¿Qué es el Pentesting y cómo ser un verdadero hacker ético?

Las vulnerabilidades a sistemas operativos cada día son más frecuentes y  los métodos que usan los hackers se renuevan constantemente con el fin de apropiarse de datos o simplemente dañar un sistema. Un ataque exitoso puede suponer un costo millonario para una empresa y las consecuencias pueden ser catastróficas.

La empresa vpnMentor, enfocada en ofrecer información sobre VPNs y privacidad en Internet, indica en un estudio que 7 de las 10 principales empresas de Fortune 500 han sufrido ciberataques en los últimos 10 años.

En los últimos 10 años, 1 de cada 5 empresas de Fortune 500 han sido víctimas de ciberataques en más de una ocasión.

En esta lista destacan empresas que manejan mucha información y grandes transacciones de terceros como Facebook, Alphabet, Visa, Mastercard y CitiGroup.  Todas estas compañías sufrieron hasta 3 veces ataques en estos últimos 10 años.

Estos son algunos de los ciberataques básicos más comunes que seguramente en algún momento podrás sufrir y que también pueden afectar a las empresas:

En los resultados publicados por ESET, este 2018 se ha alcanzado el máximo histórico de vulnerabilidades reportadas con más de 16.000, lo que significa un incremento del 9% respecto al 2017. Esto quiere decir que cada día del 2018 se han reportado 46 vulnerabilidades.

Independientemente de estos sucesos, hay muchísimos ataques que no llegan a la prensa y cada año aumentan los incidentes de Ciberseguridad. El aumento de estos ataques y el hecho de que puedan afectar a cualquiera, hace la figura de un pentester o experto en Ciberseguridad, un perfil muy demandado laboralmente.

Las empresas aman los pentesters

Así como en la película “Plan de escape”, en la cual Sylvester Stallone interpreta a Ray Breslin, un experto en seguridad carcelaria a quien la prisión contrata para que intente escaparse de cualquier manera y así identificar fallos y vulnerabilidades para que sea de máxima seguridad. De manera similar actúa el Pentesting al detectar vulnerabilidades.

Así es, quien maneja herramientas como el pentesting es el Ray Breslin de los sistemas operativos.

Dicho de otra manera, si nuestra web es esa prisión, Ray vendría a ser un hacker que tiene como objetivo encontrar estas vulnerabilidades mediante estrategias como el pentesting. Si, efectivamente la diferencia es que Ray intentaba escapar de la prisión, aquí el hacker intenta ingresar al sistema a como dé lugar. Es por eso que el pentesting no es más que una prueba de penetración, un ataque a nuestro propio sistema informático para encontrar debilidades de seguridad y funcionalidad y así saber en dónde tenemos que trabajar para ser más fuertes y estar más protegidos, esto es parte de lo que llamamos un hacking ético.

Gracias a estas herramientas, podemos detectar y reparar vulnerabilidades causadas por:

  • Un error de configuración del software o de los servidores web que provocan la inutilización de páginas web a través de ataques de denegación de servicio (DoS).
  • Un error en la gestión de recursos en la que una aplicación permite que se consuma un exceso de recursos afectando la disponibilidad de los mismos.
  • Un fallo en la validación de datos introducidos en aplicaciones que, sin duda, puede ser una vía de acceso de un ataque.
  • Las negligencias causadas generalmente por la falta de formación y concienciación de la persona que está a cargo.
  • Un fallo en la gestión y protección de permisos, privilegios a control de acceso.
  • Un fallo en la depuración de un programa o validación de caracteres especiales que permite el acceso a directorios o subdirectorios no deseados.

Hoy en día, la seguridad informática es uno de los sectores que presenta mayor crecimiento y demanda de profesionales. El creciente número de ciberataques y el hecho de que cualquier empresa puede sufrir un incidente de seguridad, independientemente de su tamaño, convierte a la ciberseguridad en una pieza clave.

Lo cierto es que ahora mismo, todas las empresas necesitan este perfil y aquí te diremos como conseguirlo.

Características necesarias para ser el Ray Breslin de la ciberseguridad

  • Lo principal es entender que las habilidades que desarrollarás deben ser siempre usadas desde un punto de vista ético. Como bien dice Tío Ben, “Con un gran poder vienen grandes responsabilidades”. Recuerda que estarás formándote para ser un hacker ético y nunca debes dejarte seducir por el lado oscuro de la fuerza.
  • Deberás conocer muy bien cómo ejecutar un Pentesting de cara a la detección de fallos de seguridad y su explotación.
  • Encontrar esas famosas vulnerabilidades estará genial, pero para el siguiente paso, debes desarrollar conocimientos de cara a la defensa de estos sistemas informáticos.
  • No viene nada mal un manejo básico de la consola de comandos de Linux, pero sería recomendable ya que muchas herramientas de Ciberseguridad carecen de interfaz gráfica y son herramientas de consola.
  • Realizar el curso de Ciberseguridad enfocada en Pentesting de Carlos Cilleruelo que encontrarás en la Plataforma de KeepCoding. Aquí tienes un acceso gratuito al curso introductorio para que puedas probar si esto es lo tuyo y si te animas a ser el próximo Ray, aquí tienes un descuentazo del 75% en el curso completo.

Nos encanta este curso porque puedes probar de una manera muy real todo lo aprendido ya que durante el curso montarás un laboratorio con software y sistemas operativos vulnerables a ataques. Durante tu formación realizarás ataques contra estos sistemas de distintas maneras, como si de un equipo o aplicación empresarial se tratara.

 

Share this:

Leave a comment