Por: Julián Ríos, CISSP/CFE. Colaborador de Auditool
El método científico es un método de investigación usado principalmente para la producción de conocimiento. Para ser llamado científico, debe basarse en lo empírico, en la medición y estar sujeto a los principios específicos de las pruebas de razonamiento.
Consiste en la observación sistemática, experimentación, formulación, análisis y modificación de una hipótesis.
El método científico se soporta en dos pilares fundamentales: la reproducibilidad y la refutabilidad.
El hacking ético hace referencia a la forma como una persona utiliza sus conocimientos en informática y seguridad para realizar pruebas y encontrar vulnerabilidades, para, sin hacer daño, reportarlas y corregirlas. El método científico aplicado al hacking ético encaja cuando el hacker comienza haciéndose una pregunta, investigando a fondo, construyendo una hipótesis, testeando esa hipótesis con experimentos, analizando los resultados, planificando conclusiones y llegando a resolver la hipótesis como cierta o falsa, para volver a iniciar el proceso de su creación.
DONDE INICIA EL MÉTODO CIENTÍFICO
Un proyecto de Hacking Ético tiene varias fases de trabajo y se divide en lo gerencial y en lo técnico. Al principio, el gerente del proyecto inicia con un acta, un acuerdo de confidencialidad, para proceder luego con la planificación para pasar finalmente a la ejecución, el control, la mejora y el cierre.
Es en la etapa de la ejecución donde al hacker ético se le da la posibilidad de iniciar su trabajo basado en el método científico. Usa frameworks de trabajo como OWASP (Open Web Application Security Project) que proporcionan líneas base, guías y procedimientos, pero finalmente la creatividad aflora cuando se diseña un experimento que permita plantearse algo nuevo.
El método científico no se aplica cuando se siguen procedimientos y se espera a que den un resultado para entregar un informe, se aplica cuando el hacker tiene la posibilidad de ensayar, de formular y de apoyarse de los dos pilares: reproducibilidad y refutabilidad.
REPRODUCIBILIDAD EN EL HACKING ÉTICO
La reproducibilidad es uno de los principios esenciales del método científico, y se refiere a la capacidad que tenga una prueba o experimento de ser reproducido o replicado. Cuando el hacker ético encuentra una vulnerabilidad, debe pensar en que ésta debe ser reproducible, para que otros investigadores puedan comprobarla.
REFUTABILIDAD EN LA PRUEBA
Se entiende por refutabilidad a la propiedad que se verifica si se sigue, deductivamente, por modus tollendo tollens (del latín, modo que negando niega), que la proposición universal es falsa cuando se consigue demostrar mediante la experiencia que un enunciado observable es falso.
Un ejemplo muy sencillo nos ayudará a entender el concepto. Para justificar la generalización "todo en esta empresa está seguro", según el método hipotético deductivo, tendríamos que buscar en todos los activos tecnológicos de la empresa para comprobar que son seguros, algo imposible. En cambio con este método habría que hacer lo contrario, buscar un sólo un activo inseguro; así solo haría falta buscar un elemento vulnerable para falsear esa hipótesis, algo mucho más fácil.
ELEMENTOS DEL MÉTODO CIENTÍFICO
Hay que dejar claro que el mero uso de metodologías experimentales, no es necesariamente sinónimo del uso del método científico, o su realización al 100%. Por ello, Francis Bacon definió el método científico de la siguiente manera, que aplicado al Ethical Hacking sería:
- Observación: Es cuando se aplica atentamente los sentidos a un objeto o a un fenómeno, para estudiarlos tal como se presentan en realidad, puede ser ocasional o causalmente.
- Inducción: Es cuando se extrae el principio fundamental de cada observación o experiencia al realizar las pruebas.
- Hipótesis: Cuando se elaborar una explicación provisional de las observaciones o experiencias y sus posibles causas.
- Experimentación: Cuando se prueban las hipótesis en busca de una falla de seguridad en el objeto observado.
- Demostración: Cuando se comprueba o refuta la hipótesis (la antítesis) y se vuelve a iniciar con otro objeto en búsqueda de vulnerabilidades.
Referencias
Steps of the Scientific Method, http://www.sciencebuddies.org/science-fair-projects/project_scientific_method.shtml.
Julián Ríos,
Certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y DRIF y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.