Ciberseguridad · 6 minutos de lectura

Hacking ético: ¿qué es y en qué consiste?

Hacking ético
Imagen: DC Studio (Shutterstock)

El término hacking tiene asociadas connotaciones muy negativas, relacionadas principalmente con el cibercrimen y el sabotaje. Sin embargo, existe una vertiente de esta actividad que pone todo el potencial destructivo de la piratería al servicio de la seguridad de usuarios, empresas y Administración. Y es que, para ganar una batalla, lo primero es conocer al enemigo y sus armas.

Índice:

  1. ¿Qué es el hacking ético y cómo funciona?
  2. Objetivos del hacking ético en las empresas
  3. Fases del hacking ético: cómo se desarrolla
  4. Además del hacker ético, ¿existen otros tipos de hackers?
  5. Inconvenientes del hacking ético
  6. ¿Cuándo contratar los servicios de una empresa de hacking ético?

¿Qué es el hacking ético y cómo funciona?

De poco sirve una red de seguridad si no cabe la posibilidad de someterla a las pruebas más exigentes. Este es precisamente el cometido de los expertos que se dedican al hacking ético: utilizar sus conocimientos y habilidades en informática invasiva para realizar sofisticados simulacros de ataque a los sistemas de protección, de forma que sea posible detectar vulnerabilidades y brechas que puedan ser explotadas por los hackers ‘no éticos’ o crackers.

A estos profesionales comúnmente se les llama hackers ‘de sombrero blanco’, para diferenciarlos de los ‘de sombrero negro’, los piratas criminales o crackers. 

Las claves de la ciberseguridad: concienciación, protección y respuesta

Objetivos del hacking ético en las empresas

Según un informe de la consultora Deloitte, el 94% de las empresas españolas ha sufrido al menos un incidente grave en materia de ciberseguridad en el último año. El costo de las pérdidas de datos provocadas por los ataques puede llegar a ser letal para una empresa de tamaño pequeño o mediano: entre 2.000 y 50.000 euros, de acuerdo a los datos que maneja el Instituto Nacional de Ciberseguridad (INCIBE). En el caso de las firmas de mayor tamaño, IBM eleva la cuantía a 3,6 millones de euros.

Las cifras hablan por sí solas, y dan buena cuenta de la necesidad de comprobar la consistencia de las murallas informáticas. Por consiguiente, los ‘tests de penetración’ (pentestings) o ataques simulados de los que acabamos de hablar tienen una relevancia cada vez mayor para las compañías de todos los tamaños. 

Fases del hacking ético: cómo se desarrolla

Los pentestings se desarrollan a través de cinco fases que el hacker ético llevará a cabo después de determinar qué método de penetración es el más eficiente para el sistema de ciberseguridad en particular.

  1. Reconocimiento: en esta fase, el experto recopila toda la información necesaria sobre las características de las barreras de seguridad instaladas, sus sistemas operativos, usuarios, etcétera. Esta tarea puede realizarse tanto de forma activa, interactuando con el sistema para dar con los datos, como de forma pasiva, acudiendo a las fuentes abiertas al público.
  2. Escaneo: el hacker emplea toda la información acumulada en la fase anterior para analizar el tráfico de la red e identificar ventanas abiertas.
  3. Obtención de acceso: hallados los puntos débiles, se produce la penetración en el sistema.
  4. Mantenimiento del acceso: en la que quizá sea la fase más delicada del proceso, el profesional debe mantener su asalto mientras toma nota de otras brechas de seguridad a nivel interno, pero sin causar daños al sistema.
  5. Limpieza de huellas: tal y como haría un ciberdelincuente de alto nivel, el hacker ético procede a borrar cualquier indicio de su actividad que pueda facilitar la trazabilidad del ataque.

Además del hacker ético, ¿existen otros tipos de hackers?

Ya hemos hablado del hacker ético o de sombrero blanco, contrapuesto al pirata criminal o de sombrero negro. Este último necesita poca presentación: se trata de personas u organizaciones que emplean sus conocimientos informáticos para la comisión de delitos. Entre las actividades ilícitas que llevan a cabo se encuentran la introducción de malware, ransomware, robo de datos y cracking de sistemas, entre muchos otros.

No obstante, la realidad es poliédrica, y entre el blanco y el negro moral hay una amplia gama de tonalidades intermedias. Es en este terreno donde se mueve el tercer tipo de pirata informático: el hacker ‘de sombrero gris’, es decir, aquel profesional que explota las vulnerabilidades de un sistema de seguridad sin el permiso de su propietario, pero absteniéndose de causar daños.

Normalmente, cuando uno de ellos accede a la red informática de una empresa u organización pública, posteriormente informa a sus responsables de las brechas de seguridad que ha aprovechado, incluso llegando a ofrecerse personalmente para subsanarlas.

Las motivaciones de los hackers de sombrero gris son variadas: desde un legítimo compromiso con la ciberseguridad hasta el ánimo de lucro, pasando por el simple deseo de poner a prueba sus habilidades.

Inconvenientes del hacking ético

Las ventajas de esta práctica son evidentes: permite conocer de primera mano y de forma totalmente contrastada la solidez de una red de protección informática. Desde un punto de vista meramente pragmático, recurrir a un pirata de sombrero blanco tiene mucho sentido. No obstante, hay aspectos legales que pueden llevar al cuestionamiento de esta decisión.

No debemos olvidar que, pese a que el hacker actúa con el consentimiento de la empresa, es muy posible que tenga que echar mano de herramientas y procedimientos ilícitos para llevar a cabo su cometido. Al fin y al cabo, se le está pidiendo que violente un área privada, lo que difícilmente se puede hacer con medios convencionales.

Por otro lado, al penetrar en los bancos de datos de la empresa, también puede acceder a la información personal de empleados, socios comerciales y clientes, lo que supone una conflicto con la normativa de protección de datos. Por tanto, antes de una actuación de hacking ético es necesario poner sobre aviso a todos los implicados y obtener su consentimiento, lo que podría no ser tarea fácil.

La formación de los trabajadores, clave para garantizar la ciberseguridad en las organizaciones

¿Cuándo contratar los servicios de una empresa de hacking ético?

Contratar los servicios de un hacker de sombrero blanco brinda muchos beneficios, siempre y cuando la compañía u organización interesada sea capaz de cubrirse las espaldas respecto a las cuestiones mencionadas en el epígrafe anterior. Eso sí, al tratarse de un terreno tan sensible, solo cabe recurrir a profesionales de la mayor confianza y con las mejores referencias.

Lo mejor, por tanto, es acudir a un experto que cuente con la correspondiente acreditación. El Certificado de Hacker Ético, expedido por el Consejo Internacional de Consulta de Comercio Electrónico (EC-Council), es la mejor credencial en este ámbito.

Para obtener este título, el experto debe demostrar al menos dos años de experiencia en seguridad informática y superar un examen cuyas preguntas van desde el concepto de hacking ético y sus diferencias con la piratería delictiva, hasta contenidos puramente técnicos como seguimiento y reconocimiento, escaneo de redes, análisis de datos y secuestro de servidores. Los poseedores de este certificado también son duchos en técnicas de ingeniería social y cómo prevenirlas.

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Consejos de ciberseguridad en el teletrabajo
Ciberataques: ¿cuánto le puede costar a tu empresa?
Black Friday, cómo protegerte frente a estafas y ciberataques

También te interesará…

8 min
1 julio 2022
A lo largo del día son muchas las llamadas que podemos recibir tanto a nivel personal como profesional. En ocasiones no tenemos registrados los números de todos aquellos que contactan...
  8 min
11 min
30 junio 2023
En los últimos años se ha producido un aumento significativo de los ataques informáticos, tanto a particulares como a empresas. Por esta razón los usuarios y las pequeñas y medianas...
  11 min
11 min
19 abril 2022
Tener presencia online es crucial hoy en día para muchas pymes. Sin embargo, cada vez son más habituales los ataques a páginas web y tiendas de comercio electrónico. Por eso...
  11 min
Lo más visto
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Consejos de ciberseguridad en el teletrabajo
Ciberataques: ¿cuánto le puede costar a tu empresa?
Black Friday, cómo protegerte frente a estafas y ciberataques
LinkedIn Twitter Facebook Whatsapp Email