Hacking Ético en Colombia

¿Qué es el Hacking Ético en Latinoamérica?

El Hacking Ético o Ethical Hacking en inglés es un proceso de hacking dentro de un sistema para identificar las vulnerabilidades de toda una organización. El hacker es contratado por la empresa y se realiza con empresas especializadas en el tema que proporcionan la seguridad y confianza para este tipo de pruebas.

Se llama hacking ético porque se realizan pruebas y se previene la entrada de hackers maliciosos.

El hacker, que utiliza sus conocimientos de informática para encontrar vulnerabilidades o fallas de seguridad en un sistema, con el objetivo de reportarlas en la organización para que se tomen todas las medidas necesarias que posibilite prevenir una catástrofe cibernética, como el robo de información.

Ethical Hacking o Hacking Ético es una filosofía y conjunto de valores morales que es común dentro de la cultura de los hackers. Los practicantes del Hacking Ético creen que compartir información y datos con otros es un imperativo ético. Este tipo de pruebas es una de las más importantes en contra de la ciberpiratería y de los ciberdelincuentes que pretenden explotar de manera maliciosas las vulnerabilidades de las organizaciones.

Tipos de Hackers

Existen diferentes tipos de hackers, y uno de los más importantes en este Post es el Hacker Ético.

¿Por qué el Hacker Ético es el más importante?

Para nosotros el hacker ético es el más interesante y necesario en todas las empresas, porque es el que ayuda a todas las organizaciones a proteger la información y los sistemas de los hackers de sombrero negro “Crackers” o Black Hacker.

White Hacker o Hacker de Sombrero Blanco

El Hacker blanco: realiza intrusiones a un sistema para detectar puntos de entrada vulnerables e informar a la empresa para que sean corregidos.

Gray Hacker o Hacker de Sombrero Gris

El Hacker gris: están entre el White Hacker y el Black Hacker y pueden desarrollar actividades lícitas o ilícitas sin discernimiento de los motivos.

Black Hacker o Hacker de Sombrero Negro

El Hacker negro: Son los más escuchados en las noticias, este tipo de personas se aprovechan de las vulnerabilidades de las organizaciones para robar, eliminar, secuestrar o dañar cualquier tipo de información. Realizan este tipo de acción con fines lucrativos, de venganza o solo por diversión. 

Pruebas de Penetración

Las pruebas de penetración surgieron como respuesta a la presencia y realización de los primeros ataques informáticos a las organizaciones, los cuales trajeron graves consecuencias, como pérdidas monetarias y de reputación. Es aquí donde interviene el trabajo de un “hacker ético”, ya que su labor es buscar vulnerabilidades en los sistemas de la organización para posteriormente, poder mitigarlos y evitar fugas de información sensible.

Elementos de la Ciberseguridad

  • Confidencialidad: Evitar que la información pueda ser conocida o leída por personas no autorizadas.

  • Disponibilidad: Garantizar que la información y/o los componentes del sistema se encuentran accesibles en el momento en que una persona, proceso o aplicación los requiera.

  • Integridad: garantizar que la información no sea modificada.

Objetivos del Hacking Ético

  • Evaluar el estado de seguridad de un sistema o infraestructura tecnológica.

  • Explotar las vulnerabilidades encontradas sin perjudicar la red nilos activos de la organización

  • Analizar los resultados obtenidos.

  • Reportar a las partes interesadas.

  • Dar las mejores recomendaciones para mitigar el riesgo de las vulnerabilidades que se encuentren.

Normas y Leyes aplicables al Hacking Ético

A. Circular 042 del 2012

En el numeral 7 se especifican los requerimientos para un análisis de vulnerabilidades, en esta se describen los requerimientos mínimos de seguridad y calidad para la realización de operaciones bancarias.

Esta ley indica los requisitos que las entidades financieras deben implementar en sus sistemas de análisis de vulnerabilidades, donde se destacan:

  • Estar basado en un hardware de propósito específico (appliance) totalmente separado e independiente de cualquier dispositivo de procesamiento de información, de comunicaciones y/o de seguridad informática.

  • Generar de manera automática por lo menos dos (2) veces al año un informe consolidado de las vulnerabilidades encontradas. Los informes de los últimos dos años deberán estar a disposición de la SFC.

  • Las entidades deberán tomar las medidas necesarias para mitigar las vulnerabilidades detectadas en sus análisis.

  • Realizar un análisis diferencial de vulnerabilidades, comparando el informe actual con respecto al inmediatamente anterior.

  • Las herramientas usadas en el análisis de vulnerabilidades deberán estar homologadas por el CVE (Common Vulnerabilities and Exposures) y actualizadas a la fecha de su utilización.

  • Para la generación de los informes solicitados se deberá tomar como referenciala lista de nombres de vulnerabilidades CVE publicada por la corporación Mitre (www.mitre.org).

B. ISO 27001

Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

C. PCI DSS

Este estándar ha sido desarrollado por un comité conformado por las compañías de tarjetas (débito y crédito) más importantes, comité denominado PCISSC (Payment Card Industry Security Standards Council) como una guía que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjeta habientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitarlos fraudes que involucran tarjetas de pago débito y crédito. Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesarlas tarjetas de crédito y débito (Perdida de franquicias), enfrentar auditorías rigurosas o pagos de multas. Los Comerciantes y proveedores de servicios de tarjetas de crédito y débito, deben validar su cumplimiento al estándar en formaperiódica.

Subscribe

Recibe gratuitamente actualizaciones, descuentos, notificaciones y sé el primero en saber todo de nosotros.

CSIO – Curso de Seguridad Informática Ofensiva

Objetivo: En este curso el alumno adquirirá los conocimientos y habilidades necesarias para realizar pruebas de penetración y auditorías de seguridad informática pudiendo llegar a desempeñar puesto como el de hacker ético, pentester o auditor de ciberseguridad. Se le introducirán desde los conceptos de hacking básicos hasta la creación de sus propios exploits, pasando por las técnicas de ataque y herramientas más avanzadas y efectivas.

Este curso cuenta con descuento del 50% con el código HACKER50, válido hasta el 31 de diciembre de 2020.

Contáctanos

Lo que necesites solamente dinoslo, te responderemos lo más pronto posible.

contacto@jcamilorojas.com

We use cookies to improve your experience and to help us understand how you use our site. Please refer to our cookie notice and privacy policy for more information regarding cookies and other third-party tracking that may be enabled.

Created with
Mailchimp Freddie Badge
Facebook icon
Instagram icon
Twitter icon
YouTube icon

© 2020 JCamiloRojas