[27/10/2021] ¿Qué pasaría si pudiera pasar sus días intentando acceder a las redes y sistemas informáticos de otras personas y no se metiera en problemas por ello? Por supuesto, ese es el sueño de todo espía y ciberdelincuente, pero solo los hackers éticos, también conocidos como hackers de sombrero blanco o probadores de penetración, pueden estar seguros de que se saldrán con la suya. Estos profesionales de la seguridad son contratados para explorar los sistemas en busca de vulnerabilidades, de modo que sus objetivos son que puedan averiguar dónde necesitan reforzar su seguridad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En su día, el sector dudaba de que el hacking pudiera ser ético, pero hoy es una práctica aceptada. Existen certificaciones del sector para aquellos que quieren demostrar su talento, y las empresas crean los llamados "equipos rojos" de analistas de seguridad para mantener constantemente su postura de seguridad. Es un trabajo que requiere un conjunto muy particular de habilidades, tanto duras como blandas. Hemos hablado con varios hackers éticos y con quienes trabajan con ellos, para saber qué se necesita para conseguir este trabajo tan exigente y gratificante.
Habilidades duras
Aunque algunos especialistas en pruebas de penetración se especializan en áreas concretas de la tecnología, la mayoría son generalistas: al fin y al cabo, no se sabe qué aspecto de un sistema o red objetivo proporcionará un medio para forzar una brecha. Por lo tanto, cualquier persona que quiera entrar en este campo necesita tener una amplia gama de conocimientos sobre la tecnología; aunque no se preocupe si no tiene un título de maestría o un conocimiento profundo de los libros: el conocimiento práctico obtenido de los juegos y la experimentación será su recurso más valioso. Dicho esto, nuestros expertos proporcionaron una buena lista de tecnologías con las que debería sentirse cómodo/a al comenzar su viaje como hacker ético.
Administración de sistemas y bases de datos. Un probador de penetración necesita saber todo sobre los sistemas que está tratando de violar, y muchos hackers éticos surgen del mundo de la administración de sistemas. Jim O'Gorman, presidente de Offensive Security, dice que los probadores de penetración deben estar familiarizados con la administración general de Unix, Linux y Windows, así como con SQL y la interacción con las bases de datos.
Scripting. "La capacidad de automatizar partes del flujo de trabajo o de la infraestructura de ataque es crucial", señala Jordan LaRose, director de F-Secure. "Muchas técnicas de ataque se basan en inundaciones de solicitudes o escrituras muy repetitivas en un archivo, por lo que automatizar eso puede ahorrarle una tonelada de tiempo y cordura". Los conocimientos de scripting "son especialmente útiles en el mundo de Windows", anota Andrew Useckas, CTO de ThreatX. "Los scripts de PowerShell son una buena forma de burlar las herramientas de seguridad de los puntos finales".
Codificación y desarrollo de software. Entender cómo se escribe el código de las aplicaciones -y los procesos por los que se escribe ese código- puede ser la clave para encontrar sus puntos débiles. "Muchos de los mejores expertos en seguridad se iniciaron en el mundo del desarrollo de software y eso tiene mucho sentido", afirma Elad Luz, director de investigación de CyberMDX. "Estar en el lado del desarrollo proporciona una visión de la construcción de un producto, y expone al desarrollador a una variedad de diferentes herramientas y software. Y lo que es más importante, puede entrar en la mente del desarrollador y comprender los retos a los que se enfrenta".
Redes. Si se planea violar una red objetivo, hay que saber cómo funcionan las redes y las formas más complicadas de navegar por ellas. "Tenga un conocimiento básico de los diferentes tipos de protocolos y de las capas de red y sistemas operativos", insta Colin Gillingham, director de Servicios Profesionales de NCC Group. Yaroslav Babin, jefe de seguridad de aplicaciones web del equipo SWARM de Positive Technologies, añade que, en particular, hay que centrarse en "las redes internas y en los principios y características del servicio Active Directory, ya que la mayoría de las infraestructuras corporativas están construidas sobre Microsoft Windows".
Diseño de aplicaciones web y vulnerabilidades. Las aplicaciones web proporcionan un medio común de entrada a la infraestructura de destino, y Babin dice que los pen testers deben "tener una sólida experiencia en la búsqueda de vulnerabilidades web". Esto incluye no solo el conocimiento de las vulnerabilidades más populares, sino también la experiencia en su explotación, y la comprensión de lo que cada uno de los métodos de explotación puede permitir -por ejemplo, la inyección SQL puede proporcionar no solo el acceso a la base de datos, sino que también puede permitirle a veces ejecutar remotamente comandos en un nodo".
Herramientas de hacking. Existe una gran variedad de herramientas y utilidades para que los pen testers las utilicen, muchas de ellas gratuitas y de código abierto. Pueden ser engañosamente sencillas para empezar, pero un experto en pen testers entenderá sus matices. "La gente nueva en el sector suele perderse y ejecutar análisis automáticos sin establecer una configuración adecuada y reportar falsos positivos", señala el especialista independiente en ciberseguridad, Daniel Kirchenberg. "Es necesario probar también los resultados antes de perder el tiempo. Entender cómo funcionan las herramientas puede acabar ahorrando horas e incluso días de trabajo."
Habilidades blandas
Probablemente habrá adivinado que un hacker ético necesita una amplia gama de habilidades técnicas para ejecutar correctamente las pruebas de penetración contra los sistemas objetivo. Pero los profesionales de las pruebas de penetración con los que hablamos hicieron hincapié en la amplia gama de habilidades blandas y rasgos de personalidad que pensaban que eran esenciales para la vida de un hacker ético. La mayoría de las habilidades técnicas se pueden enseñar, pero muchos de estos rasgos son más una cuestión de cómo se piensa que de lo que se sabe.
Pasión. Quizás la respuesta más común que obtuvimos de todos los expertos con los que hablamos es que un hacker ético debe tener una intensa curiosidad por el funcionamiento de los sistemas y amar el hacking por sí mismo. "Las personas que desempeñan estas funciones tienen que tener el ADN de querer desarmar las cosas y descubrir todas las formas diferentes de hacerlas", señala Tammy Kahn, directora general y cofundadora de la consultora de blockchain BTblock. "Y lo que es más importante, tienen que hacerlo porque les encanta la ruptura, no por el beneficio monetario".
Esa pasión puede ponerse a prueba en tareas especialmente complicadas, por lo que la capacidad de perseverar ante los contratiempos es imprescindible. "Las pruebas de penetración no son una ciencia exacta, y a menudo se necesitan muchos intentos e iteraciones antes de conseguir entrar en algo", señala LaRose de F-Secure. "Hay que ser persistente y no tener miedo de probar ideas locas".
Dicho esto, los pen testers también tienen que ser capaces de (en las sabias palabras de Kenny Rogers) saber cuándo retirarse e irse. "Los hackers necesitan mantener una actitud de confianza para seguir adelante en un esfuerzo aparentemente inútil, pero también deben preguntarse periódicamente si están yendo en la dirección correcta y no dejar que el ego se interponga en el camino", sostiene Luz de CyberMDX. "Es bueno no dejarse intimidar por el fracaso, pero también hay que estar dispuesto a descartar una investigación en la que ya se ha invertido una cantidad importante de tiempo si no se ven progresos. Saber cuándo parar es tan importante como la perseverancia en algunos escenarios".
Y la pasión y la curiosidad de un hacker ético deberían significar que siempre está aprendiendo sobre los nuevos desarrollos en la industria y mejorando su conjunto de habilidades. "A menudo se encontrará con un muro y necesitará aprender una nueva técnica, o tendrá que investigar a fondo a la persona o empresa a la que se dirige para determinar la mejor manera de atacarla", sostiene LaRose. "Gran parte del tiempo de una prueba de penetración se dedica en realidad a desarrollar estas nuevas habilidades o a realizar una recopilación de inteligencia sobre tu objetivo".
"Las prácticas de código cambian, llegan nuevos lenguajes, se lanzan nuevos frameworks, algunos se actualizan, las aplicaciones también se actualizan, y esto solo significa una cosa: tiene que seguir aprendiendo para seguir realizando su trabajo", añade Kirchenberg.
Inteligencia. Otro aspecto en el que coinciden la mayoría de nuestros expertos es que los expertos en seguridad informática tienen que "pensar de forma diferente", yendo más allá de los conocimientos informáticos y utilizando el pensamiento lateral para abordar los problemas a los que se enfrentan al irrumpir en las redes objetivo. En el centro de las "habilidades blandas" está la capacidad de pensar fuera del guión", comenta Doug Britton, director general de Haystack Solutions. "Hay que ser ágil, audaz y creativo".
Los hackers éticos "necesitan la capacidad de pensar fuera de la caja para ser capaces de encontrar los casos límite de un sistema -lagunas en las especificaciones o simplemente un uso inesperado", añade Diego Sor, director de Servicios de Consultoría de Core Security by HelpSystems.
LaRose, de F-Secure, hace hincapié en dos cualidades que caracterizan el proceso de pensamiento de un buen pen tester. La primera es la capacidad de deducción, a menudo basada en información limitada. "A menudo los efectos de lo que hace como pen tester ocurren entre bastidores, y tiene que ser capaz de adivinar si lo que está haciendo funcionará o ha funcionado", señala. La segunda es la capacidad de pensar en el hacking como un problema humano, no solo técnico. "Durante cualquier tipo de prueba con un componente de ingeniería social, como el phishing, es crucial ser capaz de ponerse en la piel del público objetivo para elaborar un pretexto más creíble", explica.
Los hackers éticos no solo tienen que meterse en la mente de sus objetivos: también tienen que entender a los atacantes reales, cuyas técnicas intentan emular para ayudar a los buenos a entender a qué se enfrentan. Antes, un equipo rojo solo tenía que 'entrar' para demostrar su valor", sostiene Ron Gula, presidente de Gula Tech Adventures. "Ahora los equipos rojos necesitan emular activamente a los actores de la amenaza, lo que significa conocer las técnicas de amenazas específicas. Esto se manifiesta en ciertos tipos de herramientas Mitre ATT&CK y en la simulación de campañas de comando y control de malware a largo plazo".
Comunicación y colaboración. La imagen estereotipada de un hacker, ético o no, es la de un lobo solitario, encaramado detrás de un teclado en una habitación oscura, buscando los puntos débiles de un objetivo. De hecho, la capacidad de trabajar en equipo y de comunicarse con los compañeros y los clientes es una de las cualidades más importantes que puede tener un pen tester, anota Gabby DeMercurio, director de equipo rojo, ingeniería social y pruebas de penetración física en Coalfire. "Puede ser el mejor hacker del mundo, pero si no puede traducirlo en un informe legible y coherente sobre lo que ha hecho y cómo lo ha hecho para que un cliente pueda seguirle, copiar su ataque y luego arreglarlo, entonces no importa realmente al final del día", anota.
Como señala Daniel Wood, jefe de seguridad de productos de Unqork, "es increíblemente importante que sea capaz de traducir el riesgo técnico de seguridad en riesgo empresarial. Eso significa entender las organizaciones, sus casos de uso empresarial y el impacto que tendría una vulnerabilidad técnica en su capacidad de funcionamiento, la confidencialidad de sus datos y, en última instancia, la seguridad de sus clientes".
Estas habilidades de comunicación son especialmente importantes debido a la delicada naturaleza del negocio del sombrero blanco: recuerde que, si consigue vulnerar el sistema objetivo, habrá avergonzado potencialmente a algunos de los empleados de su empresa cliente. "A diferencia de los hackers que intentan explotar una vulnerabilidad, los hackers de sombrero blanco están trabajando con un tercero con la intención de mejorar la ciberseguridad de un producto determinado", señala Luz de CyberMDX. "Aunque en última instancia está de su lado y trata de ayudar, el reto aquí es dar las malas noticias -informar de una vulnerabilidad- y al mismo tiempo mantener una atmósfera positiva en la discusión que conduzca a relaciones de trabajo cooperativas".
Esas buenas relaciones de trabajo son importantes también dentro de su propio equipo. "Ser capaz de trabajar con sus compañeros de trabajo es importante, ya que no lo sabe todo", sostiene DeMercurio de Coalfire. "Ser capaces de aprender y ayudarse mutuamente a crecer, es lo que queremos decir con 'se necesita un pueblo'. Los llaneros solitarios se quedan rápidamente atrás de los que trabajan bien juntos".
Y sus aliados deben ir más allá de la gente empleada por su empresa. "Una de las partes más importantes de las pruebas de penetración es la comunidad que las rodea", anota LaRose de F-Secure. "La comunidad de seguridad ofensiva es una de las más unidas del mundo, y casi todo lo que hacemos se basa en el trabajo de otros innumerables miembros de nuestra comunidad. Ser capaz de comprometerse con la comunidad, aprender de ella y contribuir a ella son habilidades que todo pen tester necesita para tener éxito".
Ética. OK, tal vez esto parece obvio, ya que la palabra "ética" está ahí mismo en la descripción del trabajo. Pero la verdad es que a un pen tester se le da mucha responsabilidad y poder, y es importante sentirse seguro de que no va a abusar de ello.
Heather Neumeister es directora de operaciones de personas en NetSPI, que se especializa en pruebas de penetración y gestión de la superficie de ataque. "La evaluación de la ética de un candidato se basa tanto en los antecedentes como en la evaluación personal", explica. "Cuando parte de los criterios que se tienen en cuenta para una nueva contratación son la ética y la moral, siempre va a haber un elemento de instinto visceral. Pero también es importante preguntarse por qué alguien ha decidido dedicarse a las pruebas de pluma, ya que normalmente se puede identificar rápidamente la intención de una persona durante las conversaciones iniciales. Para encontrar personas con una ética y una moral fuertes, puede ser útil fijarse en las actividades que un candidato realiza en la comunidad. Las actividades extracurriculares, como el trabajo sin ánimo de lucro, la investigación pública y las contribuciones de código abierto, pueden ser indicadores útiles de un nivel ético más alto, ya que a menudo ocurre que aquellos que eligen beneficiar positivamente a la industria de la seguridad sin beneficio personal, son los que están verdaderamente comprometidos con el comportamiento ético".
Por supuesto, la ética y la ley no son lo mismo, y por mucho que uno se atenga a su código ético, debe asegurarse de que se mantiene en el lado correcto de la ley. Esto es especialmente cierto en el mundo de las pruebas de hacking, donde las legalidades pueden ser borrosas y los egos de los clientes pueden ser heridos, señala Michael Jeffcoat, fundador de The Jeffcoat Firm. Jeffcoat es un abogado de seguros que ha trabajado estrechamente con varios hackers de sombrero blanco a lo largo de los años. "La falta de un marco legal universalmente reconocido, deja a los hackers éticos expuestos a demandas", explica. "Aunque los hackers éticos puedan tener un contrato en el que se indique que sus empleadores les pidieron específicamente que se infiltraran en sus sistemas, el empleador puede presentar una demanda si considera que el hacker realizó 'ataques no solicitados'".
Para evitar este tipo de problemas, aconseja que los pen testers tengan una buena base en la ley pertinente, un buen abogado, o ambos. "Los hackers éticos deben leer detenidamente los contratos de sus proyectos", insta. "Todos los acuerdos deben indicar explícitamente el alcance y la limitación de los servicios de pruebas de penetración solicitados. Recuerde: los detalles explícitos evitan las interpretaciones sujetas del contrato".
Los pocos, los orgullosos, los hackers
Las cualidades que hemos descrito aquí, que combinan conocimientos técnicos, pensamiento innovador y habilidades de comunicación y colaboración "blandas", pueden parecer una tarea difícil. Pero también explica por qué los hackers éticos parecen ser más importantes que la vida en los círculos de seguridad.
"Un hacker agradable, en el que la gente confía y con el que le gusta hablar, es el más peligroso y demandado de todos", explica DeMercurio. "¿Por qué? Porque esa es la persona que se abre paso en un edificio, hace que alguien le entregue las llaves del armario de datos, y luego le deja en paz porque era de confianza. Esa es la persona a la que debería aspirar, y esa es la persona a la que las empresas deberían temer. Por suerte para ellos, somos hackers de sombrero blanco".
Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú
Puede ver también: