Normalmente cuando se habla de hackers o piratas informáticos uno piensa de manera casi automática en cibercriminales cuyo objetivo es penetrar en los equipos para introducir virus, robar datos personales o realizar otros tipos de actividades ilícitas. Sin embargo, también existe el llamado hacking ético, cuya finalidad es totalmente distinta, esto es, tiene como objetivo ayudar a las empresas a mejorar su ciberseguridad.
En este artículo hablamos de:
¿Qué es el Hacking ético y por qué se hace?
El hacking ético en informática es aquel en el que un profesional de la ciberseguridad se dedica a identificar y explotar vulnerabilidades de un sistema informático, con el objetivo de detectar y subsanar dichas vulnerabilidades y evitar que los sistemas sean atacados por hackers maliciosos.
Los hackers éticos realizan pruebas llamadas test de penetración. En estos test, actúan de la misma manera que los haría un pirata informático malicioso, con la diferencia de que lo hacen para evaluar y fortalecer la ciberseguridad de la empresa.
A este tipo de piratas informáticos se les llama hackers de sombrero blanco. Su gran diferencia con los hackers de sombrero negro es que, al contrario que estos, no tienen intenciones maliciosas, sino que actúan del lado de la empresa.
La responsabilidad y honestidad en el hacking
Habitualmente se ha considerado el hacking como una práctica poco ética, debido a que una gran parte de piratas informáticos se dedicaban a explotar las vulnerabilidades de los sistemas en su propio beneficio, ya fuera para robar información, infectar ordenadores, obtener acceso a equipos, etc. Esto podría llamarse hacking no ético.
En cambio, el hacking ético usa los llamados test de penetración para comprobar la efectividad de las medidas de ciberseguridad implantadas por las organizaciones. El objetivo no es explotar estas vulnerabilidades, sino informar a la empresa acerca de estas brechas de seguridad.
En este sentido, el hacker ético actúa de forma responsable y honesta, elaborando un informe sobre la brechas de seguridad detectadas y proponiendo posibles soluciones. En muchas ocasiones, terminan trabajando para la empresa implementando medidas de ciberseguridad.
Por tanto, el hacker ético no solo no le hace ningún daño a la organización, sino que con su trabajo puede prevenir ataques y reforzar las medidas de ciberseguridad, convirtiéndose en una pieza fundamental para aquellas empresas más expuestas a los ataques informáticos.
Habilidades de un hacker ético
El binomio ciberseguridad y hacking ético puede ser de gran utilidad a las organizaciones. Pero para ello, se ha de contar con un profesional que tenga una serie de habilidades.
- Ser capaz de identificar vulnerabilidades: identificar estas brechas de seguridad es vital para mejorar la seguridad de las organizaciones.
- Realizar pruebas de penetración: es el método empleado a la hora de detectar vulnerabilidades. El profesional fuerza el acceso a los equipos a través de pruebas internas, externas o ciegas para saber dónde existen puertas abiertas para los ciberdelincuentes.
- Afrontar los desafíos de la transición a la nube: hoy en día las empresas manejan una enorme cantidad de información, sobre todo las más grandes, por lo que muchas tienen la necesidad de crear una red de almacenamiento en la nube. Esta transición al modelo cloud conlleva unos riesgos que el hacker ético debe conocer.
- Conocer las herramientas de hacking: los hackers éticos han de dominar las herramientas de hackig ético, y aún más, deben capacitar en la medida de los posible al personal de la organización para que sean capaces de identificar amenazas.
- Minimizar daños en casos de ataque: el hacking ético ayuda a identificar vulnerabilidades y ofrecer soluciones para responder de forma rápida y efectiva ante un ataque informático.
Tipos de hacking ético
En realidad, cuando se habla de hacking ético nos referimos exclusivamente a los llamados hackers de sombrero blanco, que son básicos en la ciberseguridad para pymes y, sobre todo, para grandes empresas. El resto de actividades de hacking o no son lícitas o tienen cierto componente que pone en duda su ética u honestidad.
Por ejemplo, los principales exponentes del hacking no ético son los hackers de sombrero negro o black hat hackers. Estos son los cibercriminales que buscan acceder a los equipos sin autorización con fines maliciosos. Puedes saber más sobre ellos en nuestro artículo sobre las diferencias entre hacker y cracker.
Dentro de los hackers con una ética digamos, ambigua, estarían los hackers de sombrero gris o grey hat hackers. Este tipo de piratas informáticos pueden utilizar sus conocimientos para explotar vulnerabilidades de los equipos y luego ofrecerse a arreglarlas, o para realizar actividades de hacktivismo. Por tanto, sus acciones bordean lo legal y lo ético.
Fases del hacking ético
Un procedimiento de hacking ético pasa por una serie de fases.
La primera sería el reconocimiento (reconnaissance). En esta etapa inicial el hacker utiliza diversas técnicas para investigar a la organización y recolectar la información necesaria antes de realizar el ataque.
El siguiente paso es el llamado escaneo (scanning). En este punto, el pirata informático usa la información recopilada en la fase de reconocimiento para detectar vulnerabilidades.
Después llegaría la fase de obtener acceso (gaining access). Se realiza el test de penetración para explotar las vulnerabilidades detectadas durante la etapa de escaneo.
A continuación se procede a mantener acceso (maintaining access). El objetivo del hacker es seguir teniendo acceso al sistema con el objetivo de profundizar en sus pruebas.
Por último, el hacker debe limpiar las huellas (clearing tracks). Es decir, ha de eliminar toda evidencia de sus actividades ilícitas dentro del sistema.
¿En qué marco legal se encuentra el hacking ético?
El hacking ético es una práctica legal, desde la base de que son las propias empresas quienes contratan a estos profesionales y les otorgan voluntariamente acceso a sus equipos para identificar vulnerabilidades.
Pero ojo, porque la forma de proceder a veces puede chocar con lo dispuesto en algunas leyes. Por ejemplo, algunos hackers de sombrero blanco utilizan técnicas de ingeniería social idénticas a las que usan los hackers de sombrero negro, por ejemplo, para conseguir las credenciales de otras personas y acceder mediante ellas a los equipos. En este caso, se estaría infringiendo la normativa de protección de datos, porque se estaría obteniendo información personal de clientes o empleados sin consentimiento de los mismos y sin cumplir con el deber de informar.
El hacking ético en España no cuenta con una regulación específica. Lo mas parecido lo podemos encontrar en el artículo 197 del Código Penal, que señala lo siguiente:
“El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años“.
La cuestión fundamental sería entonces el “sin estar debidamente autorizado”, por lo que en principio el hacking ético es legal si se cuenta con la autorización de la organización, y siempre y cuando no se vulneren otros derechos y libertades de los individuos.