Cuando efectuamos un hacking ético es necesario establecer el alcance del mismo para poder elaborar un cronograma de trabajo ajustado a la realidad y, en base a él, realizar la propuesta económica al cliente. Y para determinar el alcance requerimos conocer como mínimo tres elementos básicos: el tipo de hacking que vamos a efectuar, la modalidad del mismo y los servicios adicionales que el cliente desea incluir junto con el servicio contratado.

Dependiendo desde donde se ejecutan las pruebas de intrusión, un hacking ético puede ser externo o interno.

HACKING ETICO EXTERNO

Este tipo de hacking se realiza desde internet sobre la infraestructura de red pública del cliente: es decir, sobre aquellos equipos de la organización que están expuestos a Internet porque brindan un servicio público. Ejemplo de quipos públicos: routers, firewall, servidores web, servidores de correo, servidores de DNS, etc.

HACKING ETICO INTERNO

Como su nombre sugiere, este tipo de hacking se ejecuta en la red interna del cliente, desde el punto de vista de un empleado de la empresa, un consultor, o un asociado de negocios que tiene acceso a a la red corporativa.

En este tipo de pruebas de intrusión se suele encontrar más huecos de seguridad que en una contraparte externa, debido a que muchos administradores del sistema se preocupan por proteger el perímetro de su red y subsistemas al atacante interno. Esto último es un error, puesto que estudios demuestran que la mayoría de ataques exitosos provienen del interior de la empresa.