El Hacking Ético se ha vuelto cada vez de mayor relevancia en los últimos años frente al veloz incremento de los casos de ciberdelincuencia. Cada vez más empresas e instituciones buscan profesionales en ciberseguridad que logren poner a prueba su propio criterio de seguridad actuando como hackers «reales».
En esta definición de piratería ética, describimos qué distingue a esta clase de piratería y cómo se diferencia de la piratería ilegal. Además, nuestra especificación general examina las zonas de aplicación de la piratería ética y las calificaciones especiales que definen a los «buenos» piratas informáticos.
¿Qué es el hacking ético?
Los hackers éticos son profesionales en seguridad de la información que ingresan a los sistemas de TI por medio de una asignación explícita. Dado al consentimiento de la “víctima”, esta variante de piratería se estima éticamente justificable.
El propósito de la piratería ética es hallar debilidades en sus sistemas e infraestructuras digitales (por ejemplo, errores de software), evaluar los peligros de seguridad y participar constructivamente en la corrección de fallas de seguridad descubiertas.
Se puede hacer una prueba de estrés para la seguridad del sistema en cualquier momento (es decir, inclusive luego de un ataque ilegal). Idealmente, no obstante, los hackers éticos deberían anticiparse a los ciberdelincuentes y, al hacerlo, evitar males más grandes.
El hacking ético, a diferencia del hacking “normal” con motivos delictivos además conocido como “hacking de sombrero blanco» o «white hat», se concentra en las debilidades de programación y en el diseño conceptual de programa (bugs). Para las pruebas de seguridad, la atención se concentra, entre otras cosas, en las aplicaciones web y la seguridad del website. Además del programa, cualquier hardware que se use además se puede integrar en el proceso de prueba de seguridad del sistema.
Para sus controles de seguridad, los sombreros blancos usan parcialmente herramientas accesibles gratuitamente en Internet y parcialmente programa escrito por ellos mismos. Este último asegura que se logren excluir las brechas de seguridad y la manipulación del código de los programas usados.
La piratería ética comúnmente da como consecuencia un código maligno concreto (secuencias de comandos personales o un programa más pequeño), que se llama exploit. El código particular aprovecha los errores o debilidades que se hallan en el sistema y después produce un definido comportamiento en el programa, hardware u otros dispositivos electrónicos.
La característica de un hackeo ético es un enfoque particular: por parte del contratista, se aplica el requisito de transparencia e integridad absolutas, en especial una vez que las zonas susceptibles (secretos comerciales y de la compañía, datos confidenciales de los clientes) tienen que protegerse por medio de hacking ético. Toda la información importante de los hackeos debería ser comunicada al consumidor, el mal uso o la transmisión de secretos de la empresa no debería tener sitio.
La transparencia principalmente incluye documentación descriptiva y completa, que documente el método preciso, los resultados y otra información importante sobre el hackeo ético. Los informes detallados además tienen la posibilidad de contener sugerencias específicas para tomar medidas, por ejemplo, la supresión de malware o la configuración de una estrategia trampa.
Los hackers éticos además tienen cuidado de no dejar ningún punto débil en el sistema que los ciberdelincuentes logren explotar después. Para quienes no se encuentren familiarizados con programas de código abierto, recomendamos el curso de introducción a la seguridad informática de Comunidad Reparando.
En una situación de piratería ética, los consumidores tienen la posibilidad de protegerse legalmente. Previo a iniciar las pruebas de penetración, las empresas tienen que tener un convenio por escrito que detalle el alcance, los requisitos legales, las expectativas y las partes relacionadas. El Consejo de la CE, jefe mundial en programas de certificación de seguridad cibernética para piratas informáticos éticos, ha determinado un código práctico de ética para este objetivo.