Normalmente, cuando se habla de hackers o piratas informáticos, uno piensa de manera casi automática en cibercriminales cuyo objetivo es penetrar en los equipos para introducir virus, robar datos personales o realizar otros tipos de actividades ilícitas. Sin embargo, también existe el llamado hacking ético, cuya finalidad es totalmente distinta, esto es, tiene como objetivo ayudar a las empresas a mejorar su ciberseguridad.
En este artículo explicamos qué es un hacking ético, para qué sirve, cómo funciona y su legalidad.
En este artículo hablamos de:
¿Qué es un hacking ético?
El hacking ético es la práctica que llevan a cabo especialistas en ciberseguridad y seguridad informática para poner a prueba y buscar vulnerabilidades y fallos de seguridad dentro del sistema informático de una empresa u organización, con el permiso de esta.
También conocido como hacking de sombrero blanco, en contraposición al hacking de sombrero negro, que es el que tiene fines maliciosos, el hacking ético tiene como finalidad ayudar a las organizaciones a detectar problemas de seguridad en sus sistemas y proponer las mejores soluciones y medidas de seguridad para eliminarlos. Su objetivo, por lo tanto, no es hacer daño, sino prevenirlo.
Aunque lo desarrollaremos más adelante, para hacer su trabajo, los hackers éticos realizan pruebas llamadas test de penetración o pentesting. Estas pruebas funcionan de la misma forma en la que un pirata informático malicioso trataría de vulnerar la seguridad de los sistemas de una empresa u organización, pero con la diferencia de que el objetivo aquí es evaluar y fortalecer la ciberseguridad y la seguridad informática de la organización.
¿Para qué sirve el hacking ético?
En parte ya hemos adelantado para qué sirve el hacking ético en el punto anterior; dado que su finalidad es detectar problemas y vulnerabilidades en los sistemas informáticos de las organizaciones, su práctica sirve, principalmente, para corregir dichos problemas y vulnerabilidades y prevenir así los ataques de cibercriminales en el futuro.
Por lo tanto, el hacking ético es una medida proactiva en el campo de la ciberseguridad y la seguridad informática, ya que se adelanta a posibles ataques e incidentes que puedan poner en riesgo los sistemas informáticos y los activos de información de la organización.
Gracias al hacking ético, las organizaciones pueden invertir en medidas y soluciones de seguridad y destinar recursos allí donde son necesarios, de una manera mucho más eficaz y eficiente.
Por lo tanto, la realización de hacking ético permite a las organizaciones saber a qué información podrían llegar a acceder los cibercriminales en caso de ataque, qué sistemas son más vulnerables y por qué, qué podrían hacer un cibercriminal con la información obtenida, y no solo hablamos de la información confidencial con la que pueda hacerse, sino también con información relativa a vulnerabilidades que puedan ser explotadas durante un ataque (por ejemplo, ¿se usan software obsoletos?, ¿no se parchean los programas cuando es necesario hacerlo?, ¿no hay una política de control de accesos?, etc.). También permite conocer si los intentos de acceso no autorizados se registran de alguna manera o si hay herramientas capaces de detectarlos. Y permite comprobar que los procesos y procedimientos de seguridad de la información cumplen con las leyes y estándares que puedan ser de aplicación.
Asimismo, tras efectuar las pruebas de pentesting y elaborar el correspondiente informe, las organizaciones podrán, gracias al hacking ético, tomar medidas para proteger adecuadamente sus activos de información, elaborar planes y protocolos de prevención que incluyan las medidas correctivas necesarias, para reforzar la seguridad de la información en toda la organización.
Cabe señalar que el hacking ético puede y se lleva a cabo en todo tipo de organizaciones y plataformas, por ejemplo, en este artículo hablamos sobre todo de hacking ético para empresas, pero también se realiza hacking ético en redes sociales, en organismos públicos, en industrias de suministros, etc. Cómo decíamos, el hacking ético es una importante herramienta de seguridad preventiva.
¿Cómo se hace el hacking ético?
Una vez firmado el contrato y el acuerdo de confidencialidad entre la empresa y el hacker ético, este podrá poner en práctica las pruebas de penetración que crea necesarias, empleando las técnicas, métodos y herramientas que los cibercriminales usarían si intentasen acceder a los sistemas de la empresa.
El procedimiento de hacking ético se suele dividir en las siguientes fases:
- La primera sería el reconocimiento (reconnaissance). En esta etapa inicial, el hacker utiliza diversas técnicas para investigar a la organización y recolectar la información necesaria antes de realizar el ataque.
- El siguiente paso es el llamado escaneo (scanning). En este punto, el pirata informático usa la información recopilada en la fase de reconocimiento para detectar vulnerabilidades.
- Después llegaría la fase de obtener acceso (gaining access). Se realiza el test de penetración para explotar las vulnerabilidades detectadas durante la etapa de escaneo.
- A continuación se procede a mantener acceso (maintaining access). El objetivo del hacker es seguir teniendo acceso al sistema con el objetivo de profundizar en sus pruebas.
- Por último, el hacker debe limpiar las huellas (clearing tracks). Es decir, ha de eliminar toda evidencia de sus actividades ilícitas dentro del sistema.
Una vez finalizado el proceso, el hacker ético elaborará el correspondiente informe con sus conclusiones, así como sus recomendaciones en materia de ciberseguridad y seguridad informática, para que la empresa pueda tomar y aplicar las medidas oportunas.
¿Es legal el hacking ético?
El hacking ético es legal, puesto que son las propias empresas quienes contratan a estos profesionales y les otorgan voluntariamente acceso a sus equipos para identificar vulnerabilidades. En estos casos, siempre mediará un contrato entre la empresa y el hacker ético (o la empresa con la que hayan contratado el servicio); en este contrato se recogerán las condiciones y límites para llevar a cabo las pruebas de penetración y la búsqueda de vulnerabilidades o problemas y fallos de seguridad.
Asimismo, también se firmará un acuerdo de confidencialidad, puesto que el hacker ético tendrá acceso a información confidencial de la empresa, sus miembros y/o socios, que debe comprometerse a no revelar o usar en su beneficio.
Sin embargo, hay que tener en cuenta que a veces la forma de proceder en las pruebas de pentesting pueden chocar con lo dispuesto en algunas leyes, por lo que la línea entre lo legal y lo ilegal se difumina un poco en el hacking ético.
Por ejemplo, algunos hackers de sombrero blanco utilizan técnicas de ingeniería social idénticas a las que usan los hackers de sombrero negro, por ejemplo, para conseguir las credenciales de otras personas y acceder mediante ellas a los equipos. En este caso, se estaría infringiendo la normativa de protección de datos, porque se estaría obteniendo información personal de clientes o empleados sin consentimiento de los mismos y sin cumplir con el deber de informar.
En cualquier caso, el hacking ético en España no cuenta con una regulación específica. Lo más parecido lo podemos encontrar en el artículo 197 del Código Penal, que señala lo siguiente:
«El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años».
La cuestión fundamental sería entonces el «sin estar debidamente autorizado», por lo que en principio el hacking ético es legal si se cuenta con la autorización de la organización, y siempre y cuando no se vulneren otros derechos y libertades de los individuos.
Beneficios del hacking ético para la ciberseguridad
La relación entre hacking ético y ciberseguridad puede aportar importantes beneficios a las empresas, entre los que destacan:
- La detección de vulnerabilidades y problemas de seguridad específicos, permite aplicar medidas de seguridad de forma más eficiente, invirtiendo los recursos allí donde son necesarios y adquiriendo soluciones de seguridad adecuadas para los problemas detectados.
- Ayuda a las empresas a adelantarse a posibles ataques, de manera que se reduce el riesgo de sufrirlos en el futuro o, cuanto menos, se reduce el impacto que estos podrían tener para la empresa, ya que estará mejor preparada para afrontarlos.
- Ayuda a elaborar mejores planes o protocolos de seguridad de la información y a cumplir con las normativas que sean de aplicación en esta materia.
- Reduce el riesgo de fugas y pérdidas de información, tanto accidental como debido a un ataque.
Otros tipos de hacking
No podemos cerrar este artículo sin mencionar los otros tipos de hacking que existen aparte del hacking ético y que, a diferencia de este, o bien no son lícitos, o bien tienen cierto componente que pone en duda su ética u honestidad. Nos referimos al hacking no ético o con fines maliciosos.
Los principales exponentes del hacking no ético son los hackers de sombrero negro o black hat hackers. Estos son los cibercriminales que buscan acceder a los equipos sin autorización con fines maliciosos. Puedes saber más sobre ellos en nuestro artículo sobre las diferencias entre hacker y cracker.
Dentro de los hackers con una ética, digamos ambigua, estarían los hackers de sombrero gris o grey hat hackers. Este tipo de piratas informáticos pueden utilizar sus conocimientos para explotar vulnerabilidades de los equipos y luego ofrecerse a arreglarlas, o para realizar actividades de hacktivismo. Por tanto, sus acciones bordean lo legal y lo ético.