Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Por: Julián Ríos, CISSP/CFE. Colaborador de Auditool

El método científico es un método de investigación usado principalmente para la producción de conocimiento. Para ser llamado científico, debe basarse en lo empírico, en la medición y estar sujeto a los principios específicos de las pruebas de razonamiento.

Consiste en la observación sistemática, experimentación, formulación, análisis y modificación de una hipótesis.

El método científico se soporta en dos pilares fundamentales: la reproducibilidad y la refutabilidad.

El hacking ético hace referencia a la forma como una persona utiliza sus conocimientos en informática y seguridad para realizar pruebas y encontrar vulnerabilidades, para, sin hacer daño, reportarlas y corregirlas. El método científico aplicado al hacking ético encaja cuando el hacker comienza haciéndose una pregunta, investigando a fondo, construyendo una hipótesis, testeando esa hipótesis con experimentos, analizando los resultados, planificando conclusiones y llegando a resolver la hipótesis como cierta o falsa, para volver a iniciar el proceso de su creación.

DONDE INCIA EL MÉTODO CIENTÍFICO

Un proyecto de Hacking Ético tiene varias fases de trabajo y se divide en lo gerencial y en lo técnico. Al principio, el gerente del proyecto inicia con un acta, un acuerdo de confidencialidad, para proceder luego con la planificación para pasar finalmente a la ejecución, el control, la mejora y el cierre.

Es en la etapa de la ejecución donde al hacker ético se le da la posibilidad de iniciar su trabajo basado en el método científico. Usa frameworks de trabajo como OWASP (Open Web Application Security Project) que proporcionan líneas base, guías y procedimientos, pero finalmente la creatividad aflora cuando se diseña un experimento que permita plantearse algo nuevo.

El método científico no se aplica cuando se siguen procedimientos y se espera a que den un resultado para entregar un informe, se aplica cuando el hacker tiene la posibilidad de ensayar, de formular y de apoyarse de los dos pilares: reproducibilidad y refutabilidad.

REPRODUCIBILIDAD EN EL HACKING ÉTICO

La reproducibilidad es uno de los principios esenciales del método científico, y se refiere a la capacidad que tenga una prueba o experimento de ser reproducido o replicado. Cuando el hacker ético encuentra una vulnerabilidad, debe pensar en que ésta debe ser reproducible, para que otros investigadores puedan comprobarla.

REFUTABILIDAD EN LA PRUEBA

Se entiende por refutabilidad a la propiedad que se verifica si se sigue, deductivamente, por modus tollendo tollens (del latín, modo que negando niega), que la proposición universal es falsa cuando se consigue demostrar mediante la experiencia que un enunciado observable es falso.

Un ejemplo muy sencillo nos ayudará a entender el concepto. Para justificar la generalización "todo en esta empresa está seguro", según el método hipotético deductivo, tendríamos que buscar en todos los activos tecnológicos de la empresa para comprobar que son seguros, algo imposible. En cambio con este método habría que hacer lo contrario, buscar un sólo un activo inseguro; así solo haría falta buscar un elemento vulnerable para falsear esa hipótesis, algo mucho más fácil.

ELEMENTOS DEL MÉTODO CIENTÍFICO

Hay que dejar claro que el mero uso de metodologías experimentales, no es necesariamente sinónimo del uso del método científico, o su realización al 100%. Por ello, Francis Bacon definió el método científico de la siguiente manera, que aplicado al Ethical Hacking sería:

  1. Observación: Es cuando se aplica atentamente los sentidos a un objeto o a un fenómeno, para estudiarlos tal como se presentan en realidad, puede ser ocasional o causalmente.
  2. Inducción: Es cuando se extrae el principio fundamental de cada observación o experiencia al realizar las pruebas.
  3. Hipótesis: Cuando se elaborar una explicación provisional de las observaciones o experiencias y sus posibles causas.
  4. Experimentación: Cuando se prueban las hipótesis en busca de una falla de seguridad en el objeto observado.
  5. Demostración: Cuando se comprueba o refuta la hipótesis (la antítesis) y se vuelve a iniciar con otro objeto en búsqueda de vulnerabilidades.

Referencias

Steps of the Scientific Method, http://www.sciencebuddies.org/science-fair-projects/project_scientific_method.shtml

ACERCA DE JULIÁN

Julián Ríos, certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y DRIF y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.

Para conocer más acerca de Julián Ríos y su empresa, por favor visite el sitio web de la firma NF o consulte su perfil público en el enlace de LinkedIn.


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2