Conviértete en un hacker ético
- 21 de junio de 2022
- Publicado por: Adrián Ramírez Correa
- Categoría: Hacking ético ,
¿Qué es el hacker ético?
El objetivo de un hacker ético no es hacer daño a los sistemas o robar información, sino investigar y hacer más segura la red de la empresa, y el mejor método para descubrir fallos de seguridad es atacarlo como lo haría un pirata informático.
Para llegar a ser un buen hacker ético, debes tener una serie de conocimientos previos, conocer cómo funcionan los principales tipos de ciberataques y estar al día de los frecuentes cambios que se producen en los sistemas y en su seguridad.
Tipos de hackers
Los profesionales de ciberseguridad dividen a los hackers en tres tipos:
-
Sombrero Blanco
Este tipo de hackers suelen realizar ataques con el objetivo de encontrar agujeros y mejorar la seguridad informática de manera altruista. Notifican a la persona u organización afectada para que pueda arreglar el problema de seguridad.
-
Sombrero Negro
Piratean con objetivos financieros, con venganzas o como organización criminal. Obtienen ganancias a través del robo de tarjetas, fraude, o extorsión.
-
Sombrero Gris
Se les suele denominar sombreros grises a aquellos que se encuentran en los dos ámbitos. Su objetivo es descubrir agujeros de seguridad en los sistemas de grandes empresas o gobiernos, para más tarde venderles esos fallos. Es habitual encontrar noticias de hackers que consiguieron grandes recompensas por encontrar errores en grandes tecnológicas.
Para convertirte en un buen hacker ético debes conocer los principales ciberataques y cómo actúan. A continuación vemos algunas de las amenazas más relevantes y comunes que operan en el mundo empresarial.
Ciberataques más comunes
Malware
Se trata de software no deseado que puede ocultarse en un código legítimo o en aplicaciones, o puede replicarse en Internet. Por lo tanto, el malware ataca a través de una vulnerabilidad que posteriormente descarga este programa malicioso. Hay varias subcategorías:
- Mantiene tus datos retenidos a la espera de un rescate. Bloquea el acceso a los datos y luego amenaza con borrarlos o divulgarlos. Sus contenidos se encriptan total o parcialmente, de modo que no puedan ser utilizados sin la clave de desencriptación. Por lo general, el hacker pide que se le pague en una criptomoneda, como por ejemplo el bitcóin.
- Software espía (spyware). Son programas que se instalan para recoger información sobre los usuarios, sus hábitos de navegación o su ordenador. Estos programas monitorizan cada uno de sus movimientos sin que usted lo sepa y envían dichos datos al ciberatacante o ciberatacantes. Suelen instalarse al descargar una aplicación gratuita.
- Programa aparentemente legítimo pero con una intención maliciosa. Los ciberdelincuentes utilizan las denominadas técnicas de ingeniería social para engañarle y hacer que cargue y ejecute este troyano. Los propósitos son varios:
- Robar, borrar, bloquear, modificar o copiar contenidos personales y/o sensibles
- Espiar
- Robar contraseñas.
Ingeniería social
Es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. Los ataques de ingeniería social se realizan por diversos canales:
- Por correo electrónico, mediante ataques de tipo phishing.
- Por teléfono, a través de una técnica conocida como vishing, que consiste en realizar llamadas telefónicas suplantando la identidad de una persona o compañía para conseguir información confidencial de las víctimas.
- A través de las redes sociales, canal por el que los cibercriminales consiguen a menudo extorsionar a los internautas.
- Mediante unidades externas, como USB. Los atacantes infectan con ‘malware’ estos medios físicos y después los depositan cerca de las instalaciones de una compañía con el objetivo de que los empleados más curiosos los inserten en sus equipos. Esta técnica es conocida como baiting.
- Por mensaje de texto (smishing), ataque en el que también suplantan la identidad de una compañía y con el que los cibercriminales intentan principalmente que las víctimas pinchen en un enlace, llamen a un número de teléfono o respondan al mensaje.
Phishing
Este tipo de ataques combinan ingeniería social y habilidades técnicas. Se trata de enviar mensajes de correo electrónico que parecen proceder de fuentes de confianza con el objetivo de recopilar datos personales o incitar a las víctimas a realizar alguna acción. Estos ataques pueden estar ocultos en un archivo adjunto de correo electrónico, o utilizar un enlace que apunte a un sitio web ilegítimo para engañarle y hacerle descargar malware o transmitir ciertos datos personales.
Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia.
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.
Denegación de servicio (DoS)
Un ataque de denegación de servicio sobrecarga de tu red, provocando un bloqueo. Como resultado, el sistema no puede completar las solicitudes legítimas. Los atacantes además pueden usar múltiples dispositivos comprometidos para lanzar un ataque.
Una evolución de esta amenaza son los ataques de negación de servicio distribuido (DDoS) que se provocan al generar grandes cantidades de información desde varios puntos de forma voluntaria, para que el usuario o la organización se vean privados de un recurso.
Para lanzar un ataque DDoS, los atacantes utilizan malware o aprovechan las vulnerabilidades de seguridad para infectar de forma maliciosa los equipos y los dispositivos y tomar el control sobre ellos. Cada ordenador o dispositivo infectado, denominado “bot” o “zombi”, adquiere la capacidad de seguir propagando el malware y de participar en los ataques DDoS. Estos bots forman ejércitos de bots denominados “botnets” que aprovechan su superioridad numérica y amplifican el tamaño de un ataque. Y como la infección de los dispositivos de IoT a menudo pasa inadvertida, al igual que uno de los zombis en las películas que no parece que esté infectado, los propietarios de dispositivos legítimos se convierten en víctimas secundarias o participantes involuntarios, mientras que la organización que sufre el ataque sigue sin poder identificar a los atacantes.
Estafa del CEO
Es un ataque en el que un ciberdelincuente se hace pasar por el director general u otro alto ejecutivo de una organización y envía un correo electrónico para engañar a un empleado para que realice transferencias no autorizadas o envíe información confidencial.
El fraude del CEO es uno de los delitos más perjudiciales desde el punto de vista económico.
Para llevar a cabo este tipo de fraude, el ciberdelincuente estudia antes al trabajador al que enviará el correo mediante ingeniería social, por ejemplo en redes sociales e incluso físicamente. El atacante estudia cuestiones como su comportamiento, el lenguaje que suele utilizar el directivo para dirigirse el, etc.
Descarga oculta (drive by download)
Este es un método común de propagación de programas maliciosos. Los ciberatacantes piratean sitios web no seguros insertando un script en el código http o PHP de una de las páginas web. ¿Cuál es su objetivo? Instalar software malicioso directamente en el ordenador de un visitante del sitio a través de una descarga oculta. Esto puede ocurrir sin su conocimiento o bien con su consentimiento, pero sin que usted entienda las consecuencias, es decir, la descarga de programas maliciosos o simplemente no deseados.
Si quieres iniciarte en el mundo del hacking ético, ponte en contacto con nosotros.