¿Qué es la seguridad ofensiva?

Las operaciones de seguridad ofensivas suelen correr a cargo de hackers éticos, es decir, profesionales de la ciberseguridad que utilizan sus habilidades para detectar y corregir fallos en los sistemas de TI. Los hackers éticos realizan infracciones simuladas con permiso, a diferencia de los ciberdelincuentes reales que irrumpen en los sistemas para robar datos confidenciales o lanzar malware. No llegan a causar daños reales y utilizan los resultados de sus falsos ataques para ayudar a las organizaciones a mejorar sus defensas.

Históricamente, la seguridad ofensiva también se ha referido a las estrategias para frustrar a los posibles atacantes, por ejemplo, al atraer a los actores de amenazas a directorios sin salida. Estos métodos antagónicos son menos comunes en el panorama actual de la seguridad de la información.

Para entender por qué es importante la seguridad ofensiva, es útil compararla con la seguridad defensiva.

Las medidas de seguridad defensiva, como los programas antivirus y los firewalls, son reactivas por diseño. Estas herramientas están diseñadas para bloquear amenazas conocidas o detectar comportamientos sospechosos. Algunas herramientas avanzadas de seguridad defensiva, como las plataformas SOAR, también pueden automatizar las respuestas a ataques en curso.

Aunque las tácticas de seguridad defensiva pueden ayudar a frustrar los ciberataques en curso, estos métodos suponen una gran carga de trabajo para los equipos de seguridad. Los analistas deben clasificar las alertas y los datos para separar las amenazas reales de las falsas alarmas. Del mismo modo, las medidas de seguridad defensiva solo pueden proteger contra vectores de ataque conocidos, lo que deja a las organizaciones expuestas a ciberamenazas nuevas y desconocidas.

La seguridad ofensiva complementa la seguridad defensiva. Los equipos de seguridad utilizan tácticas OffSec para descubrir y responder a vectores de ataque desconocidos que otras medidas de seguridad podrían pasar por alto. La seguridad ofensiva también es más proactiva que la seguridad defensiva. En lugar de responder a los ciberataques en el momento en que se producen, las medidas de seguridad ofensivas detectan y solucionan los fallos antes de que los atacantes puedan aprovecharse de ellos.

En resumen, la seguridad ofensiva produce información que hace que la seguridad defensiva sea aún más efectiva. También reduce la carga de los equipos de seguridad. Debido a estas ventajas, la seguridad ofensiva se ha convertido en una norma en algunos sectores altamente regulados.

Las tácticas, técnicas y procedimientos (TTP) que utilizan los profesionales de la seguridad ofensiva son las mismas que emplean los actores de amenazas. Al utilizar estas TTP, los profesionales de la seguridad ofensiva (OffSec) pueden erradicar las vulnerabilidades potenciales que los hackers reales podrían utilizar al poner a prueba los programas de seguridad existentes.

Las principales tácticas de seguridad ofensiva incluyen:

La exploración de vulnerabilidades es un proceso automatizado para detectar vulnerabilidades en los recursos informáticos de una empresa. Consiste en utilizar una herramienta especializada para escanear los sistemas informáticos en busca de vulnerabilidades.

Los escáneres de vulnerabilidades pueden buscar vulnerabilidades conocidas asociadas a versiones de software específicas. Estas herramientas también pueden realizar pruebas más activas, como observar cómo reaccionan las aplicaciones ante cadenas de inyección SQL comunes u otras intrusiones maliciosas.

Los hackers suelen utilizar escáneres de vulnerabilidades para identificar las vulnerabilidades que pueden aprovecharse en un ataque. Los expertos en seguridad ofensiva hacen lo mismo para encontrar y corregir estas vulnerabilidades antes de que los hackers puedan explotarlas.Este enfoque proactivo permite a las organizaciones ir un paso por delante de las amenazas y reforzar sus defensas.

Las pruebas de penetración consisten en simular ciberataques para detectar vulnerabilidades en los sistemas informáticos. Básicamente, los expertos en pruebas de penetración actúan como escáneres humanos de vulnerabilidades, buscando fallos en la red imitando a hackers reales. Los expertos en pruebas de penetración adoptan la perspectiva de un atacante, lo que a su vez les permite identificar de manera efectiva las vulnerabilidades a las que es más probable que se dirijan los actores maliciosos.

Dado que los expertos en seguridad humana llevan a cabo pen tests, pueden detectar vulnerabilidades que las herramientas totalmente automatizadas podrían pasar por alto y es menos probable que aparezcan falsos positivos. Si ellos pueden explotar un fallo, también pueden hacerlo los ciberdelincuentes. Además, como las pruebas de penetración suelen ser proporcionadas por servicios de seguridad de terceros, por lo general pueden encontrar fallos que los equipos de seguridad internos podrían pasar por alto.

El equpios rojo, también conocido como simulación de adversarios, es un ejercicio en el que un grupo de expertos utiliza las TTP de ciberdelincuentes reales para lanzar un ataque simulado contra un sistema informático.

A diferencia de las pruebas de penetración, el equipo rojo permite evaluar la seguridad de una empresa enfrentando a dos equipos. El equipo rojo explota activamente los vectores de ataque, sin causar daños reales, para ver cómo pueden llegar. El equipo rojo también se enfrenta a un equipo azul de ingenieros de seguridad que pretenden detenerlos. Esto da a la organización la oportunidad de poner a prueba sus procedimientos prácticos de respuesta a incidentes.

Las organizaciones emplearán un equipo rojo interno o contratarán a un tercero para realizar ejercicios de equipo rojo. Para poner a prueba tanto las defensas técnicas como la concienciación de los empleados, el equipo rojo puede utilizar una serie de tácticas Entre los métodos habituales de los equipos rojos se encuentran los ataques simulados de ransomware, el phishing y otras simulaciones de ingeniería social, e incluso técnicas de vulneración in situ como el tailgating.

Los equipos rojos pueden realizar distintos tipos de pruebas en función de la cantidad de información de que dispongan. En una prueba de caja blanca, el equipo rojo tiene total transparencia sobre la estructura interna y el código fuente del sistema objetivo. En las pruebas de caja negra, el equipo rojo no tiene información sobre el sistema y tiene que penetrar en él como lo harían los ciberdelincuentes reales. En una prueba de caja gris, el equipo rojo puede tener algunos conocimientos básicos del sistema objetivo, como los rangos IP de los dispositivos de red, pero no mucho más.

La experiencia práctica en piratería informática, el conocimiento de los lenguajes de programación y la familiaridad con la seguridad de las aplicaciones web son vitales para los esfuerzos ofensivos de seguridad. Para validar su experiencia en estos ámbitos, los profesionales de la seguridad ofensiva suelen obtener certificaciones como Profesional Certificado en Seguridad Ofensiva (OSCP) o Hacker Ético Certificado (CEH).

Los equipos OffSec también siguen metodologías de piratería ética establecidas, incluidos proyectos de código abierto como OSSTMM (Open Source Security Testing Methodology Manual) y PTES (Penetration Testing Execution Standard).

Los profesionales de seguridad ofensiva también dominan las herramientas de seguridad ofensiva habituales, en particular:

Metasploit: un marco para desarrollar y automatizar la explotación de vulnerabilidades en sistemas informáticos. Se utiliza principalmente para pruebas de penetración y evaluación de vulnerabilidades.

Kali Linux: un sistema operativo Linux diseñado para pruebas de penetración e investigaciones digitales.

Burp Suite: herramienta de pruebas de seguridad de aplicaciones web capaz de analizar vulnerabilidades, interceptar y modificar el tráfico web y automatizar ataques.

Wireshark: analizador de protocolos de red que captura e inspecciona el tráfico para identificar problemas de seguridad en las comunicaciones de red.

Nmap: un escáner de red utilizado para detectar dispositivos conectados a una red, analizar puertos e identificar servicios alojados.

Aircrack-ng: un conjunto de herramientas para comprobar la seguridad de las redes Wi-Fi mediante la detección de paquetes y el establecimiento de enlaces y el descifrado de contraseñas.

John the Ripper: una herramienta de pirateo de contraseñas que lanza ataques de fuerza bruta contra las funciones hash de las contraseñas.

SQLMAP: herramienta que automatiza el proceso de explotación de vulnerabilidades de inyección SQL en aplicaciones web.