Blog

¿Por qué necesito llegar antes que el hacker?

La IA le da mayor valor y velocidad a la data y nuestras operaciones; los hackers también lo saben.

Hay diferentes niveles de expertise hackers, la mayoría implica diferentes niveles de impacto de un hackeo o en alcance. Ser hackeado no solo implica un costo directo para recuperar el acceso, sino que también, esfuerzos adicionales para contener el impacto de lo expuesto.

Inicio
Qué significa pensar como hacker
Herramientas y tecnologías
Cultura y ética como base
Cómo te ayudan Ativa y Ridge

¿Qué significa pensar como un hacker? 

En algunos casos, el ataque logra que tengan acceso a una base de datos, a un servidor o a incluso a todo el sistema.

En esencia, un hacker aprovecha de alguna forma una o más vulnerabilidades y las explota para obtener algún beneficio. A veces, encontrar la vulnerabilidad es sencillo, es como encontrar una puerta mal cerrada; otras veces, implica un conjunto de técnicas y secuencias para alcanzar el resultado deseado. Algunas veces se requiere una sola herramienta para atacar; en otras, varias y en múltiples etapas. 

Entonces, ¿por qué es relevante pensar como un hacker en un contexto de ciberseguridad? En un mundo donde los hackers están constantemente activos, es importante que nosotros también estemos atentos; debemos asumir que siempre hay una puerta que se puede abrir y pensar en cómo esta vulnerabilidad se puede explotar. Solo podemos cerrar una puerta si sabemos que está abierta, para protegernos de una vulnerabilidad primero debemos entenderla; un hacker ético ayuda a empezar con esto.

Un hacking ético significa actuar como un hacker y superar los límites, pero no dar el paso final de provocar una violación de datos o cometer un delito cibernético real sino que dar visibilidad a los dueños de la data y recursos y acompañar en la resolución.

Herramientas y tecnologías

En un mundo cada vez más conectado y más digitalizado, los riesgos y los delitos cibernéticos se vuelven más comunes, pero no siempre más complejos; es la combinación de profundidad y amplitud lo cual permite relacionar las vulnerabilidades con oportunidades. Según el reporte de IBM 2023 sobre el costo de la exfiltración de data, las vulnerabilidades demoran en promedio 9 meses en investigarse y contenerse; la mayoría no tiene esos tiempos disponibles, la tecnología debe ayudarnos a reducirlos.

En un mundo digital la seguridad no depende de una única solución de ciberseguridad y por eso es necesario tener una estrategia de involucrar a todos. Según el reporte de IBM de Cost of Data Breach del 2023: 9/11 de los principales vectores de ataques de ciberseguridad implican personas. En promedio la mayoría de ataque demoran entre 9 meses entre investigar y contener. Las pérdidas no solo son monetarias, la empresa completa y todos sus stakeholders se afectan.

Entradas

Todo lo que un hacker necesita es un punto de entrada, incluso un infiltrado malicioso eventualmente entró alguna vez. El punto de entrada más popular es un endpoint o un sistema; estos, a su vez, están conectados a un ecosistema, por ejemplo, a un dominio web y a través una IP; este dominio, a su vez, interactúa en paralelo con otros sistemas, bases de datos, servidores y otras tecnologías. Es un ecosistema.

Por otro lado tenemos los usuarios y contraseñas, estas son llaves de acceso que deben mantenerse seguras y ser únicas; cuando hacemos coincidir la llave con la puerta, entramos a ese recursos y todo lo hay detrás. Lo que es más grave, se utiliza la misma contraseña para diferentes portales, el hacker lo sabe.

Metodologías y tecnologías

Existen múltiples soluciones tanto para el hacking activo como para el hacking ético. Las capacidades de las herramientas son tan importantes como quién las usa, cómo y para qué hackea. Los objetivos de un hacker ético son simular ataques cibernéticos en un entorno predefinido y controlado, con autorizaciones y coordinación adecuadas; su objetivo primario es identificar vulnerabilidades y exponer debilidades para luego generar informes y sugerir las estrategias de mitigación adecuadas. Solo un hacker ético es capaz de simular una auto-explotación tal y como lo haría un hacker, es por eso que podemos agrupar los métodos de hacking ético en dos grupos:

Un hacking ético significa actuar como un hacker y superar los límites, pero no dar el paso final de provocar una violación de datos o cometer un delito cibernético real sino que dar visibilidad a los dueños de la data y recursos y acompañar en la resolución.

  • Ataques de penetración: esto significa intentar obtener el mayor acceso posible a un objetivo determinado, como identificación de superficie de ataque, penetración de host (IP), penetración de intranet (IP + rastreador predeterminado), penetración de ransomware en intranet, penetración de sitios web y otros.
  • Simulación de ataques: esto significa, simular ataques reales y mantenerlos lo más reales posible.

La IA ha proporcionado nuevas herramientas a los hackers, pero incluso la mejor herramienta configurada incorrectamente puede generar un resultado indeseable.

La cultura y la ética como base

Hay tres grandes tipos de hackers de sombreros: negro, blanco y gris. El color del sombrero nos ayuda a relacionar el grado de ética y objetivos del hacker que realiza este ataque.

  • Los hackers de sombrero negro obtienen acceso detrás de escena y efectúan acciones en su mayoría ilegales
  • Los hackers de sombrero blanco están autorizados y trabajan en coordinación con los propietarios de los activos e informan sus hallazgos; incluso presentan recomendaciones
  • Los hackers de sombrero gris son un punto intermedio, sus estrategias y objetivos no están claros, puede ser que busquen explotar una vulnerabilidad sin autorización y luego desarrollar la solución para solucionarla.

La mentalidad ética de un hacker es tan importante como la ética de la herramienta, es decir, cómo se mantiene la privacidad, cómo se manejan los resultados y cuáles son las implicaciones de las soluciones.

Prevención versus reacción

¿Cuándo necesitas una auditoría?, o ¿cuándo necesitas descubrirlo? La ciencia forense digital se define como el uso de técnicas de investigación tecnológica e informática forense para identificar, recopilar y almacenar evidencia de un dispositivo electrónico: es posterior al evento.

El objetivo es intentar evitar los ataques de hackers en primer lugar; por lo tanto, el objetivo es descubrir y resolver la vulnerabilidad antes que cualquier hacker, aquí es donde un hacker ético nos ayuda, puede ser un descubrimiento por primera vez o un chequeo de rutina.

De igual manera, en cómo llevamos el mantenimiento de los sistemas, la seguridad de los endpoints o de un auto, también debemos hacer un hacking ético periódicamente y nunca exactamente igual. Piensa en cada cuánto cambian tus usuarios, versiones de sistemas operativos, los miembros de tu empresa o tus clientes; si nuestro ecosistema se renueva entonces nuestros riesgos también.

Los falsos positivos y falsos negativos

Un hacker ético debe no solo detallar la vulnerabilidad identificada, sino que también, debe entregar una recomendación sobre cómo resolverla y en función de qué criterios esa vulnerabilidad coincide con esa solución. Omitir una vulnerabilidad es tan malo como corregir erróneamente una vulnerabilidad inexistente. Por lo tanto, el Hacker Ético debe utilizar herramientas confiables para verificar que no se identifique tanto los falsos negativos como los falsos positivos, una forma de hacerlo es explotar la vulnerabilidad identificada en un entorno de control y con cadenas de análisis.

¿Cómo te ayudan Ativa y Ridge?

RidgeBot es una solución de pentesting y simulación de ataques basada en IA con un motor propio, es automatizada pero no autónoma, es quiere decir que la ejecución de la herramienta es totalmente automatizada y no puede ser intervenida por un ser humano pero no es autónoma porque un ser humano (miembro del equipo de ativa) debe configurar el escenario y complementar los resultados dentro del contexto de negocio del cliente.

Con una librería privada de plugins de +36K, logramos realizar pruebas 100x más rápido que las personas testeado en +200K assets y +1K website pentesting. Le da un kit de herramientas integradas a especialistas de ativa que diseñan y configuran el plan de ciberataque interno, externo o lateral y luego entregamos un informe sin falsos positivos con recomendaciones por criticidad y factibilidad según el contexto del negocio.

Con una velocidad de simulación 100x más rápido que un ser humano, RidgeBot no entrega accesos para manipular el algoritmo ni consultar otros resultados de pentesting realizados por otros equipos. Ativa, por su lado, complementa con sus conocimientos en Cloud, Ciberseguridad, DRP y desarrollo; es el trabajo conjunto de la IA y personas lo que agrega valor. 

Qué tipo de pentests ofrece el servicio Ridge Security

  • Pruebas de aplicaciones web, servidores y APIs
  • Infraestructura de red
  • Bases de datos
  • Pruebas de cumplimiento para satisfacer a sus auditores
  • Pruebas de caja negra y caja gris

Qué tipo de metodologías de pentesting podemos aplicar

Ataques penetrantes

  • Attack Surface Identification Esta prueba lanza un perfilamiento de activos para identificar el tipo de sistema operativo de la máquina de destino, los puertos abiertos, los servicios activos, así como los nombres de dominio de los sitios web/nombres de subdominios, la clave de cifrado, el marco web y las exposiciones externas de URL.
  • Host Penetration (IP) Esta prueba lanza ataques cibernéticos contra los objetivos en la intranet. Utiliza el movimiento lateral, las técnicas de penetración del dominio para explotar las vulnerabilidades y obtener el control de los objetivos. Los objetivos pueden ser los activos en la intranet.
  • Intranet Penetration (IP + Default crawler) Este escenario utiliza el escaneo de puertos y el rastreador web predeterminado para perfilar las exposiciones a la superficie de los objetivos de los objetivos y utiliza varias técnicas de ataque de red para descubrir vulnerabilidades y explotar los riesgos de los objetivos. Si el usuario necesita personalizar el rastreador web o desea usar el modo Crawler+Proxy para evitar el sitio web Iniciar sesión, seleccione escenarios relacionados con la web para la tarea.
  • Intranet Ransomware Penetration Esta prueba utiliza varias técnicas utilizadas con frecuencia por los grupos APT para realizar ataques de ransomware, como Windows Remote Desktop Protocol (RDP), ataque de ejecución de comandos remotos de Windows (RCE), ataque de fuerza bruta de contraseña débil, etc.
  • Ransomware Penetration Esta prueba utiliza varias técnicas utilizadas con frecuencia por los grupos APT para realizar ataques de ransomware, como el ataque de ejecución de comandos remotos de servidor (RCE), Protocol de escritorio remoto de Windows (RDP), ataque de fuerza bruta, etc.
  • Weak Credential Exploit Esta prueba lanza ataques cibernéticos basados ​​en la información confidencial recopilada a través de credenciales débiles o access exploits no autorizados. Los objetivos de ataque incluyen, entre otros, inicios de sesión de aplicaciones, inicios de sesión web, Redis, Elasticsearch, ActiveMQ, Base de datos, etc.
  • Website Penetration Esta prueba lanza ataques cibernéticos contra sitios web objetivo, aplicaciones web y todas las superficies de ataque relacionadas. Los objetivos de ataque incluyen: sitios web auto-desarrollados o basados ​​en CMS.
  • 3rd Party Framework Penetration Esta prueba lanza ataques cibernéticos contra el marco de terceros usados ​​comunes, como Struts 2, Spring, Fastjson, Thinkphp y muchos otros.
  • 3rd Party Scanning Result Validation Esta prueba permite al usuario de Ridgebot crear un informe de prueba de vulnerabilidades de terceros para luego lanzar una tarea de penetración completa y así validar la calidad de los resultados encontrados.

Simulaciones de ataques

  • Active Directory Information Recon Ridgebot Botlet simula a un atacante para recopilar recursos útiles en Windows Active Directory de privilegios elevados, persistir y obtener información que se pueda saquear. El resultado de prueba con una tasa de bloque alta indica que el servidor de AD necesita que se implementen mejores niveles de protección.
  • Data Exfiltration Ridgebot Botlet simula el movimiento no autorizado de datos de su servidor. El resultado de la prueba con una tasa de bloqueo alta indica que se pueden detectar más métodos de ataque de robo de data y, por ende, prevenir.
  • Endpoint Security Ridgebot Botlet simula el comportamiento del software malicioso o descarga las firmas de malware para validar los controles de seguridad de los endpoints. El resultado de la prueba con una tasa de bloqueo alta indica que se necesita se implementen mejores niveles de protección de los endpoints.

Cómo se selecciona la estrategia

El equipo de Ativa mapea todas las IP y Dominios y su contenido, una base de datos necesita estrategias diferentes a un AD o una Extranet. En base a eso y a las operaciones, mapeamos las pruebas, la frecuencia, el nivel de sigilo, el cronograma, las API y otros factores relevantes. Aunque RidgeBot ya tiene modelos de prueba creados, Ativa siempre puede modificarlos o crear otros nuevos que sean específicos a la realidad del negocio analizado. Luego, la ejecución de la prueba se automatiza; si existe un riesgo explotable, se encuentra y rastrea la cadena de la muerte. La herramienta ejecuta 100x más rápido que una persona las simulaciones con una librería de 36K plugins, esto nos permite ganar velocidad y llegar antes que el hacker.

Industrias donde se ha realizado un hacking ético con RidgeBot

  • Aeropuertos
  • Agro-exportación
  • Banca
  • Manufactura de alimentos
  • Medios de comunicación
  • Minería
  • Retail
  • Servicios de salud
  • Y muchos más...

Soluciones y Servicios relacionados

Nos enfocamos en solucionar problemas y crear experiencias seguras

Ethical Hacking Integral

Simulaciones y recomendaciones sin falsos positivos
Saber más

SocialTech & PhiseWise

Promovemos la conciencia de seguridad digital
Saber más

Endpoint Security con Sophos

Única consola para gestionar tu seguridad
Saber más

Otros recursos relacionados

Nos gusta compartir lo que aprendemos

VER TODOS
Seguridad
Renovación Tecnológica

¿Cada cuánto debo realizar un Ethical Hacking?

Saber más
Seguridad
Educación

¿Por qué las personas siguen cayendo en las trampas?

Saber más