¿En qué consiste el Hacking Ético?
¿Qué es un Hacking Ético?
El Hacking Ético o Hackeo Ético retoma desde donde se queda el PenTest, ya que el PenTest por lo general es enfocado a un área en particular
por ejemplo un PenTest a una página Web o PenTest a la Infraestructura o a una aplicación móvil, etc. Por su parte en el Hacking Ético
probamos todo lo que se pueda probar, atacaremos Web, Infraestructura, IoT, Móviles, Ingeniería Social, en fin, todos los métodos y vectores de ataque
como lo haría un atacante real que quiere conseguir algún tipo de información o alguna afectación a la empresa.
Debido a la amplitud de las pruebas solo realizamos este ejercicio a cierto tipo de empresas que ya han pasado por múltiples PenTest y
desean pasar al siguiente nivel de seguridad.
Pregunta a nuestros profesionales sobre cómo podemos cotizar este servicio.
¿Cuál es la diferencia entre un Hackeo Ético contra un PenTest?
Cómo lo mencionamos en el párrafo anterior la diferencia es el alcance, podríamos decir que un Hackeo Ético se compone de varas Pruebas de Penetración. Ya que los PenTest suelen ser enfocados a algún sistema en particular, para más información sobre PenTest da click aquíPongamos el siguiente ejemplo: Por un lado tenemos Kolibërs Group es una organización que se dedica a dar consultoría a otras empresas, ofrece productos que se adaptan a las necesidades de sus clientes y está a punto de sacar un nuevo servicio Web que va a revolucionar la industria.
El sitio web lo realizó llevando a cabo las mejores prácticas de desarrollo y le realizó su respectivo PenTest y además cuenta con un WAF y monitoreo 24/7. Del otro lado tenemos a un atacante que está financiado por una compañía rival y decide que quiere robar el código fuente de dicha aplicación, hacer un defacement o cuando menos una denegación de servicio lo que sea para darle mala publicidad y sus clientes dejen de consumir su servicio, lo cual pondrá contento a sus patrocinadores.
Los pasos que el atacante tomará son más o menos los siguientes:
Primero intentará atacar el sitio web directamente, pero al ver que el sitio web está muy protegido y no es posible atacarlo directamente recurrirá a otros vectores que pueden ser muy variados, por ejemplo:
Ingeniería Social a los empleados, ya sea a través de phishing, vishing, o incluso físicamente, tratara de hackear otros servidores y/o servicios de la organización que estén menos protegidos, redes Wifi, incluso tratar de hackear a un tercero que brinde algún servicio y por medio de este tercero entrar a la organización, también pueden conseguir trabajo dentro de la organización o enviar a alguien que pueda ser contratado y pueda ayudar desde dentro.
Todo lo anterior dependerá de la motivación y los recursos con los que cuenten y lo harán tras meses de investigación, pruebas pasivas y activas, etc. lo cual tiene muchas ventajas frente a un PenTest ya que los PenTesters solo tienen algunas semanas para encontrar vulnerabilidades y solamente en ciertas aplicaciones, desde aquí podemos ver los beneficios de realizar ejercicios más amplios que un PenTest.
¿Cuánto tiempo dura un Hackeo Ético?
El tiempo lo definimos con cada cliente dependiendo del tamaño de su organización y objetivos particulares. Hay clientes que nos piden
realizar pruebas durante todo el año, donde continuamente nuestros ingenieros prueban sus defensas, los mantenemos informados de cualquier riesgo que encontremosy les damos recomendaciones para protegerse de nuevos vectores de ataque.
¿Cuentan con algún tipo de certificación?
En el área de Pruebas de Penetración como en casi todas las áreas profesionales, lo más importante es la experiencia, la experiencia es lo que más valoramos en Kolibërs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura. Es aquí donde entran las certificaciones y nuestros ingenieros quienes cuentan con una o más de las siguientes certificaciones:
- GPEN - GIAC Penetration Tester
- GWAPT - GIAC Web Application Penetration Tester
- CEH - Certfied Ethical Hacker
- CISSP - Certified Information Systems Security Professional
- OSCP - Offensive Security Certified Professional
- AWS Security Specialty
¿Cuánto cuesta un Ethical Hacking?
Es difícil dar una respuesta concreta, pero para este caso realmente depende del alcance y del tamaño de la organización pero como siempre en todos nuestros servicios, contamos con precios muy competitivos y con alto valor agregado.
¿Cuáles son los entregables de un Ethical Hacking?
Los entregables son diferentes en este tipo de pruebas pues son varios reportes dependiendo de la duración del ejercicio, pero siempre están enfocados a proporcionar valor y estar actualizados con los nuevos vectores de ataque. Los entregables también son personalizados de acuerdo con las necesidades y requerimientos de cada organización.
¿En qué estados de México pueden dar servicio?
A pesar de estar basados en la Ciudad de México podemos presentar servicios a cualquier estado del país, siempre y cuando puedan descargar una máquina virtual y darnos el acceso de manera remota para podernos conectar y realizar las pruebas necesarias.
¿Pueden realizar pruebas fuera de México?
Sí claro, hemos realizado Pruebas en diversos países de Latinoamérica, USA, Asia y Europa.
