RTCP

Lanzan el carnet español que certifica que sabes atacar un sistema informático

El «pentesting» es una forma en la que un investigador de ciberseguridad analiza las vulnerabilidades de una red corporativa por las que un cibercriminal podría aprovechar para entrar

Securízame

22/07/2018
Actualizado 27/07/2018 a las 10:10h.

Dice un viejo dicho que «la mejor defensa es un buen ataque». Los investigadores de ciberseguridad que trabajan como «penetration tester» (analistas de penetración), dentro del llamado hacking ético, han sentado las bases de que la mejor manera de conocer cómo de segura es una ... red corporativa es la de pensar y rabajar como un cibercriminal . De esta manera, gracias a las habilidades del «pentester», como también se le conoce, cualquier vulnerabilidad que exista puede ser subsanada antes de culminar en desgracia.

Las empresas que trabajan ofreciendo este servicio o que cuentan entre sus empleados con un « pentester » saben lo importante que es tener a un mañoso informático , que en la mayoría de los casos debe contar con un título que está capacitado. Sin embargo, entre las distintas certificaciones a las que te puedes presentar, tanto presenciales como por internet, se han desencadenado ciertos acontecimientos que hacen dudar de que sean las mejores formas de valorar al candidato.

El equipo de Securízame ha tomado nota de todas ellas y ha lanzado la primera certificación española con evaluación 100% práctica especializada en hacking ético : RTCP Red Team Certified Professional . Lo que hace diferente a este carnet es que, al contrario que la mayoría de certificaciones, se valora al informático por su talento para forzar la entrada a un sistema corporativo como si fuera real, en vez de evaluarle en un examen por escrito.

En un test presencial y teórico es habitual encontrar la situación de que «la gente según ha terminado un examen se apunta las preguntas y las respuestas que sabía y las publican» de manera gratuita o para comerciar con ellas, así lo recalca Lorenzo Martínez , Chief Technical Officer de la empresa de ciberseguridad Securízame. Por otro lado, en lo que se refiere a las certificaciones online, este experto explica que se ha observado «muchas ofertas en Twitter, Facebook y en diferentes sitios de redes sociales por las cuales tú puedes contratar a alguien que desde la India que pasa las pruebas por ti », por lo que al final ello desacredita al título.

Entonces, ¿cuál es la mejor forma de evaluar a un pentester? La respuesta parece clara, viéndole hackear . Para poder realizar este examen, el candidato debe someterse a una prueba en un entorno ficticio que agrupe todas las máquinas que componen un sistema informático de una empresa, y lo que debe hacer es «romper máquinas», como lo denoniman entre la gente de este sector. «La idea es que sea capaz de vulnerar cuantos más sistemas encuentre mejor », para lo que deberá «analizar qué vulnerabilidad tiene el entorno objetivo» y explotarla para ir saltando de máquina en máquina, comenta Lorenzo.

Cada caso práctico es individual para cada alumno, por lo que ir con las respuestas en la cabeza o que haya una suplatación de identidad es complicado. Una vez finalice la prueba, el alumno debe generar un informe que de fe de todo el proceso que ha seguido. «El objetivo es que sean capaces de llegar cuanto más lejos mejor . Y nosotros corregimos el documento que han generado» de manera anónima, a través de un correo que cubre su huella.

Securízame comenzó a probar este tipo de sistema de evualuación con una certificación que lanzaron a principios de año de respuesta de gestión ante incidentes de ciberseguridad y análisis forense (IRCP) y la acogida ha sido bastante buena. La primera edición para presentarse al RTCP tendrá lugar el 19 y 20 de enero y esperan que tenga el mismo recorrido que la anterior.