Ethical Hacking es la tarea de mayor contenido técnico en Seguridad de la Información. En una implementación de Pentest debemos sumar horas de investigación, educación, experiencia y fundamentalmente creatividad.
El hecho de que sea una ciencia de orientación técnica no implica que sea una ciencia exacta; es más, lejos está de serlo. Testimonio de esto es que nuestros informes deben siempre incorporar evidencia de cada una de las vulnerabilidades que encontramos. Hackers automáticos, scanners de vulnerabilidades, herramientas “todo en uno”; sirven de apoyo pero no alcanzan…
En esta rama de Infosec no hay una receta milagrosa, sin embargo da nada sirve lograr éxito en la intrusión si no se puede explicar cómo se hizo, o las recomendaciones para mitigar el riesgo, que es lo más valioso para el cliente.
Los que ya tienen varios años de experiencia en Ethical Hacking coinciden en que hay que partir de lo general hacia el detalle, ya que en los pequeños detalles están los agujeros de seguridad. También recomiendan ser oportunos: no esperar para testear las vulnerabilidades ni esperar demasiado tiempo para presentar el informe.
Generalmente incurrimos en el error de trabajar de forma desordenada, documentando solamente los resultados sin incluir las metodologías. Pero a mí no me contrataron para demostrar lo débil que puede ser un objetivo: mi meta debe ser intentar identificar todas las vulnerabilidades de mi objetivo, recaudar evidencias y recomendar mejoras para mitigar los riesgos. Entonces, ¿cuáles son las mejores prácticas? Para desarrollar un Pentest de forma ordenada hay metodologías que nos pueden orientar a organizarlo, podemos citar el OSSTMM de ISECOM (Manual de la Metodología Abierta de Testeo de Seguridad), también está el Proyecto OWASP (Open Web Application Security Project). Aunque no estén formalmente establecidos como estándares, nos brindan lineamientos a seguir en un testeo. Inclusive podríamos definir nuestra propia metodología; lo importante debe ser que nuestro trabajo gire en torno a brindar soluciones y no en demostrar lo fácil que es romper una red.
Ethical Hacking es el “niño mimado” de esta profesión ya que ofrece resultados tangibles e informa el estado real de Seguridad de la Información de una Compañía. Pero para que sea eficiente es fundamental que el proceso sea realizado de forma ordenada y metodológica, y los resultados deben ser aplicables y en concordancia con la tecnología de la Compañía. Lo importante: un Ethical Hacker debe ser un profesional que brinde la confianza necesaria para que nos vuelvan a contratar y no que, luego de entregado el reporte, el cliente prefiera que estemos lo más alejados posible de su Compañía!!!! |
Christian Javier Vila Toscano
Security Consultant - Responsable Patagonia
I-SEC Information Security Inc.
christian.vila@i-sec.org |
