¿Ethical Hacking o Penetration Testing?

Antes de iniciar: ¿Sabes que hace un Security Operation Center? 

Si no lo sabes, entonces DEBES leer nuestro artículo anterior escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc  

Hace años, muchos < aunque tampoco tantos O_o > ser víctima de un “ciber ataque” era algo que veíamos bastante lejos particularmente descartándonos como “objeto de interés” para un posible ataque. Hoy sabemos que la ciberdelincuencia es, junto al tráfico de drogas y el negocio de las armas (legal o no), uno de los negocios más rentables existentes en la actualidad. Además, las plataformas y software como servicio (PaaS y SaaS respectivamente) que han proliferado en la dark web, para ejecutar y dirigir ciberataques, han abierto el negocio a personas no técnicamente especialistas en el área de la ciberseguridad; Es decir, cualquier persona puede hoy conducir un ciber ataque con las consecuencias que esto implica sin tener, necesariamente, los conocimientos técnicos para programar su propia pieza de software malicioso o desplegar las técnicas, tácticas y procedimientos (TTP) necesarios para este propósito.

En este escenario, llega el momento en el cual necesitamos evaluar la seguridad de nuestros sistemas, aplicaciones, servicios e infraestructura. De una u otra manera, necesitamos conocer, 

¿Qué tan segura es mi red? 

Por supuesto, todo parte desde el diseño y puesta en marcha, tal como lo indica Alexis Peña, ingeniero de redes, en su artículo: https://www.compunetgroup.net/blogs/post/es-segura-mi-red. 

Nace entonces la necesidad de ejecutar una auditoria respecto de la seguridad y/o ciberseguridad de mi red, infraestructura, servicios, aplicaciones…. Y para evaluar nuestra seguridad existen varadas herramientas donde la auditoria de cumplimiento y buenas prácticas, los análisis GAP y los ejercicios de ciberseguridad son las herramientas óptimas para resolver esta necesidad.

Hace unas semanas, Giovanni Díaz, pentester, escribió un artículo bastante detallado hablando y explicando que es un Ethical Hacking y por qué son necesarios e importantes. Te invito a leer lo que escribió Giovanni como introducción: https://www.compunetgroup.net/blogs/post/la-importancia-de-los-ethical-hackings  

La duda es: 

• ¿Necesito un Ethical Hacking? O 
• ¿Necesito un Pentesting?

Brevemente, y para entrar a profundizar, Un Ethical Hacking es una vista holística y panorámica actuando bajo el mindset de un ciberdelincuente mientras que un penetration testing es un ejercicio “acotado” y “definido” por un alcance determinado. Entonces, antes de dar respuesta a las preguntas planteadas, permíteme extender un poco esas “definiciones” anteriores y abordar las diferencias entre uno y otro; De esta forma, podrás determinar que ejercicio necesitas y por qué razón.

Ethical Hacking

Un Ethical Hacking es, como lo indica Giovanni en su artículo, el ejercicio de identificar las debilidades y vulnerabilidades de una organización las cuales representan, potencialmente, riesgos para estas. Este ejercicio es realizado, con el consentimiento de la organización, mediante un enfoque global abordando todas las posibles aristas (vectores) de ataque que una organización puede sufrir mediante un acabado entendimiento, conocimiento y levantamiento de información (inteligencia) existente de forma activa y pasiva, publica y/o privada (que sea posible acceder). Se trata, entonces, de un enfoque global para buscar debilidades y vulnerabilidades empleando un “mindset” de un atacante real, con las mismas técnicas, tácticas y procedimientos, pero SIEMPRE bajo el código ético de un profesional de ciberseguridad.

Penetrationg Testing – PenTest

Un penetration testing, o test de penetración, es también un esfuerzo proactivo para buscar debilidades y vulnerabilidades hacia un contexto acotado en términos de alcance. Es decir, al igual que en Ethical Hacking, el objetivo es “levantar” todos los riesgos posibles y explotar los hallazgos, de manera controlada, con un alcance definitivamente acotado. Normalmente, hablamos de Pentesting hacia infraestructura TIC, redes, sistemas, aplicaciones web, aplicaciones móviles, API, etc. Se trata, entonces, de un ejercicio acotado en términos de alcance, hacia uno o más activos, orientado a evaluar las fortalezas y debilidades de seguridad de uno o más ciberactivos.

Principales Diferencias

Enfoque y alcance. Como podrás notar, un pentesting es un ejercicio que posee un objetivo y alcance particular normalmente hacia uno o más sistemas o activos de información mientras que un Ethical Hacking es un enfoque global y holístico en búsqueda de amenazas y debilidades para una organización. Por otro lado, normalmente un pentesting aborda un “contexto” especifico lo cual lo hace un ejercicio mucho más especializado y minucioso para ese “contexto”, ejemplo: Un Web Aplication Pentesting, API Pentesting, Phishing Pentesting o un Wireless Pentesting. Esto último indica que se requieren, por parte de los pentester, conocimientos solidos respecto de las técnicas, tácticas y procedimientos empleadas en este tipo de ejercicios y hacia el “contexto” definido.

Otra diferencia, fundamental, tiene que ver con las posibilidades de encadenar ataques y vulnerabilidades que nos permite el ejercicio de Ethical Hacking al ser este un enfoque holístico, las posibilidades de construir y diseñar un ataque exitoso son infinitas mientras que en un pentesting estamos “acotados” por el alcance y el “contexto” definido.

¿Cuándo?

• Si nunca has realizado un ejercicio de esta naturaleza; Un Ethical Hacking es tu opción.
• Si ya posees un plan de ejercicios; Al menos 1 vez al año debes realizar un Ethical Hacking.
• Paso a producción ¿? Un nuevo desarrollo ¿? Un nuevo sistema ¿? Un Pentesting es lo que debes realizar.
• Cuando se necesita evaluar, con foco, la ciberseguridad de uno o más activos. Pentesting claramente.

Por supuesto, lo anterior son sugerencias para que se entienda el concepto de alcance y foco respecto de EH y un PT.

En resumen, podemos decir que el pentesting y el ethical hacking son similares en su objetivo de evaluar la seguridad, pero difieren en su enfoque y objetivos finales. Mientras que el pentesting se centra en identificar las debilidades y vulnerabilidades de un sistema con un enfoque acotado y claramente definido, el ethical hacking busca mejorar la seguridad con un enfoque ético, amplio y holístico en colaboración con la organización.

En conclusión, ambos ejercicios son hoy empleados por todo tipo de organizaciones a y deben ser considerados por las organizaciones para medir y evaluar la seguridad y ciberseguridad de sus sistemas, aplicaciones, infraestructuras y plataformas. Una combinación equilibrada de pentesting y ethical hacking es sin duda mejor estrategia aplicable.

Y eso del Black box, gray o White box ¿?... Eso para otro artículo.

Espero haber aportado. Éxito y gracias por tu tiempo.

Escrito por: César Millavil Arenas

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM