Strike, una compañía de ciberseguridad, compartió en cinco puntos la forma en la que funciona el hacking ético:
Pentesting o Penetration Test: Proceso en el que un hacker ético entra a los sistemas de una compañía, tal y como lo haría un cibercriminal, pero con el objetivo de encontrar posibles vulnerabilidades que un pirata informático podría explotar.
Este proceso está a cargo de hackers éticos llamados strikers que realizan el pentesting de forma 100% manual, utilizando sus habilidades de hacking y conocimientos técnicos de distintos ámbitos e industrias como crypto, e-commerce, healthtech y Fintech.
Los strikers trabajan de forma descentralizada y en diferentes partes del mundo. Además, durante todo el proceso están en constante comunicación con la empresa mediante un chat y un dashboard en el que se carga la información a detalle para dar seguimiento puntual de las vulnerabilidades de la empresa.
Luego del análisis confeccionan un reporte que se actualiza continuamente con todas las vulnerabilidades halladas las cuales son categorizadas por la criticidad para que la empresa que contrató el pentest las arregle en el periodo que considere apropiado.
Existen tres tipos de pentesting:
- Black Box Testing. Forma más sencilla de iniciar un proceso de pentesting, se ponen a prueba las funcionalidades del sistema, pero sin mirar la estructura del código interno.
- White Box Testing. Forma más sofisticada y completa. Los strikers inspeccionan el código, la infraestructura e integraciones con sistemas externos de la compañía como el software de áreas específicas como contabilidad y ventas.
- Grey Box Testing. Es una combinación de las dos anteriores en la cual el striker realiza pruebas en los sistemas con un conocimiento parcial de las funciones internas del mismo.
Strike recomienda realizar el pentesting mediante dos esquemas principales. Veamos:
- One-shot Pentesting. Orientado a startups que no tengan un equipo de ciberseguridad. Es ideal para aquellas compañías que buscan reportes de compliance o necesitan hacer pruebas puntuales en su producto o plataformas.
Pentesting continuo. Ideal para grandes empresas que buscan una solución completa de pentesting que se realice de forma periódica. Este plan busca acompañar a la compañía en todo su ciclo de desarrollo.
