Existe mucha curiosidad y demanda de información respecto a este tema y nos han solicitado escribir sobre él en varias ocasiones, iremos cubriendo diversos aspectos del Hacking ético en varios artículos y recursos.
El Hacking ético, Penetration testing, Pentesting o Prueba de penetración consiste en realizar, como su nombre lo indica, una prueba de seguridad cuya finalidad es identificar y descubrir vulnerabilidades, riesgos y amenazas presentes en las redes, aplicaciones de software o de la web de una organización, mismas que pueden ser aprovechadas por un ciberdelincuente.
Es una simulación de ataque y te lo explicamos con una analogía, por ejemplo, si una joyería contratara a alguien que se hiciera pasar por ladrón y tratara de acceder a las piezas más valiosas, y éste lo consigue, tendríamos información valiosa para saber cómo deben reforzar su seguridad y tomar medidas en el futuro. Claro, el hacking ético lo lleva a cabo un profesional informático con estudios avanzados, cuenta con varias certificaciones e incluso metodologías para llevar a cabo el servicio, además de estar avalado por una institución.
Existen varios tipos y clasificaciones de pruebas de penetración, uno de ellos es con "cajas de colores": caja blanca, caja gris y caja negra, pero qué significan estos términos. Te lo decimos con esta infografía:
Como puedes ver, las pruebas de pentesting se clasifican según el nivel de conocimiento y el acceso otorgado al pentester por la empresa, antes de realizar la prueba.
¿Cuál prueba debemos elegir?
Si todas estas categorías de Pentesting dieran el mismo nivel de resultados solo utilizaríamos una de ellas. Pero las diferencias son importantes y entre las pruebas de penetración de caja negra, caja gris y caja blanca puede variar la precisión, su velocidad, eficiencia y cobertura.
Definitivamente si tuviéramos que elegir una más cercana a la realidad, sería la de caja negra,
ya que como lo vimos al principio es una simulación casi real de cómo un hacker se acerca a tu red. Sin embargo, requiere de mayor tiempo y en ocasiones, la urgencia de detectar y remediar vulnerabilidades trajeron como consecuencia las metodologías de prueba de penetración de caja gris y caja blanca.
Estas últimas utilizan análisis más dinámico, los pentesters de penetración de caja blanca también deben dominar otras técnicas denominadas de análisis estático. Así que para elegir un tipo de prueba dependerá de varios factores que podría ayudarte a definir un experto. Puedes dejarnos tus datos para asesorarte sin costo y saber cuál le conviene más a tu empresa. Da clic aquí para consultar a un experto.
