SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Ambos son servicios que permiten a las empresas conocer los problemas de seguridad en sus sistemas de información con el objetivo de solucionarlos y evitar así incidentes de seguridad.

El análisis de vulnerabilidades (también llamado evaluación de vulnerabilidades) consiste en la identificación, evaluación y priorización de vulnerabilidades de seguridad en los sistemas informáticos. Cuando una empresa ofrece el servicio de análisis de vulnerabilidades, generalmente se refiere a un servicio basado parcial o totalmente en una herramienta automatizada, denominada escáner de vulnerabilidades, que hace gran parte del trabajo. Generalmente, los escáneres de vulnerabilidades tienen como entrada un rango de direcciones IP. La primera acción es el descubrimiento de los puertos abiertos y servicios en ejecución en los sistemas de dicho rango. Según la herramienta empleada, ésta puede también descubrir el sistema operativo en ejecución en cada sistema, qué aplicaciones están en funcionamiento y versiones de las mismas, cuentas de usuario, etc. Esta información se compara con una base de datos de vulnerabilidades conocidas y el resultado es un listado de fallos de seguridad, en ocasiones ordenados según su criticidad, que hay que corregir.

El test de intrusión (también llamado test de penetración o prueba de penetración) es un proceso mediante el cual el equipo auditor trata de descubrir las vulnerabilidades en los sistemas, utilizando tanto herramientas automatizadas como manuales, y trata de verificarlas y aprovecharlas para acceder a los sistemas o a la información objetivo. Para ello puede acceder primero a sistemas menos seguros (pero siempre en el alcance del test de intrusión) e intentar saltar desde ahí a los sistemas objetivo. Una vez alcanzado un sistema objetivo, durante un test de intrusión se tratará de conseguir acceso como administrador al sistema e incluso al dominio.

Durante el test de intrusión, el equipo auditor recopilará evidencias de los fallos de seguridad que encuentre en los sistemas cuya seguridad haya sido vulnerada, así como del impacto que estos pueden ocasionar, nos referimos a evidencias como contraseñas de personal clave de la empresa, documentación sobre planes estratégicos, resultados de I+D, contraseñas de administración, números de cuenta y tarjetas de crédito, listados de clientes, etc.

Mientras que el análisis de vulnerabilidades tiene como objetivo identificar las vulnerabilidades de los sistemas, el test de intrusión va un paso más allá y tiene como objetivo demostrar cómo éstas vulnerabilidades pueden utilizarse por potenciales atacantes para hacer daño a la empresa.

A partir del resultado de ambos servicios, el equipo auditor puede recomendar a la empresa soluciones a las vulnerabilidades encontradas e incluso diseñar un plan de acción.