De ingeniería social a IA: las últimas técnicas del hacking ético

Las vulneraciones de seguridad —cualquier incidente que dé acceso no autorizado a datos, aplicaciones, redes o dispositivos— son la mayor amenaza a batir para un 57% de los 'hackers' éticos, según la empresa de ciberseguridad HackerOne. En su reciente informe de 2023, la empresa de ciberseguridad, especializada en resistencia a ataques y 'hacking' ético, explica que los servicios 'online' y los servicios financieros son a los que más se enfrentan los integrantes de su comunidad. El estudio constata que los trabajos de 'hacking' ético continúan aumentando año a año, añadiendo complejidad y diversificación a sus técnicas de rastreo de vulnerabilidades para enfrentarse a los ciberdelicuentes.

 ¿Qué es el 'hacking' ético y cómo funciona?

El 'hacking' ético es la práctica de utilizar habilidades de 'hacking' o penetración de sistemas de manera legal para identificar vulnerabilidades en sistemas informáticos, redes o aplicaciones. La diferencia con los ciberatacantes es que los 'hackers éticos' o 'pentesters' ('penetration testers' o probadores de penetración) utilizan estas técnicas de manera autorizada y con el propósito de fortalecer la seguridad en lugar de comprometerla.

La universidad especializada en tecnología U-Tad explica que estas estrategias son una parte importante de la ciberseguridad general de las organizaciones, ya que ayuda a las empresas a identificar y abordar vulnerabilidades antes de que puedan ser explotadas con fines maliciosos.

Principios básicos del 'hacking' ético

Para que la estrategia de 'hacking' ético funcione, existen algunos principios básicos recogidos por la Universidad Francisco de Vitoria (UFV):

• Autorización y consentimiento. Antes de cualquier intento de penetración se firma un permiso escrito entre la organización y el 'hacker' que define el alcance y las restricciones del trabajo a realizar.
• Profesionales altamente cualificados. Con capacitación y certificados en ciberseguridad y con conocimiento profundo de las técnicas utilizadas.
• Confidencialidad. Los profesionales se comprometen en el acuerdo a mantener la confidencialidad sobre toda la información sensible o los datos a los que tengan acceso durante las pruebas.
• No explotar vulnerabilidades. A diferencia de los ciberdelincuentes, los 'hackers' éticos no alteran ni destruyen datos o sistemas.
• Notificación. Una vez que el profesional contratado identifica una vulnerabilidad, la notifica al propietario del sistema y proporciona recomendaciones para solucionarlo.

Las cinco fases del 'hacking' ético

Con esas bases, la UNIR detalla que el 'hacking' ético implica un proceso detallado de cinco fases:

1. Reconocimiento. El 'hacker' ético busca obtener toda la información antes de iniciar el ataque. En esta primera fase de recopilación, acceden a datos como contraseñas o información de los empleados, por ejemplo.
2. Escaneo. En esta fase se usan herramientas para identificar datos como las IP, credenciales o los certificados digitales.
3. Obtener acceso. Es el momento de acceder al servidor aprovechando  las vulnerabilidades o defectos de seguridad, con el fin de acceder a datos sensibles, descargar 'software' malicioso, pedir rescates, etc.
4. Mantener acceso. El 'hacker' ético debe mantener el acceso al sistema vulnerable. En esta fase, se utilizan  diversas técnicas como puertas traseras, troyanos, etc.
5. Limpiar huellas. Con el proceso de eliminación de huellas que han quedado se acaba el proceso de 'hacking' ético.

'Hacking' ético: beneficios para el mundo empresarial

Además de identificar los puntos débiles de los sistemas para mejorar la seguridad, el 'hacking' ético también puede ayudar a mejorar la reputación de una organización, demostrando su compromiso con la seguridad y la protección de la información confidencial.

Para el Instituto Nacional de Ciberseguridad (INCIBE), los 'hackers' éticos son piezas clave de las empresas al realizar esa labor de consultoría en ciberseguridad con profesionales altamente especializados y actualizados con varias ventajas:

• La detección de posibles vulnerabilidades permite mejorar la seguridad y aplicar soluciones preventivas para prevenirlas.
• Refuerza los protocolos de seguridad y previene que los equipos de la empresa sean comprometidos, con el consecuente ahorro de costes y tiempo.
• Ayuda a mantener la información sensible y la privacidad de los datos bajo el control de la empresa, cumpliendo con ello los reglamentos de protección de datos.

Técnicas de 'hacking' ético para la ciberseguridad

Las técnicas utilizadas en el 'hacking' ético cambian según el entorno y los sistemas específicos que se quieran evaluar. Hay una amplia variedad pero algunas de ellas destacan en el ámbito de la ciberseguridad empresarial, de acuerdo con ESED Cibersecurity and IT Solutions y Knowledge Hut:

• Análisis de aplicaciones web. Dado que muchas empresas dependen de aplicaciones web para diversas funciones, los 'hackers' éticos realizan pruebas específicas para identificar vulnerabilidades en estas aplicaciones. Esto puede incluir la búsqueda de fallos en la lógica de la aplicación, inyecciones SQL o vulnerabilidades de ‘cross site scripting’ (XSS).
• Pruebas de penetración. Esta técnica implica simular un ataque real contra los sistemas de una empresa para identificar y explotar vulnerabilidades. Los expertos utilizan herramientas y técnicas para intentar penetrar en la red, sistemas y aplicaciones con el fin de evaluar su resistencia a los ataques.
• Ingeniería social. Implica manipular a las personas para obtener información confidencial o persuadirlas para que realicen acciones específicas que puedan comprometer la seguridad. Esto puede incluir el uso de correos electrónicos de 'phishing', llamadas telefónicas fraudulentas o incluso visitas presenciales simuladas.
• Análisis de vulnerabilidades. Se utilizan herramientas automatizadas y técnicas manuales para identificar y evaluar las vulnerabilidades en sistemas, aplicaciones y redes. Esto puede incluir la búsqueda de debilidades en el 'software', configuraciones incorrectas o falta de actualizaciones de seguridad.
• Análisis de tráfico. Consiste en analizar el tráfico de red para identificar patrones y posibles amenazas. Esto incluye el monitoreo de patrones de comunicación, y la identificación de puntos débiles de seguridad en las redes de comunicaciones y su explotación para la realización de  posibles actividades maliciosas.

 La inteligencia artificial, una aliada

Como herramienta transversal a estas técnicas, la inteligencia artificial (IA) emerge como aliada del 'hacking' ético dentro de las estrategias globales de ciberseguridad. Los sistemas de IA pueden analizar patrones de tráfico y comportamiento en las redes, tienen la capacidad de realizar análisis predictivos para prevenir amenazas, y hacen posible la automatización de las pruebas de penetración, según Kaspersky. También analizan grandes cantidades de datos en tiempo real, algo que facilita y acelera el proceso de identificación y explotación de vulnerabilidades.

El 'hacking' ético y la IA se entrelazan para ofrecer soluciones de ciberseguridad avanzadas a las empresas. Ponerse en el lugar de los ciberdelincuentes para detectar vulnerabilidades aprovechándose de las últimas tecnologías es fundamental en el blindaje de las compañías.