Principal Component Analysis

El objetivo principal de un proceso de ética al hacking es el de realizar una serie de pruebas para demostrar el nivel de riesgo que contiene cada vulnerabilidad identificada durante el proceso de auditoría, estas pruebas son acordadas entre el cliente y el especialista de seguridad informática en la organización que se realiza la auditoría, al final de este análisis se elabora los respectivos informes para que la empresa pueda tomar las medidas pertinentes evitando así que existan accesos ilícitos en la red a futuro.(PÉREZ, 2015)

Las líneas generales que se debe llevar acabo en los procesos de la ethical hacking es la de investigar y detectar las vulnerabilidades existentes en un sistema de interés. Para realizar esta tarea los profesionales en el área de seguridad cumplen las 2 primeras fases del hacker ético que es las siguientes: la fase de reconocimiento y escaneo son aquellas que le permiten a la persona contratada en la organización verificar los puntos de acceso y la información relevante que puede ser comprometida.(PÉREZ, 2015)

Una vez descubierto los puntos de entrada y el tipo de información considerada como confidencial se procede a cumplir las 3 últimas fases de un ethical hacker, tales como: las fases de obtención del acceso, mantenimiento del acceso y el borrado de huellas; estas etapas muestran los niveles de riesgos y amenazas que pueden suceder, donde usuarios no autorizados afectan a la productividad de la empresa, sino se aplican los procedimientos necesarios para tener estos riesgos bajo control.(PÉREZ, 2015)

25 TIPOS DE AUDITORÍA

Las auditorias son las bases de un proceso de ethical hacking, donde el hacker llamado auditor, solamente identifica el problema y él solicita a la empresa que efectúe un plan de acción para disminuir el problema.(PÉREZ, 2015)

Los tipos de auditoría son conformados por 3 cajas:

Auditoría de caja negra: Es aquella que permite al auditor tomar el rol de un hacker, en este tipo de caja el profesional de seguridad lógica no posee la información necesaria sobre la empresa a auditar, esto quiere decir que la visión global del sistema se encuentra oculta o no se conoce como se organiza interiormente los servicios y las redes. El auditor se encargará de recopilar todo tipo de información sobre el objetivo planteado, los datos que recolecta el auditor son de carácter público y después se irán tomando los contactos con los sistemas y servicios públicos de la compañía objeto.(PÉREZ, 2015)

Auditoría de caja blanca: Este tipo de auditoria se enfoca en el rol de un usuario interno de la organización, donde este proporciona toda la información sobre los sistemas internos o la totalidad de los datos críticos al auditor. En el proceso de caja blanca se revisan las configuraciones de los sistemas políticas, servicios, redes y código de aplicaciones con el fin de encontrar puntos críticos que permitan a los usuarios de ciertos grados de privilegio obtener el acceso. El entorno empresarial es un esquema complejo y posee la mayor cantidad de vulnerabilidades en sus infraestructuras de red aunque estas no hayan sido detectadas todavía, es importante la realización de este tipo de auditoria para comprobar lo que un usuario con ciertos privilegios puede lograr.(PÉREZ, 2015)

Auditoría de caja gris: Es aquella que permite al atacante tomar el rol de un cliente, un empleado, con pocos privilegios y de una ubicación concreta el auditor dispone de una visión referente a los sistemas que se encuentran

26 instalados en la empresa este tipo de auditoria no dispone del mismo nivel de acceso que en la auditoria de caja blanca, esto quiere decir que es un empleado descontento atenta a la confidencialidad de la información simulando un ataque interno (PÉREZ, 2015)

Los tipos de auditorías ante mencionados cumplen diferentes roles los cuales los permite diferencial. (PÉREZ, 2015)

Para realizar este tipo de análisis se debe mencionar la siguiente, metodología como una forma más avanzada de rastrear todo tipo de amenaza tales que suelen tener interacciones humanas siendo herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015) En el mundo de la seguridad existen estándares, modelos o normas que son aplicables al hackeo ético. Si verdaderamente se usa uno de estos estándares concede a la empresa o auditor cierta categoría. Con la finalidad de igualar los resultados entre procesos de distintos auditores, las empresas generan la necesidad de utilizar alguno de estos estándares existentes para la realización de pruebas de intrusión.(PÉREZ, 2015) Para realizar este tipo de análisis se debe mencionar la siguiente, metodología como una forma más avanzada de rastrear todo tipo de amenaza tales que suelen tener interacciones humanas siendo herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015) En el mundo de la seguridad existen estándares, modelos o normas que son aplicables al hackeo ético. Si verdaderamente se usa uno de estos estándares concede a la empresa o auditor cierta categoría. Con la finalidad de igualar los resultados entre procesos de distintos auditores, las empresas generan la necesidad de utilizar alguno de estos estándares existentes para la realización de pruebas de intrusión.(PÉREZ, 2015)

27 Tabla 2 Estado de la seguridad

Estado Realizado No Aplicable Documentado En ejecución Riesgo Correcto Baja Media Grave

Fuente: Trabajo de investigación Autores: Milagros Parra – Erick Yánez

Importancia del rol

Los procesos de ethical hacking están guiado por el rol de los auditores que cumplen cada actividad que se va ejecutando, el auditor asume distintas funciones que simulan ser usuarios o empleados en un instante y con circunstancias concretas, es decir que el proceso se integra al rol adjudicado por el profesional de seguridad informática.(PÉREZ, 2015) Uno de los roles de los auditores internos es analizar los activos de cada organización y categorizarlos en distintas secciones y con esto aplicar los planes de contingencia en cada bien de gran importancia. Por el lado los auditores externos identifican las vulnerabilidades relevantes explotándolas para determinar los niveles de riesgos y amenazas.(PÉREZ, 2015)

Fuga de información interna

Son aquellos procedimientos que se definen como pruebas de análisis de fuga de información para detectar canales o vectores por los que un

28 empleado puede sacar información sensible al exterior de la organización. El objetivo del auditor es de estudiar distintos tipos de vías de acceso por donde los atacantes tienen una entrada hacia los sistemas de manera ilegal, uno de los ejemplos que se detalla es la que el hacker ético asume el rol de un empleado de finanzas, el cual este quiere vender información crítica de las empresas, el usuario establece este proceso de fuga de información extrayendo dicha información del ordenador o de la estación de trabajo. El hombre de finanzas utiliza medios tecnológicos tales como: unidades extraíbles, correo electrónico, Discos duros externos y demás para el hurto de los datos de carácter sensible.(PÉREZ, 2015)

Los empleados que comenten estos fraudes de carácter internos usan los navegadores donde ellos disponen de los plugins que permiten añadir archivos a los correos webmail y a los sitios de web de almacenamiento en la nube.(PÉREZ, 2015)

Amenazas avanzadas persistentes

Una amenaza avanzada persistente consiste en realizar un ataque o un conjunto de intrusiones sobre una muestra de personas o empleados de una organización que cumplen con un rol de gran importancia simulando un ataque dirigido a los usuarios relevantes. El rol de un auditor es la de actuar como una persona maliciosa de índole externo donde esto ayudara a realizar una investigación profunda sobre los empleados que laboran en una empresa con el fin de obtener acceso a los ordenadores para verificar el tipo de información que maneja la compañía.(PÉREZ, 2015)