Las universidades están constantemente expuestas a amenazas cibernéticas de todo tipo, desde ataques DDoS hasta ransomware. Es por ello que resulta indispensable mantener las mejores medidas de ciberseguridad en todo momento. Sin embargo, siempre es posible que haya vulnerabilidades desconocidas por el personal de TIC. Una manera de detectarlas y subsanarlas es mediante las pruebas de penetración o hacking ético.
En el hacking ético, un grupo de especialistas ataca bien la red principal de la universidad o de algún departamento individual. El objetivo es ver si es posible violar recursos como aplicaciones o dispositivos móviles. Para ello, imitan las tácticas usadas por verdaderos criminales para detectar las fallas o vulnerabilidades de un sistema. Se cubren las debilidades de software, hardware y factores humanos.
Este último aspecto revista particular importancia, pues el hacking ético permite valorar cuán proclives son los usuarios en la universidad a caer en engaños de ingeniería social. Para ello, los hackers diseñan engaños para obtener datos críticos. Esto abarca desde la creación de códigos QR hasta correos de phishing escritos por redactores profesionales o incluso aplicaciones de inteligencia artificial (IA).
Limitaciones del hacking ético
El primer paso para el uso del hacking ético es determinar los sistemas, redes o aplicaciones a examinar y los alcances de la prueba. Luego se determina si el equipo a cargo estará integrado por usuarios internos de la universidad o expertos externos. A continuación, y según los objetivos, se elige la mejor metodología para las pruebas. Los principales tipos son tres:
●Caja negra. Los hackers tienen poco o ningún conocimiento previo sobre el sistema a atacar. Es posible que sólo reciban información limitada como URL, direcciones IP o una lista de sistemas y servicios. La finalidad de la caja negra es evaluar la seguridad perimetral y los servicios web accesibles desde fuera de la universidad.
●Caja gris. Se enfoca en aplicaciones móviles e infraestructura interna. Los encargados del hacking ético reciben más información sobre el sistema y credenciales de un usuario estándar, pero no derechos de administrador. Eso implica que el atacante debe recurrir a la ingeniería inversa para escalar sus privilegios y hackear centros de procesamiento, bases de datos o servicios de pago.
●Caja blanca. Los atacantes conocen completamente el sistema, incluso los diagramas de su arquitectura y el código fuente. Además, tienen credenciales de administrador. El propósito principal de esta metodología es identificar fallas en aplicaciones o servicios comerciales. Para ello, exploran las consecuencias de hacer mal uso de los recursos; van a la búsqueda de vectores de ataque, controles inadecuados u omisiones en el cumplimiento de normas.
Ahora bien, a pesar de su versatilidad, la eficacia del hacking ético puede verse mermada si hay demasiada interferencia de parte de la universidad. Puede ser que se prohíban pruebas específicas por temor a potenciales daños o bien, que se constriña su alcance. En el extremo, se vuelve imposible descubrir las vulnerabilidades del sistema atacado.