El hacking ético ha adquirido una im­po­r­ta­n­cia creciente en los últimos años ante el rápido aumento de los casos de ci­be­r­de­li­n­cue­n­cia. Cada vez más empresas, or­ga­ni­za­cio­nes e in­s­ti­tu­cio­nes buscan expertos en ci­be­r­se­gu­ri­dad que puedan testar su propio concepto de seguridad actuando como atacantes reales.

En este artículo, te ex­pli­ca­mos cómo funciona el hacking ético, cuáles son sus ca­ra­c­te­rí­s­ti­cas pri­n­ci­pa­les y cómo se di­fe­re­n­cia del hackeo ilegal. Además, te fa­ci­li­ta­mos una visión general sobre las áreas de apli­ca­ción del ethical hacking y las ca­li­fi­ca­cio­nes es­pe­cia­les que definen a los hackers “buenos”.

¿Qué es el ethical hacking?

Los hackers éticos son expertos en seguridad de la in­fo­r­ma­ción que irrumpen en los sistemas in­fo­r­má­ti­cos por asi­g­na­ción explícita. Esta variante del hacking se considera éti­ca­me­n­te ju­s­ti­fi­ca­ble debido al co­n­se­n­ti­mie­n­to de la “víctima”. El objetivo del ethical hacking es descubrir las de­fi­cie­n­cias de los sistemas e in­frae­s­tru­c­tu­ras digitales, como, por ejemplo, los errores de software, evaluar los riesgos de seguridad y pa­r­ti­ci­par de manera co­n­s­tru­c­ti­va en la co­rre­c­ción de los fallos de seguridad de­s­cu­bie­r­tos. Una prueba de estrés para la seguridad del sistema puede tener lugar en cualquier momento, a veces incluso después de un hackeo ilegal. Sin embargo, lo ideal sería que los hackers éticos se an­ti­ci­pa­ran a los ci­be­r­de­li­n­cue­n­tes y, al hacerlo, evitaran daños mayores.

El hacking ético, también conocido como hacking de sombrero blanco (White-Hat-Hacking), en contraste con el hacking tra­di­cio­nal con motivos cri­mi­na­les, se centra en las de­bi­li­da­des de pro­gra­ma­ción y en el diseño co­n­ce­p­tual de software (bugs). Para las pruebas de seguridad, el foco está puesto, entre otras cosas, en las apli­ca­cio­nes web y la seguridad web. Además del software, en el proceso de pruebas de seguridad del sistema puede in­te­grar­se cualquier hardware que se utilice.

Para dichas pruebas de seguridad, los sombreros blancos utilizan tanto he­rra­mie­n­tas di­s­po­ni­bles gra­tui­ta­me­n­te en Internet, de­sa­rro­lla­das por terceros (por ejemplo, la versión gratuita de Burp Suite), como programas de­sa­rro­lla­dos por ellos mismos. Estos últimos sirven para descartar fallos de seguridad y ma­ni­pu­la­cio­nes del código de los programas uti­li­za­dos. El ethical hacking suele dar lugar a un código malicioso concreto (se­cue­n­cias de comandos in­di­vi­dua­les o programas de tamaño reducido), que se denomina exploit. Este código especial aprovecha los errores o de­bi­li­da­des en­co­n­tra­dos en el sistema con el fin de des­en­ca­de­nar un cierto co­m­po­r­ta­mie­n­to en el software, el hardware u otros di­s­po­si­ti­vos ele­c­tró­ni­cos.

La ca­ra­c­te­rí­s­ti­ca principal del hacking ético se encuentra en el método utilizado: el pro­fe­sio­nal co­n­tra­ta­do debe ga­ra­n­ti­zar la máxima tra­n­s­pa­re­n­cia e in­te­gri­dad, es­pe­cia­l­me­n­te cuando se trata de proteger, mediante el ethical hacking, áreas sensibles como secretos de empresa y co­me­r­cia­les y los datos co­n­fi­de­n­cia­les de los clientes. En estos procesos, el cliente debe estar al tanto de toda la in­fo­r­ma­ción relevante recogida por el ethical hacker. El uso o la tra­n­s­mi­sión ilícitos de secretos co­me­r­cia­les y otros datos sensibles no están pe­r­mi­ti­dos bajo ninguna ci­r­cu­n­s­ta­n­cia.

La tra­n­s­pa­re­n­cia también incluye la obli­ga­ción de do­cu­me­n­tar, de forma detallada y completa, el pro­ce­di­mie­n­to que se ha seguido, los re­su­l­ta­dos que se han obtenido y cualquier otra in­fo­r­ma­ción relevante sobre el proceso de hackeo. Estos informes también pueden contener re­co­me­n­da­cio­nes concretas para tomar medidas, como, por ejemplo, la eli­mi­na­ción de malware o la creación de una es­tra­te­gia de honeypot. Los hackers éticos también deben cuidar de no dejar puntos débiles en el sistema que los ci­be­r­de­li­n­cue­n­tes puedan apro­ve­char en otro momento.

Las empresas u or­ga­ni­za­cio­nes que contratan a un servicio de hacking ético, tienen la po­si­bi­li­dad de pro­te­ge­r­se le­ga­l­me­n­te. La mejor opción es celebrar un acuerdo escrito antes de comenzar las pruebas de pe­ne­tra­ción en el que se detalle el alcance de estas últimas, los re­qui­si­tos legales, las ex­pe­c­ta­ti­vas y las partes in­vo­lu­cra­das.

Crear una dirección de e-mail de empresa
Descubre una forma nueva de usar tu e-mail
  • Escribe e-mails perfectos con funciones op­cio­na­les de IA (opcional)
  • Añade cre­di­bi­li­dad a tu marca
  • Incluye dominio, filtro antispam y reenvío de correo ele­c­tró­ni­co

¿Cuál es la di­fe­re­n­cia entre el hacking ético y el hackeo?

Las pri­n­ci­pa­les di­fe­re­n­cias entre el hackeo ético y el malicioso son su fu­n­da­me­n­to ético y las co­n­di­cio­nes básicas y generales del hacking mismo. El ethical hacking tiene por objeto proteger las in­frae­s­tru­c­tu­ras digitales y los datos co­n­fi­de­n­cia­les de los ataques externos y co­n­tri­bu­ye co­n­s­tru­c­ti­va­me­n­te a mejorar la seguridad de la in­fo­r­ma­ción.

Por el contrario, el hacking que todos conocemos se centra en objetivos de­s­tru­c­ti­vos, es decir, en la in­fi­l­tra­ción y, po­si­ble­me­n­te incluso, en la de­s­tru­c­ción de los sistemas de seguridad. Pero otras mo­ti­va­cio­nes también se colocan en el centro de la mayoría de los ataques de hacking. A menudo, el en­ri­que­ci­mie­n­to personal o la ad­qui­si­ción y el espionaje de datos co­n­fi­de­n­cia­les, se sitúan en el foco de atención de los piratas in­fo­r­má­ti­cos. La mayoría de los ataques de hacking van aco­m­pa­ña­dos de acciones cri­mi­na­les como la extorsión, el espionaje in­du­s­trial o la parálisis si­s­te­má­ti­ca de la in­frae­s­tru­c­tu­ra del sistema, incluso a gran escala. Hoy en día, los ataques de­s­tru­c­ti­vos son llevados a cabo cada vez más por or­ga­ni­za­cio­nes de­li­c­ti­vas que operan a nivel mundial y que, por ejemplo, utilizan redes de bots en todo el mundo para ataques DDOS. Además, la ca­ra­c­te­rí­s­ti­ca principal de los piratas es que di­fí­ci­l­me­n­te se les da captura.

En un primer momento, esta di­s­ti­n­ción parece obvia e intuitiva. Sin embargo, si se examina más de cerca, hay casos límite. Por ejemplo, los hackers con mo­ti­va­ción política pueden perseguir objetivos ético-co­n­s­tru­c­ti­vos, pero también de­s­tru­c­ti­vos. De hecho, en función de los intereses y las opiniones pe­r­so­na­les o políticas, se puede hacer una eva­lua­ción diferente y, en co­n­se­cue­n­cia, un hackeo puede co­n­si­de­rar­se ético o no ético. Por ejemplo, la intrusión en­cu­bie­r­ta de las au­to­ri­da­des de in­ve­s­ti­ga­ción y los servicios secretos del Estado en los sistemas in­fo­r­má­ti­cos de pa­r­ti­cu­la­res, au­to­ri­da­des públicas u otros Estados ha sido objeto de un fuerte debate durante varios años.

El border crossing es también una forma de hacking ético que se orienta al bien común y a la mejora de la ci­be­r­se­gu­ri­dad, pero, al mismo tiempo, se produce de forma no so­li­ci­ta­da y sin el co­n­se­n­ti­mie­n­to y co­no­ci­mie­n­to del objetivo final.

Por lo tanto, la cuestión ética debe separarse, al menos en parte, de la jurídica, ya que las ope­ra­cio­nes de piratería in­fo­r­má­ti­ca im­pu­l­sa­das por nobles ideales o mo­ti­va­cio­nes se llevan a cabo siempre mo­vié­n­do­se en una zona gris de la ley, en el filo de la navaja entre la legalidad y la ile­ga­li­dad.

Desde una pe­r­s­pe­c­ti­va puramente técnica, es aún más difícil di­s­ti­n­guir entre el ethical hacking y el hacking con fines de­li­c­ti­vos. Té­c­ni­ca­me­n­te, el hacking de sombrero blanco utiliza los mismos co­no­ci­mie­n­tos y las mismas técnicas y he­rra­mie­n­tas que los de­li­n­cue­n­tes in­fo­r­má­ti­cos para detectar las de­bi­li­da­des del hardware y el software de una es­tru­c­tu­ra in­fo­r­má­ti­ca, lo que hace más difícil di­fe­re­n­ciar a los hackers éticos de los que no lo son.

Por ello, la línea que separa ambos pa­ra­di­g­mas es bastante borrosa y, cie­r­ta­me­n­te, no es una coin­ci­de­n­cia que muchos jóvenes ci­be­r­cri­mi­na­les puedan co­n­ve­r­ti­r­se, con el pasar de los años, en re­s­pe­ta­dos co­n­su­l­to­res de seguridad y líderes de pe­n­sa­mie­n­to en la industria. También hay críticos que rechazan fu­n­da­me­n­ta­l­me­n­te las mo­ti­va­cio­nes éticas como criterio de di­s­ti­n­ción y opinan que el hacking, in­de­pe­n­die­n­te­me­n­te de las razones por las que se cumple, se ha de condenar.

Sin embargo, esta posición ignora los efectos positivos y la práctica a menudo útil y necesaria del hacking ético. Por ejemplo, hasta mayo de 2018, la comunidad de la pla­ta­fo­r­ma de seguridad ci­be­r­né­ti­ca in­te­r­na­cio­na­l­me­n­te re­co­no­ci­da HackerOne ha eliminado más de 72 000 fallos de seguridad en más de 1000 empresas. Es más, según el Hacker-Powered Security Report de 2018, el número total de fallos de seguridad críticos re­po­r­ta­dos aumentó en un 26 por ciento solo en 2017. Estas cifras muestran que el hackeo de sombrero blanco es una he­rra­mie­n­ta im­po­r­ta­n­te y fiable en la lucha actual contra la ci­be­r­cri­mi­na­li­dad.

¿En qué áreas se aplica el ethical hacking?

Los hackers éticos suelen ser co­n­tra­ta­dos por or­ga­ni­za­cio­nes, gobiernos y empresas (por ejemplo, empresas te­c­no­ló­gi­cas e in­du­s­tria­les, bancos, compañías de seguros) para buscar fallos de seguridad y errores de pro­gra­ma­ción (bugs). En estos ámbitos, no­r­ma­l­me­n­te se utiliza la ex­pe­rie­n­cia de los sombreros blancos para realizar los llamados pe­ne­tra­tion tests.

En estas pruebas de pe­ne­tra­ción o pentests, el ethical hacker se cuela en un sistema in­fo­r­má­ti­co de manera selectiva y muestra posibles so­lu­cio­nes para mejorar la seguridad in­fo­r­má­ti­ca. No­r­ma­l­me­n­te, se hace una di­s­ti­n­ción entre las pruebas de pe­ne­tra­ción rea­li­za­das en in­frae­s­tru­c­tu­ras de TIC y las de apli­ca­cio­nes web. Las primeras prueban y analizan sistemas de se­r­vi­do­res, redes Wi-Fi, acceso VPN y co­r­ta­fue­gos, por ejemplo. En el ámbito de las apli­ca­cio­nes web, un pentest se encarga de examinar los servicios de red, los sitios web (por ejemplo, las tiendas web), los portales de ad­mi­ni­s­tra­ción de clientes o los sistemas de vi­gi­la­n­cia de se­r­vi­do­res y servicios. Una prueba de pe­ne­tra­ción puede rea­li­zar­se a nivel de red y de apli­ca­cio­nes.

Entre las otras pruebas de rutina rea­li­za­das en el ethical hacking, se incluyen la detección de puertos abiertos mediante escaneos de puertos, la ve­ri­fi­ca­ción de la seguridad de los datos de pago (datos de tarjetas de crédito), los inicios de sesión y las co­n­tra­se­ñas y la si­mu­la­ción de ataques a través de la red. Dado que para estas pruebas se suele utilizar el protocolo TCP/IP, también se denominan pruebas de pe­ne­tra­ción basadas en IP. En las pruebas de pe­ne­tra­ción, los sistemas se co­m­prue­ban a menudo para ver si los virus o troyanos in­fi­l­tra­dos pueden capturar datos sensibles de la empresa (secretos de empresa, patentes técnicas, etc.). Estas es­tra­te­gias pueden co­m­ple­me­n­tar­se con técnicas de in­ge­nie­ría social, que tienen en cuenta el factor humano de riesgo y examinan ex­plí­ci­ta­me­n­te el co­m­po­r­ta­mie­n­to de los empleados en un concepto de seguridad.

Co­n­clu­sión: una práctica re­co­me­n­da­da, pero solo con una pre­pa­ra­ción minuciosa

En tiempos en los que el ci­be­r­de­li­to sigue au­me­n­ta­n­do, el ethical hacking es una es­tra­te­gia comercial re­co­me­n­da­da para la pre­ve­n­ción y pro­te­c­ción de tales ci­ber­ata­ques. Los ataques de prueba se­le­c­ti­vos y las pruebas de pe­ne­tra­ción pueden optimizar la seguridad de una in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca y, de este modo, evitar el hackeo ilegal en una fase temprana. Las empresas u or­ga­ni­za­cio­nes que deciden recurrir al ethical hacking pueden evitar el peligro de no poder encontrar los fallos en sus sistemas, ya que los expertos externos abordan los hackeos de manera distinta y pueden tener una pe­r­s­pe­c­ti­va es­pe­cia­li­za­da o un conjunto diferente de co­no­ci­mie­n­tos sobre el asunto.

Las empresas pequeñas y medianas, en pa­r­ti­cu­lar, pueden tener acceso a co­no­ci­mie­n­tos técnicos de te­c­no­lo­gía de seguridad que de otro modo no estarían a su di­s­po­si­ción. Sin embargo, los clientes deben ser siempre co­n­s­cie­n­tes de que el hacking ético conlleva ciertos riesgos. Incluso si se cumplen todos los re­qui­si­tos de una piratería “limpia”, no siempre se pueden excluir los efectos negativos. Por ejemplo, los sistemas podrían verse afectados in­vo­lu­n­ta­ria­me­n­te o incluso colapsar.

En más, los hackers de sombrero blanco también pueden acceder a datos co­n­fi­de­n­cia­les y privados de terceros. El riesgo aumenta si no se definen cla­ra­me­n­te las co­n­di­cio­nes básicas y generales o si los hackeos no se llevan a cabo de forma co­m­pe­te­n­te y cuidadosa. Por lo tanto, antes de contratar a un hacker ético, es re­co­me­n­da­ble examinar a fondo los ca­n­di­da­tos y se­le­c­cio­nar­los cui­da­do­sa­me­n­te sobre la base de una ex­pe­rie­n­cia co­m­pro­ba­da (por ejemplo, a través de un ce­r­ti­fi­ca­do).

HiDrive Cloud Storage
Store and share your data on the go
  • Store, share, and edit data easily
  • Backed up and highly secure
  • Sync with all devices
Ir al menú principal