Francisco Ramírez nos ha ofrecido una conferencia sobre los fundamentos de la ciberseguridad, sobre cómo podemos iniciarnos en el mundo del hacking ético de una forma profesional, y sobre las diferentes salidas laborales a las que nos podemos dedicar dentro del ámbito de la ciberseguridad. Los temas tratados, que se detallarán a continuación, son los siguientes:
- Introducción: Qué es la ciberseguridad
- ¿A qué me puedo dedicar dentro de la ciberseguridad?
- Ramas dentro del hacking ético (“Red Team”)
- Fases usuales en el hacking ético (“Red Team”) enfocado a infraestructuras
- ¿Cómo puedo iniciarme y dedicarme al hacking ético?
1.Introducción: Qué es la ciberseguridad
La ciberseguridad, es en términos generales, la práctica de defender los computadores, los servidores, las redes y los datos. La seguridad es un elemento muy importante que debe satisfacerse en multitud de contextos:
- Seguridad en la red
- Seguridad en las aplicaciones
- Seguridad de la información: Los datos pueden perderse por diversos motivos (averías en discos duros, incendios en servidores…), por lo que debemos tener varias copias de la información. Además, los datos deben estar cifrados, de tal forma que si alguien los roba, no pueda usarlos de forma maliciosa.
- Seguridad ante desastres, asegurando la continuidad de los negocios. Es decir, si un sistema informático de un establecimiento se cae, debemos ser capaces de restaurarlo lo antes posible, pues el tiempo en el que se encuentra inoperativo, es tiempo en el que el negocio, probablemente esté perdiendo dinero.
- Seguridad mediante la capacitación de los usuarios finales. Actualmente hay un gran número de víctimas de diversas estafas y engaños por diferentes medios (correo electrónico, llamadas telefónicas, mensajes de móvil…), debido a que las personas no conocen estos métodos de fraude.
2. ¿A qué me puedo dedicar dentro de la ciberseguridad?
Existen diferentes ramas a las que nos podemos dedicar profesionalmente en el mundo de la ciberseguridad:
- Consultorías o Auditoria de normativas: Nos podemos dedicar a realizar consultorías sobre diferentes normativas o estándares, tales como:
- Ley orgánica de protección de datos: Especifica el tratamiento de los datos recopilados de los clientes.
- ISO 27001: Se trata de un documento de buenas prácticas en el ámbito de la ciberseguridad para las empresas.
- ENS (Esquema nacional de seguridad): Se trata de otro estándar de ciberseguridad para empresas.
Toda esta documentación debe estar actualizada. Esta rama es la responsable de tener planes ante diferentes situaciones. Por ejemplo, debemos tener un plan al respecto si nuestro sistema se cae, o si se inundan los servidores.
- Forense y peritaje judicial: Esta rama es la encargada de analizar dispositivos informáticos tales como móviles u ordenadores, extraer datos de los mismos y ofrecérselos a jueces y abogados, de tal forma que sirvan como pruebas de un delito para incriminar o defender a alguien. Esta rama también es la encargada de rastrear a ciberdelincuentes.
- Defensa “Blue Team”: Esta rama se centra en defender a organizaciones monitoreando la red y los sistemas, con el objetivo de detectar amenazas o malwares. Realizan una vigilancia constante y analizan comportamientos sospechosos, con el objetivo de mejorar de forma continua la seguridad de la empresa, recomendando planes de actuación para minimizar los riesgos.
- Hacking ético “Red Team”: Este campo se centra en analizar la capacidad de seguridad que tienen las organizaciones, buscando vulnerabilidades en el sistema mediante la simulación de ataques. Hay que diferenciar entre hacker y ciberdelincuente. Los hackers son contratados por las empresas para detectar vulnerabilidades, y reportarlas al “Blue Team” o equipo defensivo de la organización, para que sean Por otra parte, los ciberdelincuentes, atacan los sistemas de forma maliciosa e ilegal, con el fin de obtener un beneficio propio.
3. Ramas dentro del hacking ético (“Red Team”)
- Análisis de aplicaciones (web, móvil…): Para ello, debemos tener conocimientos de programación, de tal forma que detectemos vulnerabilidades sin quedar inoperativa la página web del cliente durante el proceso. Existen numerosas metodologías para el análisis de aplicaciones, como “OWASP” (Te ofrece pasos a seguir para el análisis del sistema de autenticación, por ejemplo).
- Análisis de infraestructura (redes, equipos, directorios activos…): Para iniciarnos en esta rama, primero debemos tener los siguientes conocimientos:
- Tener conocimiento de redes. Debemos entender de firewalls en la red, saber cómo está distribuida, cómo puedo saltar de una red a otra…
- Debemos tener conocimientos acerca de directorios activos, es decir, donde están registrados todos los usuarios de una empresa.
- Conocimiento de Hardening Windows o Linux. Hardening es la seguridad dentro de un sistema. Si los equipos no están asegurados, podemos saltar de un equipo a otro y podríamos conseguir permisos de administrador en equipos no asegurados.
- También deberíamos tener conocimientos sobre Cloud, pues hoy en día, la infraestructura de muchas organizaciones se basa en servicios en la nube como Azure, IBM Cloud, Amazon Web Services…
- Análisis de sistemas industriales: El análisis de vulnerabilidades en los sistemas industriales es muy delicado, ya que si realizamos acciones que no debemos, podemos provocar una catástrofe. Para hacer pruebas, controlar y supervisar procesos a distancia en el ámbito industrial, podemos usar software “SCADA”, pero la mayoría de las opciones disponibles son de pago.
- Hardware hacking: Se trata de acceder a la circuitería de los dispositivos y extraer información o hacer que se comporten de manera diferente. Podemos iniciarnos en esta rama desmontando dispositivos inteligentes que tengamos en casa (enchufes inteligentes, bombillas…). Para ello, el libro “The hardware hacking handbook” es muy interesante.
4. Fases usuales en el hacking ético (“Red Team”), enfocado a infraestructuras
Cuando queremos reconocer las vulnerabilidades de la infraestructura de una organización, se pueden seguir los siguientes pasos:
- Reconocimiento: Se trata de estudiar y reconocer la infraestructura
- Comprometer el perímetro: Se trata de penetrar en el sistema, mediante una vulnerabilidad detectada o mediante Ingeniería Social.
- Persistencia: Una vez hemos entrado en el sistema, debemos elaborar un plan B para seguir dentro en caso de que detecten nuestra intrusión.
- Command and control: Se trata de establecer una conexión externa con el sistema, para seguir siempre conectados.
- Escalado de privilegios: Se trata de mejorar nuestra intrusión en el sistema y obtener cada vez mayores privilegios.
- Pivoting: Se trata de realizar saltos entre diferentes servidores, para continuar con el escalado de privilegios.
- Reporte y limpieza: Se reportan todas las deficiencias del sistema, y se restauran los cambios realizados, para que no pueda ser vulnerable por otras personas.
5. ¿Cómo puedo iniciarme y dedicarme al hacking ético?
Para dedicarnos al hacking ético “Red Team”, primero debemos preparar nuestro perfil. Podemos instruirnos con los siguientes medios:
- Cursos: Hay multitud de cursos que podemos cursar, pero es recomendable que empecemos con hacking enfocado a web y móviles, antes que enfocado a infraestructuras.
- Certificaciones: Muy útil para empezar y afianzar conocimientos. Algunos ejemplos de certificaciones interesantes son:
- Ec-Coucil: Muy recomendable para empezar e iniciarse en el mundo de la ciberseguridad.
- Offensive Security
- SANS: Se trata de una certificación de un nivel técnico alto y especializado.
- Pentester Academy: Presenta certificaciones para la parte de red team, entre otros ámbitos.
- Hack the box: Se trata de una plataforma en la que podemos practicar técnicas de ciberseguridad. Recientemente presentaron un laboratorio que simula una empresa, para ser hackeada por los usuarios. Es muy interesante.
- Universidad: La universidad nos puede ofrecer conocimientos de ciberseguridad. Podemos aprovechar para consultar con profesores expertos en ciberseguridad, si los hay.
- Plataformas: Existen numerosas plataformas que te permiten practicar, hacer retos, con los que adquirirás experiencia y soltura en el mundo de la ciberseguridad. Algunas de ellas son:
- Hack the box
- VulnHub
- TryHackMe
- HackThisSite