Hacking ético: ¿qué es y en qué consiste?
El término hacking tiene asociadas connotaciones muy negativas, relacionadas principalmente con el cibercrimen y el sabotaje. Sin embargo, existe una vertiente de esta actividad que pone todo el potencial destructivo de la piratería al servicio de la seguridad de usuarios, empresas y Administración. Y es que, para ganar una batalla, lo primero es conocer al enemigo y sus armas.
Índice:
- ¿Qué es el hacking ético y cómo funciona?
- Objetivos del hacking ético en las empresas
- Fases del hacking ético: cómo se desarrolla
- Además del hacker ético, ¿existen otros tipos de hackers?
- Inconvenientes del hacking ético
- ¿Cuándo contratar los servicios de una empresa de hacking ético?
¿Qué es el hacking ético y cómo funciona?
De poco sirve una red de seguridad si no cabe la posibilidad de someterla a las pruebas más exigentes. Este es precisamente el cometido de los expertos que se dedican al hacking ético: utilizar sus conocimientos y habilidades en informática invasiva para realizar sofisticados simulacros de ataque a los sistemas de protección, de forma que sea posible detectar vulnerabilidades y brechas que puedan ser explotadas por los hackers ‘no éticos’ o crackers.
A estos profesionales comúnmente se les llama hackers ‘de sombrero blanco’, para diferenciarlos de los ‘de sombrero negro’, los piratas criminales o crackers.
Objetivos del hacking ético en las empresas
Según un informe de la consultora Deloitte, el 94% de las empresas españolas ha sufrido al menos un incidente grave en materia de ciberseguridad en el último año. El costo de las pérdidas de datos provocadas por los ataques puede llegar a ser letal para una empresa de tamaño pequeño o mediano: entre 2.000 y 50.000 euros, de acuerdo a los datos que maneja el Instituto Nacional de Ciberseguridad (INCIBE). En el caso de las firmas de mayor tamaño, IBM eleva la cuantía a 3,6 millones de euros.
Las cifras hablan por sí solas, y dan buena cuenta de la necesidad de comprobar la consistencia de las murallas informáticas. Por consiguiente, los ‘tests de penetración’ (pentestings) o ataques simulados de los que acabamos de hablar tienen una relevancia cada vez mayor para las compañías de todos los tamaños.
Fases del hacking ético: cómo se desarrolla
Los pentestings se desarrollan a través de cinco fases que el hacker ético llevará a cabo después de determinar qué método de penetración es el más eficiente para el sistema de ciberseguridad en particular.
- Reconocimiento: en esta fase, el experto recopila toda la información necesaria sobre las características de las barreras de seguridad instaladas, sus sistemas operativos, usuarios, etcétera. Esta tarea puede realizarse tanto de forma activa, interactuando con el sistema para dar con los datos, como de forma pasiva, acudiendo a las fuentes abiertas al público.
- Escaneo: el hacker emplea toda la información acumulada en la fase anterior para analizar el tráfico de la red e identificar ventanas abiertas.
- Obtención de acceso: hallados los puntos débiles, se produce la penetración en el sistema.
- Mantenimiento del acceso: en la que quizá sea la fase más delicada del proceso, el profesional debe mantener su asalto mientras toma nota de otras brechas de seguridad a nivel interno, pero sin causar daños al sistema.
- Limpieza de huellas: tal y como haría un ciberdelincuente de alto nivel, el hacker ético procede a borrar cualquier indicio de su actividad que pueda facilitar la trazabilidad del ataque.
Además del hacker ético, ¿existen otros tipos de hackers?
Ya hemos hablado del hacker ético o de sombrero blanco, contrapuesto al pirata criminal o de sombrero negro. Este último necesita poca presentación: se trata de personas u organizaciones que emplean sus conocimientos informáticos para la comisión de delitos. Entre las actividades ilícitas que llevan a cabo se encuentran la introducción de malware, ransomware, robo de datos y cracking de sistemas, entre muchos otros.
No obstante, la realidad es poliédrica, y entre el blanco y el negro moral hay una amplia gama de tonalidades intermedias. Es en este terreno donde se mueve el tercer tipo de pirata informático: el hacker ‘de sombrero gris’, es decir, aquel profesional que explota las vulnerabilidades de un sistema de seguridad sin el permiso de su propietario, pero absteniéndose de causar daños.
Normalmente, cuando uno de ellos accede a la red informática de una empresa u organización pública, posteriormente informa a sus responsables de las brechas de seguridad que ha aprovechado, incluso llegando a ofrecerse personalmente para subsanarlas.
Las motivaciones de los hackers de sombrero gris son variadas: desde un legítimo compromiso con la ciberseguridad hasta el ánimo de lucro, pasando por el simple deseo de poner a prueba sus habilidades.
Inconvenientes del hacking ético
Las ventajas de esta práctica son evidentes: permite conocer de primera mano y de forma totalmente contrastada la solidez de una red de protección informática. Desde un punto de vista meramente pragmático, recurrir a un pirata de sombrero blanco tiene mucho sentido. No obstante, hay aspectos legales que pueden llevar al cuestionamiento de esta decisión.
No debemos olvidar que, pese a que el hacker actúa con el consentimiento de la empresa, es muy posible que tenga que echar mano de herramientas y procedimientos ilícitos para llevar a cabo su cometido. Al fin y al cabo, se le está pidiendo que violente un área privada, lo que difícilmente se puede hacer con medios convencionales.
Por otro lado, al penetrar en los bancos de datos de la empresa, también puede acceder a la información personal de empleados, socios comerciales y clientes, lo que supone una conflicto con la normativa de protección de datos. Por tanto, antes de una actuación de hacking ético es necesario poner sobre aviso a todos los implicados y obtener su consentimiento, lo que podría no ser tarea fácil.
¿Cuándo contratar los servicios de una empresa de hacking ético?
Contratar los servicios de un hacker de sombrero blanco brinda muchos beneficios, siempre y cuando la compañía u organización interesada sea capaz de cubrirse las espaldas respecto a las cuestiones mencionadas en el epígrafe anterior. Eso sí, al tratarse de un terreno tan sensible, solo cabe recurrir a profesionales de la mayor confianza y con las mejores referencias.
Lo mejor, por tanto, es acudir a un experto que cuente con la correspondiente acreditación. El Certificado de Hacker Ético, expedido por el Consejo Internacional de Consulta de Comercio Electrónico (EC-Council), es la mejor credencial en este ámbito.
Para obtener este título, el experto debe demostrar al menos dos años de experiencia en seguridad informática y superar un examen cuyas preguntas van desde el concepto de hacking ético y sus diferencias con la piratería delictiva, hasta contenidos puramente técnicos como seguimiento y reconocimiento, escaneo de redes, análisis de datos y secuestro de servidores. Los poseedores de este certificado también son duchos en técnicas de ingeniería social y cómo prevenirlas.