Objetivos:
El principal objetivo de una empresa es generar beneficios mediante la producción de productos o servicios que permitan a la empresa seguir ejerciendo su actividad. Uno de los peligros que acechan a las empresas hoy en día es Internet. Este medio permite hoy en día realizar toda acción que se pudiera llevar a cabo anteriormente por otra via, como por ejemplo, la realización de compras, negocios, venta de activos, consultas de información, modificación de nóminas, etcétera. En otras palabras, acciones críticas son realizadas diariamente por las empresas a través de dicho medio, por lo que sus propios activos pueden quedar expuestos sin una correcta política de seguridad empresarial y sin la configuración de los elementos adecuados para protegerse.
El objetivo principal de un proceso de Ethical Hacking o Hacking Etico es el de realizar una serie de pruebas acordadas con el cliente, la empresa u organización objeto, con el fin de averiguar fallos de seguridad en algún ámbito que pueda afectar a la empresa y a la producción de ésta
Uno de los objetivos primordiales de toda empresa es la de proteger su información crítica o sensible y llevar a cabo el cumplimiento de la legislación vigente entorno a protección de datos. Por esta razón es importante para una empresa detectar y eliminar cuanto antes las posibles vulnerabilidades que existan en su infraestructura, ya que si no las encuentran los auditores lo harán los usuarios maliciosos, con todo el riesgo que ello conlleva.
En líneas generales, el objetivo fundamental de un proceso de Ethical Hacking es la de detectar, investigar y explotar las vulnerabilidades existentes en un sistema de interés. Es importante recalcar lo de interés, ya que si la información que contiene ese sistema es menos valiosa que el tiempo que llevaría a un hacker acceder a ella, nadie la querría.
El pentesting llevado a cabo en un proceso de Ethical Hacking verificará y evaluará la seguridad, tanto fisica como lógica, de la red dónde se encuentran los sistemas, de los propios sistemas de información, de la configuración de los servidores, de las bases de datos, de las aplicaciones, de los elementos para mitigar el impacto de las amenazas, e incluso de la concienciación de los empleados encargados de la productividad empresarial.
Una vez que se ha detectado una vulnerabilidad y se ha demostrado que un sistema la empresa puede tomar medidas preventivas para contrarrestar posibles ataques malintencionados, y seguramente el auditor de seguridad acaba de ahorrar una gran cantidad de dinero, ya que se podrían producir daños a los activos más importantes, como puede ser información sensible e imagen corporativa. Hay que anotar que en cualquier momento del proceso de Ethical Hacking toda actividad debe estar controlada, es decir, todo ataque debe poder ser parado en cualquier momento ante la demanda del contratante. ¿Por qué se debe actuar como un delincuente cibernético? Esta pregunta tiene una sencilla respuesta y es un dicho ampliamente difundido en el mundo de la seguridad: "Para atrapar a un intruso, primero se debe pensar como un intruso".
¿Quiénes son los encargados de llevar a cabo este tipo de procesos? Los conocidos como hackers éticos son también conocidos como pentester, y son los encargados de realizar las pruebas de penetración o intrusión a los sistemas. Un hacker ético es un experto en el campo de la seguridad, teniendo altos conocimientos en sistemas y redes de datos. Su principal función es la de atacar los sistemas realizando las pruebas que se irán estudiando en este libro, haciéndolo en nombre de sus clientes, siempre y cuando ataquen activos de éstos. No hay diferencias importantes entre un hacker y un hacker ético, ambos utilizarán sus conocimientos para lograr sus fines
Como nota anecdótica explicar que en el mundo de la seguridad informática se suele denominar hackers de sombrero blanco a los hackers éticos, este hecho es debido a que en las películas del oeste, el "bueno" siempre llevaba un sombrero blanco y el "malo" un sombrero negro,
En definitiva, para garantizar la seguridad de la información se necesita un conjunto de sistemas o dispositivos, técnicas y herramientas destinadas a la protección de dicha información. La rama de la reguridad que evaluará mediante la utilización de una metodología y la realización de pruebas pseudo-reales es el Ethical Hacking. Como se verá más adelante estas pruebas van desde ataques externos, internos, con privilegios, mediante ingenieria social, ataques distribuidos simulando ser una botnet, basándose en exploits, etcétera. En otras palabras cualquier acción o método es válido en un proceso de Ethical Hacking siempre y cuando haya sido contratado por el cliente, no sea ilegal y no se pierda el control sobre los activos a auditar.
