Así y paralelamente a dicha evolución, el mito del "hacker" también ha ido sufriendo una constante transformación. Ese término que antes era sinónimo de "gurú", se ha convertido en la etiqueta que define al individuo que accede ilegalmente a ordenadores y sistemas. Individuo que no obstante, para realizar dichas acciones (modificación de páginas web, programación de virus, ac-ceso no autorizado a sistemas, etc.) necesita de un cierto conocimiento técnico. Conocimiento generalmente superior al del ciudadano medio -de ahí su aura popular- pero que sin embargo no es indicativo ni fiable, al nivel que nos interesa, para la realización exitosa de un proceso tan complejo como es el "Test de Intrusión".
Otro protagonista en el tema que nos ocupa, es el experto en seguridad. Persona técnica formada en el problema a base de cursos y cuya experiencia, contrastada en "intrusiones reales", se ciñe a las auditorías de seguridad efectuadas en las empresas para las que ha trabajado en plantilla. Un profesional que a pesar de su desconocimiento de la realidad que acosa a las empresas en temas de seguridad, en muchas ocasiones garantiza el éxito en un Test de Intrusión" . Y aún existe otro tipo de profesional en Seguridad Telemática. Su perfil es una combinación de los dos anteriores: experiencia profesional más posesión real de "background" en temas de hacking.
De todos esos profesionales, algunos investigan y publican los fallos de seguridad encontrados, y otros, jamás publican nada; algunos son excelentes programadores y otros no lo son en absoluto, como también encontramos al que literalmente "adora" la tecnología con la que trabaja y de tal modo, que ocupa todo su tiempo libre con más tecnología.
Ahora bien, y a pesar de que todos tienen algo en común su conocimiento y dedicación a la seguridad- ese algo no puede considerarse como determinante para poder realizar un Test de Intrusión con éxito. O lo que es lo mismo, ninguno de esos profesionales garantiza que sean buenos Pen-Tester. ¿Porqué? Por múltiples y variadas razones.
Se podría afirmar que el que es capaz de atacar con éxito un sistema informático, tal vez posea una visión de conjunto más amplia que el que no lo hizo nunca. Pero ello no garantiza que sea un buen Pen-Tester. Podría compararse a jugar un partido de fútbol en la playa con una final del Campeonato del Mundo. La presión no es la misma y la exigencia de conocimientos reales tampoco.
Vulnerar sistemas por cuenta propia de manera no remunerada y por el simple reto de superarse a uno mismo tiene varias "ventajas". La más importante es que nadie se entera cuando la incursión sale mal. ¿Alguien ha escuchado quejarse a algún hacker de la cantidad de sistemas que nunca ha logrado penetrar? En segúndo lugar, no hay límite de tiempo y esto es muy importante. Cualquier individuo decidido y con unos mínimos conocimientos de seguridad, puede romper gran parte de los sistemas que se conectan a Internet.
También se podría argumentar que una buena "base" académica en informática es imprescindible para poder realizar un buen Test de Intrusión. Quienes se dedican a esta actividad saben que no es así. La formación académica, como cualquier otra es muy importante, y hay que valorarla aunque no nos garantice nada. Pero ojo, tampoco caigamos en el error contrario, en el de creer que con simple experiencia real en este tipo de pruebas ya es suficiente. Tampoco es eso aunque si es muy importante destacarla y ponerla en primer lugar: en el de los requerimientos pro-fesionales a la hora de juzgar a un Pen-Tester.
¿Y la capacidad técnica? A pesar de parecer pesimista, creo que tampoco es suficiente. Muchos expertos en seguridad telemática confunden la capacidad técnica con la habilidad para realizar un Test de Intrusión. Existen infinidad de empresas y expertos en seguridad telemática -o en alguna de sus áreas- que sin embargo no destacan por su efectividad en los Tests de Intrusión. El Test de Intrusión es un arte y como todo arte, necesita de una técnica especial y de un conocimiento particular para sublimar los deseos que se pretenden: alcanzar la Verdad, el objetivo del Test de Intrusión, es decir, llegar a la Verdad de si el sistema es invulnerable, inexpugnable.
En mi modesta opinión, la capacidad de romper la seguridad de un sistema en un tiempo determinado, requiere de una combinación de cualidades que van mas allá de la típica definición de un experto de seguridad. Cualidades que como todos sabemos, no son otras que experiencia, conocimientos, curiosidad, ambición, tesón, paciencia, criterio, sacrificio, método, improvisación, reflejos, abstracción, creatividad, astuta modestia.. Y fe. Fe en uno mismo, fe en poseer esas cualidades que solo unos pocos poseen, o sea: Fe en poder demostrar en todo momento y en cualquier situación, que se es un Pen-Tester solo eso, un Pen-Tester.pero un buen Pen-Tester.
Básicamente un Test de Intrusión consiste en ver si se puede "romper" la seguridad de los sistemas del cliente en un tiempo determinado. Para ello es muy importante entender que el hecho NADA tiene que ver con la simple enumeración de "posibles" vulnerabilidades de los sistemas del cliente y por tanto, sin llegar a aprovecharlas. Hay que hacerlo y llegar al final. Existe un abismo entre estas dos formas de actuar o de tratar el mismo problema. Es a la segunda solución a la que con toda lógica se la suele llamar "Auditoría de Seguridad" ahora bien, no entremos a discutir que actuación profesional es más conveniente y aceptable pues considero que ambas lo son aunque con objetivos diferentes.
Los Tests de Intrusión son una especie de match informático con dos participantes -la empresa contra el Tiger Team- y un solo premio. Al final y por mucho que maquillemos la realidad o queramos darle un aire más "sofisticado", como en todo match se trata de eso, de un premio para el vencedor. El que el cliente concede cuando contrata un Test de Intrusión porque entre otras cosas, desea, necesita comprobar lo segura que es su red. Pero, ¿Es posible verificar el estado de un sistema en el breve lapso de tiempo que dura un Test de Intrusión? No, no es posible pero sí que se puede demostrar que NO es seguro. Sí, y de tal modo que cuando finaliza el Test de Intrusión siempre nos encontramos con la siguiente situación: Si el Tiger Team consiguió "entrar" en los sistemas del cliente, éste se mostrará preocupado por el estado de su seguridad pero satisfecho con los resultados del Test y con el servicio contratado. Pero si el Tiger Team no consiguió acceder a los sistemas del cliente, el cliente habrá quedado satisfecho con la seguridad de su empresa pero inconscientemente insatisfecho con la empresa contratada para hacer el test.
Teniendo en cuenta esto, es importante entender por qué no todo el mundo sirve para este trabajo. Un trabajo donde para desarrollarlo correctamente, se requiere de una constante improvisación. Donde no se permiten "peros" ni objeciones y mucho menos "perdedores". Y en el que es más importante el resultado que el "como" o las florituras llevadas a cabo. Un trabajo donde se tiene el aliento del cliente en el "cogote" y la música del tic-tac del reloj cual espada de Damocles. Un trabajo donde el éxito es una obligación y el fracaso un estigma para tu imagen y la de tu Empresa. Y mientras se siente todo eso, has de seguir adelante con el compromiso adquirido porque al final, y siempre es así, al cliente lo único que le importa y quiere del "mago" que le está hurgando en el sistema, es que haga magia. Pero claro, no es lo mismo la magia del hacker desde la tranquilidad de su casa, entre discos y programas favoritos y con niña al lado, que el hacking a contrareloj del Pen-Tester.
Articulo realizado para la Comisión de Seguridad de la Asociación de Internautas por:
Hugo Vázquez Caramés
(Director Técnico de PENTEST, Consultores de Seguridad Telemática)
http://www.pentest.org
Nota: La empresa española PENTEST tal vez sea una de las mejores del entorno europeo en la realización de Tests de Intrusión. Empresa que basa su éxito en la recluta para cada tipo de proyecto de los mejores Pen-Testers" existentes en la problemática a auditar. Una vez seleccionados, forma un equipo de auditores o "Tiger Team" que pone al servicio del cliente. Normalmente los "Tiger Team" de PENTEST no solo son los mejores, sino también los más motivados pues trabajan a partir de la propia libertad de sus conocimientos y experiencia y de la que concede Pentest para el desarrollo de su función profesional.
Más información en:
SeguridadPymes.es
Otro protagonista en el tema que nos ocupa, es el experto en seguridad. Persona técnica formada en el problema a base de cursos y cuya experiencia, contrastada en "intrusiones reales", se ciñe a las auditorías de seguridad efectuadas en las empresas para las que ha trabajado en plantilla. Un profesional que a pesar de su desconocimiento de la realidad que acosa a las empresas en temas de seguridad, en muchas ocasiones garantiza el éxito en un Test de Intrusión" . Y aún existe otro tipo de profesional en Seguridad Telemática. Su perfil es una combinación de los dos anteriores: experiencia profesional más posesión real de "background" en temas de hacking.
De todos esos profesionales, algunos investigan y publican los fallos de seguridad encontrados, y otros, jamás publican nada; algunos son excelentes programadores y otros no lo son en absoluto, como también encontramos al que literalmente "adora" la tecnología con la que trabaja y de tal modo, que ocupa todo su tiempo libre con más tecnología.
Ahora bien, y a pesar de que todos tienen algo en común su conocimiento y dedicación a la seguridad- ese algo no puede considerarse como determinante para poder realizar un Test de Intrusión con éxito. O lo que es lo mismo, ninguno de esos profesionales garantiza que sean buenos Pen-Tester. ¿Porqué? Por múltiples y variadas razones.
Se podría afirmar que el que es capaz de atacar con éxito un sistema informático, tal vez posea una visión de conjunto más amplia que el que no lo hizo nunca. Pero ello no garantiza que sea un buen Pen-Tester. Podría compararse a jugar un partido de fútbol en la playa con una final del Campeonato del Mundo. La presión no es la misma y la exigencia de conocimientos reales tampoco.
Vulnerar sistemas por cuenta propia de manera no remunerada y por el simple reto de superarse a uno mismo tiene varias "ventajas". La más importante es que nadie se entera cuando la incursión sale mal. ¿Alguien ha escuchado quejarse a algún hacker de la cantidad de sistemas que nunca ha logrado penetrar? En segúndo lugar, no hay límite de tiempo y esto es muy importante. Cualquier individuo decidido y con unos mínimos conocimientos de seguridad, puede romper gran parte de los sistemas que se conectan a Internet.
También se podría argumentar que una buena "base" académica en informática es imprescindible para poder realizar un buen Test de Intrusión. Quienes se dedican a esta actividad saben que no es así. La formación académica, como cualquier otra es muy importante, y hay que valorarla aunque no nos garantice nada. Pero ojo, tampoco caigamos en el error contrario, en el de creer que con simple experiencia real en este tipo de pruebas ya es suficiente. Tampoco es eso aunque si es muy importante destacarla y ponerla en primer lugar: en el de los requerimientos pro-fesionales a la hora de juzgar a un Pen-Tester.
¿Y la capacidad técnica? A pesar de parecer pesimista, creo que tampoco es suficiente. Muchos expertos en seguridad telemática confunden la capacidad técnica con la habilidad para realizar un Test de Intrusión. Existen infinidad de empresas y expertos en seguridad telemática -o en alguna de sus áreas- que sin embargo no destacan por su efectividad en los Tests de Intrusión. El Test de Intrusión es un arte y como todo arte, necesita de una técnica especial y de un conocimiento particular para sublimar los deseos que se pretenden: alcanzar la Verdad, el objetivo del Test de Intrusión, es decir, llegar a la Verdad de si el sistema es invulnerable, inexpugnable.
En mi modesta opinión, la capacidad de romper la seguridad de un sistema en un tiempo determinado, requiere de una combinación de cualidades que van mas allá de la típica definición de un experto de seguridad. Cualidades que como todos sabemos, no son otras que experiencia, conocimientos, curiosidad, ambición, tesón, paciencia, criterio, sacrificio, método, improvisación, reflejos, abstracción, creatividad, astuta modestia.. Y fe. Fe en uno mismo, fe en poseer esas cualidades que solo unos pocos poseen, o sea: Fe en poder demostrar en todo momento y en cualquier situación, que se es un Pen-Tester solo eso, un Pen-Tester.pero un buen Pen-Tester.
Básicamente un Test de Intrusión consiste en ver si se puede "romper" la seguridad de los sistemas del cliente en un tiempo determinado. Para ello es muy importante entender que el hecho NADA tiene que ver con la simple enumeración de "posibles" vulnerabilidades de los sistemas del cliente y por tanto, sin llegar a aprovecharlas. Hay que hacerlo y llegar al final. Existe un abismo entre estas dos formas de actuar o de tratar el mismo problema. Es a la segunda solución a la que con toda lógica se la suele llamar "Auditoría de Seguridad" ahora bien, no entremos a discutir que actuación profesional es más conveniente y aceptable pues considero que ambas lo son aunque con objetivos diferentes.
Los Tests de Intrusión son una especie de match informático con dos participantes -la empresa contra el Tiger Team- y un solo premio. Al final y por mucho que maquillemos la realidad o queramos darle un aire más "sofisticado", como en todo match se trata de eso, de un premio para el vencedor. El que el cliente concede cuando contrata un Test de Intrusión porque entre otras cosas, desea, necesita comprobar lo segura que es su red. Pero, ¿Es posible verificar el estado de un sistema en el breve lapso de tiempo que dura un Test de Intrusión? No, no es posible pero sí que se puede demostrar que NO es seguro. Sí, y de tal modo que cuando finaliza el Test de Intrusión siempre nos encontramos con la siguiente situación: Si el Tiger Team consiguió "entrar" en los sistemas del cliente, éste se mostrará preocupado por el estado de su seguridad pero satisfecho con los resultados del Test y con el servicio contratado. Pero si el Tiger Team no consiguió acceder a los sistemas del cliente, el cliente habrá quedado satisfecho con la seguridad de su empresa pero inconscientemente insatisfecho con la empresa contratada para hacer el test.
Teniendo en cuenta esto, es importante entender por qué no todo el mundo sirve para este trabajo. Un trabajo donde para desarrollarlo correctamente, se requiere de una constante improvisación. Donde no se permiten "peros" ni objeciones y mucho menos "perdedores". Y en el que es más importante el resultado que el "como" o las florituras llevadas a cabo. Un trabajo donde se tiene el aliento del cliente en el "cogote" y la música del tic-tac del reloj cual espada de Damocles. Un trabajo donde el éxito es una obligación y el fracaso un estigma para tu imagen y la de tu Empresa. Y mientras se siente todo eso, has de seguir adelante con el compromiso adquirido porque al final, y siempre es así, al cliente lo único que le importa y quiere del "mago" que le está hurgando en el sistema, es que haga magia. Pero claro, no es lo mismo la magia del hacker desde la tranquilidad de su casa, entre discos y programas favoritos y con niña al lado, que el hacking a contrareloj del Pen-Tester.
Articulo realizado para la Comisión de Seguridad de la Asociación de Internautas por:
Hugo Vázquez Caramés
(Director Técnico de PENTEST, Consultores de Seguridad Telemática)
http://www.pentest.org
Nota: La empresa española PENTEST tal vez sea una de las mejores del entorno europeo en la realización de Tests de Intrusión. Empresa que basa su éxito en la recluta para cada tipo de proyecto de los mejores Pen-Testers" existentes en la problemática a auditar. Una vez seleccionados, forma un equipo de auditores o "Tiger Team" que pone al servicio del cliente. Normalmente los "Tiger Team" de PENTEST no solo son los mejores, sino también los más motivados pues trabajan a partir de la propia libertad de sus conocimientos y experiencia y de la que concede Pentest para el desarrollo de su función profesional.
Más información en:
SeguridadPymes.es
