores.
Fase 4: mantener acceso. También llamada etapa de elevación de privilegios en obtener un root (admin) que permite eliminar contenido del servidor. Cuando efectúan un defacing en un servidor principal, los atacantes que desean reconocimiento dejan firmas con sus nicknames.
Fase 5: borrado de huellas. En muchas ocasiones, al hacer un hacking ético se encuentra información disponible colocada por atacantes previamente. Puede ser detectada desde el modo externo con (hacked by .gob.pe) digitado en un browser.
Podrán ubicar mensajes de ciberintrusos colocados en servidores. Pero quien deja el mensaje no es quien dejó abierto el acceso. Los intrusos emplean el anonimato usando VPN y otros medios necesarios –al hacer público su acceso, los administradores reparan los fallos–. Pero si no conocen que fueron vulnerados, pueden pasar meses e incluso años antes de descubrir esos detalles.
En este punto debemos separar el hacktivismo, que, como medio de protesta social, efectúa denegación de servicios o payloads con mensajes de protesta que se ubican en páginas como Zone-H y Mirror-H o terminan apareciendo en redes sociales. Hablamos de Anonymous, LulzSec y otros grupos.
¡Sigue leyendo!
Si deseas leer el artículo completo de César Chávez Martínez sobre ‘hacking’ ético, lo encontrarás en el número 18 de Segurilatam.
