Hacking ético para analizar y evaluar la seguridad informática en la infraestructura de la Empresa Plasticaucho Industrial S.A

Abstract

El impulso tecnológico que ha tenido el mundo se ha visto frustrado por hechos lamentables efectuados por ciberdelincuentes. El 2017 fue un año marcado por ataques de tipo ransomware que infectaron un sin número de ordenadores cifrando la información de usuarios comunes pasando por departamentos de gobierno, hospitales, y llegando a empresas multinacionales que se vieron obligados a parar sus operaciones para detener la propagación del malware en sus infraestructuras. Es por ello que a nivel de infraestructura tecnológica un factor decisivo a la hora de sufrir un ataque informático implica una adecuada gestión de configuración en los servicios implementados y una correcta administración y despliegue de actualizaciones en sistemas operativos y aplicaciones. Si un atacante logra penetrar la seguridad perimetral y obtener acceso a la red interna puede aprovechar deficientes configuraciones en los servicios internos y buscar vulnerabilidades que no han sido parchadas, esto conllevaría a que en algunos casos comprometa toda la infraestructura tecnológica. La presente investigación tuvo como objeto simular las acciones de un atacante a través de un ejercicio de Hacking Ético. Esto permitió analizar la infraestructura de la empresa teniendo como principio la ética y la confidencialidad. Además del análisis se demostró cómo explotar y aprovechar vulnerabilidades de la misma forma en la que un ciberdelincuente lo haría. Se mostró la criticidad de la materialización de un ataque buscando comprometer equipos y extrayendo información delicada de la organización. Adicionalmente se propusieron acciones correctivas que permiten disminuir el riesgo de un ataque y robustecer la infraestructura interna de la empresa. Se recomienda garantizar una actualización continua de la estrategia de seguridad informática de la entidad para la que se realizó el trabajo.