Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Floren Molina, Advanced Cybersecurity Business Development de S21sec

La evolución de las técnicas de hacking ético

Decir que las técnicas de hacking han mejorado en los últimos años es casi una falacia.

En 15 años, por ejemplo, hemos asistido a una diversificación en las mismas, siempre dependiendo de los proyectos que los clientes demandaban, así como del avance de las tecnologías. Hace años, cuando la seguridad era menos métrica e ISO, el pentest era una forma de determinar el grado de vulnerabilidad de una organización cuando se realizaba una intrusión en algún servidor. Se obtenía información confidencial del objetivo y el pentest servía como introducción a muchas compañías que, por aquel entonces, estaban empezando a oír hablar de firewalls en el “incipiente” mundo de la seguridad telemática.

Estamos hablando del año 2000. En aquel entonces, el mundo de las webs corporativas se suscribía a páginas estáticas y usualmente sólo había correo, ftp y accesos remotos en las compañías. Luego llegaron las ISO, las normativas y el afán de medir el riesgo, transferirlo, mitigarlo, etc. En aquel momento las técnicas de hacking explotaron para incluir las pruebas a los incipientes portales web corporativos, intranets, extranets y los sempiternos canales financieros. El aterrizaje de la OWASP, supuso el despegue de las vulnerabilidades de aplicativo, casi delegando las vulnerabilidades de overflow a un destierro en las herramientas de análisis automático de vulnerabilidades y fuzzers.

El mercado

Durante todos estos años ha sido el mercado quién ha dictado el camino por el que se debían mover los pentest, sólo alterado por la inclusión de vulnerabilidades que desestabilizaban el frágil status quo. Heartbleed supuso la actualización de servidores SSL de medio mundo, lo que ha provocado que desde entonces cada nueva vulnerabilidad lleve incorporada su pequeña campaña de marketing, como fue el caso de Shellshock y últimamente el Ghost.

Sin embargo, una gran comunidad de investigadores sigue desarrollando herramientas, metodologías e investigando en vulnerabilidades fuera del entorno empresarial y del marketing que las acompaña. Volviendo al mercado, han sido las empresas las que, en un intento vano de poner cercas al campo, han restringido las pruebas de hacking a aquellos entornos en los que se sentían más cómodas, aludiendo a la resignación que padecían de conocer su estado de seguridad interno y queriendo restringir el perímetro de alcance. Ese perímetro ha ido creciendo y expandiéndose mientras se tomaba conciencia de la seguridad en la mayor parte de los casos, donde la inclusión del mundo del malware ha ido creando cabezas de playa en las redes internas, aumentando el mal llamado “perímetro” de las empresas hasta alcanzar el puesto del usuario.

s21hacking

Esa fusión del mundo del malware y del pentesting, donde técnicas y procesos se comparten, ha incrementado el riesgo residual de las compañías. ¿Malware creado ex profeso para realizar tareas de intrusión dentro de las redes corporativas, captura de credenciales, robo de información confidencial, etc.? Es aquí donde se han incorporado conceptos tales como “cisnes negros” y la respuesta en forma de “resiliencia”.

Además, hemos podido ver una evolución en los servicios de hacking, desbancando a los perennes informes de análisis de vulnerabilidades donde se incluían los intentos de intrusión; obviando las vulnerabilidades y poniendo a prueba a los equipos de seguridad internos; planteándoles pruebas de seguridad como si fuesen maniobras: detección de reconocimientos y de intentos de intrusión en sistemas y aplicaciones, respuesta a campañas de phishing y a leaks de información confidencial, investigación de incidentes internos, forenses de APT y de sistemas y malware, análisis en Sandbox de comunicaciones, comportamiento y funcionalidades de malware o respuesta a incidentes.

Capacidad y polivalencia

De esta manera, los equipos de respuesta internos tienen un enemigo que les proporciona la experiencia necesaria para responder de manera eficiente a un ataque real. Lo que a su vez obliga a los equipos de pentesting a incrementar sus capacidades y polivalencia, tratando de emular los ciberataques que se están produciendo en el día a día, así como a idear los próximos pasos. Ejemplo de ello es la creación de nuevos sistemas para la evasión de filtros antispam y antivirus en el envío de phishing y malware, y su ampliación a nuevos entornos, como las redes sociales Facebook, Twitter y foros específicos del cliente y sus trabajadores, para así evitar filtros de navegación web.Llevando un paso más allá la detección de vulnerabilidades web, con la mejora de técnicas de evasión de filtros y WAF (Web Application Firewall), así como ataques específicos a la lógica de las aplicaciones, se aprovecha la información recabada en otros ataques (usuarios, contraseñas, etc.).

Otra técnica es la ‘exfiltración’ de información por canales encubiertos, mejorando los caducos sistemas basados en protocolos de red y llevando los relacionados con redes sociales un paso más allá en cuanto a técnicas de ocultación y cifrado; o la aplicación de nuevos ataques específicos a redes internas, nuevos métodos de man-in-the-middle mediante los cuales poder extraer información de canales seguros sin ser detectados por los usuarios.Al hilo de los anteriores, también cabe destacar el ataque a dispositivos de red, donde se continúan empleando antiguos protocolos de gestión y proceso, cuya heterogeneidad en la distribución da juego en el interior de empresas; o los ataques a otros dispositivos IP que pueden servir de plataforma a otros ataques, impresoras inteligentes, dispositivos multimedia, videoconferencias, etc., dispositivos fuera de cualquier mantenimiento de seguridad y que usualmente no son monitorizados y controlados, pero que son parte intrínseca del negocio de las corporaciones.

Por no hablar del amplio mundo “móvil”, smartphones, tablets y demás dispositivos personales que nos acompañan y de los que se investigan vulnerabilidades, y para los cuales se están ya combinando ataques que tradicionalmente estaban orientados a los ordenadores personales.

Una mentalidad diferente

Para ello, es necesario una mentalidad diferente, aquella mentalidad de la vieja escuela que se debe transmitir a día de hoy a los equipos de auditoría, aludiendo a un modo de analizar la seguridad de los entornos con pensamiento lateral, buscando siempre cierta maldad en el análisis de los componentes de seguridad, aprovechando las debilidades del sistema y explotando ese riesgo residual que poseen todas las organizaciones.

Hace años, muchos de los que comenzaban en este mundo auguraban su final comercial con los sistemas automáticos de detección de vulnerabilidades. Sigue pasando el tiempo y conforme surgen herramientas que automatizan parte de los procesos, sigue habiendo un trabajo artesanal. Detrás de las herramientas actuales hay verdaderos virtuosos como las muchas conferencias de seguridad demuestran.

Además, surgen nuevos maestros que siguen afinando y fabricando nuevos instrumentos que ayudan en ese proceso de análisis de debilidades más que de análisis de vulnerabilidades.Los equipos de pentesting son por fin lo que eran hace años, de nuevo la forma en la que una compañía podía medir su madurez en seguridad, sin trabar el alcance de las pruebas, su tipología u objetivos, permitiendo que se realicen pruebas que abran los ojos sobre los nuevos riesgos que les afectan.

Es, por tanto, hora de dejar de hacer análisis de vulnerabilidades en el cliente, dar un paso más allá, y tratar de ayudar a las compañías a minimizar esa ventana de exposición a ataques. Apoyarles en que toda esa métrica que les ha permitido atar y cuantificar los riesgos sea la base de la respuesta a incidentes de seguridad necesaria para enfrentarse a los nuevos retos de ciberseguridad del día a día.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual