Ethical Hacking es la tarea de mayor contenido técnico en Seguridad de la Información. En una implementación de Pentest debemos sumar horas de investigación, educación, experiencia y fundamentalmente creatividad.

El hecho de que sea una ciencia de orientación técnica no implica que sea una ciencia exacta; es más, lejos está de serlo. Testimonio de esto es que nuestros informes deben siempre incorporar evidencia de cada una de las vulnerabilidades que encontramos. Hackers automáticos, scanners de vulnerabilidades, herramientas "todo en uno"; sirven de apoyo pero no alcanzan…

En esta rama de Infosec no hay una receta milagrosa, sin embargo da nada sirve lograr éxito en la intrusión si no se puede explicar cómo se hizo, o las recomendaciones para mitigar el riesgo, que es lo más valioso para el cliente.

Los que ya tienen varios años de experiencia en Ethical Hacking coinciden en que hay que partir de lo general hacia el detalle, ya que en los pequeños detalles están los agujeros de seguridad. También recomiendan ser oportunos: no esperar para testear las vulnerabilidades ni esperar demasiado tiempo para presentar el informe.

Generalmente incurrimos en el error de trabajar de forma desordenada, documentando solamente los resultados sin incluir las metodologí­as. Pero a mí­ no me contrataron para demostrar lo débil que puede ser un objetivo: mi meta debe ser intentar identificar todas las vulnerabilidades de mi objetivo, recaudar evidencias y recomendar mejoras para mitigar los riesgos. Entonces, ¿cuáles son las mejores prácticas?

Para desarrollar un Pentest de forma ordenada hay metodologí­as que nos pueden orientar a organizarlo, podemos citar el OSSTMM de ISECOM (Manual de la Metodologí­a Abierta de Testeo de Seguridad), también está el Proyecto OWASP (Open Web Application Security Project). Aunque no estén formalmente establecidos como estándares, nos brindan lineamientos a seguir en un testeo. Inclusive podrí­amos definir nuestra propia metodologí­a; lo importante debe ser que nuestro trabajo gire en torno a brindar soluciones y no en demostrar lo fácil que es romper una red.

Ethical Hacking es el "niño mimado" de esta profesión ya que ofrece resultados tangibles e informa el estado real de Seguridad de la Información de una Compañí­a. Pero para que sea eficiente es fundamental que el proceso sea realizado de forma ordenada y metodológica, y los resultados deben ser aplicables y en concordancia con la tecnologí­a de la Compañí­a. Christian J. Vila Toscano es Security Consultant de I-SEC Information Security Inc.