Hacking ético. Legalidad y ética

La mayoría de la gente piensa que los hackers tienen una extraordinaria habilidad y conocimiento que les permiten introducirse en los sistemas informáticos y encontrar información valiosa.

Cuando hablamos del término «hacker», éste provoca en la mayoría de la ocasiones una sensación en las personas que desconocen el tema de la imagen de un genio o gurú de los ordenadores que escribe comandos y el ordenador que toca nos ofrece en pantalla contraseñas, números de cuenta y otros datos confidenciales inaccesibles para cualquier otro usuario normal.

En realidad un hacker bueno, es un profesional de la seguridad que actúa como un hacker ético, es decir, entiende cómo es el funcionamiento del sistema informático para emplear las herramientas necesarias con el fin de encontrar puntos débiles de seguridad.

El objetivo de este artículo no es otro sino el de presentar la visión global del hacker y definir la terminología utilizada en el ámbito de la seguridad informática. Para ser capaz de defenderse contra los hackers maliciosos, los profesionales de la seguridad deben entender primero cómo emplear las técnicas de hacking ético. Detallaremos algunas herramientas y técnicas utilizadas por los hackers para que las pueda utilizar para identificar riesgos potenciales en sus sistemas.

Un hacker ético actúa como un profesional de la seguridad al realizar pruebas de penetración y debe actuar siempre de manera profesional para diferenciarse de los hackers maliciosos.

El cine ha popularizado el personaje del «hacker», por lo que actualmente todo el mundo está familiarizado con el término. Según Wikipedia, un hacker es «un experto en informática que utiliza sus conocimientos técnicos para lograr un objetivo o superar un obstáculo, dentro de un sistema informático, usando métodos no estándar». Es una definición bastante buena, pero quizás incompleta; en primer lugar, debemos interpretar “experto en informática” de una manera extensa: hardware, software, tecnologías de comunicación, protocolos de red, computación en la nube, telefonía móvil… todo lo relacionado con TI forma parte del ámbito de actuación del hacker. Y no solo TI, ya que con mucha frecuencia la forma más fácil de «superar un obstáculo» es a través de las personas, por lo que las habilidades sociales también son relevantes.

Definiendo al Hacking Ético…

Como se ha mencionado anteriormente, los hackers éticos siempre deben actuar de forma profesional de tal manera que se diferencien a sí mismos de los hackers maliciosos. Ganándose la confianza del cliente, solicitando autorización en el acceso de los datos y tomando todas las precauciones para no dañar los sistemas durante las pruebas de pentesting. Este es uno de los caminos en el que los hackers éticos pueden superar el estereotipo de los hackers y ganar la confianza de los clientes. La pregunta que te podrías hacer sería… ¿y un hacker malicioso podría hacerse pasar por un hacker ético? Pues, en realidad, sí y para ello suelen hacer uso de la ingeniería social, tratando de engañar a los usuarios. Sin embargo, si se trata de un verdadero hacker ético, nunca empleará la ingenieria social para obtener algo, el hacker ético siempre consultará antes de llevar a cabo acciones en el sistema.

xmlrpc-php

El objetivo del Hacking Ético…

¿El hacking puede ser ético? ¡Por supuesto que sí! Los hacker éticos normalmente son profesionales de la seguridad o pentesters que utilizan sus habilidades como hackers para encontrar vulnerabilidades en sus redes y sistemas utilizando las mismas herramientas que un hacker malicioso utiliza para comprometer una red. Cualquier profesional del mundo de la informática puede aprender las habilidades del hacker ético.

Al contrario delhacker ético tenemos a los hackers maliciosos, quienes utilizan herramientas de forma ofensiva para atacar sistemas, redes, así como robar información, realizar ataques DoS (Denegación de servicio), diseminar virus y software malicioso. Otra forma de llamar a los hacker maliciosos es con el término “Cracker”.

Los hackers se pueden agrupar en tres categorías:

  • Sombrero Blanco (White Hats): Los “chicos buenos”, los Ethical Hackers.
  • Sombrero Negro (Black Hats): Los “chicos malos”, los Hackers Maliciosos o Crackers.
  • Sombrero Gris (Gray Hats): Hackers buenos o malos; dependiendo de la situación. Los malos que a veces quieren hacerse pasar por buenos o los buenos que por alguna razón justificada, hacen algo malo.

Tipos de Hacker…

Los Hackers Éticos normalmente caen en la categoría de Sombrero Blanco, sin embargo es común que profesionales de la seguridad empiecen con categoría de Sombrero Gris, y al adoptar la metodología del Hacker Ético terminen como de Sombrero Blanco.

Tarjeta de Crédito

Sombrero Blanco…

Se les denomina así a los hackers éticos que utilizan sus habilidades para propósitos defensivos. Los hackers de sombrero blanco normalmente son profesionales con conocimientos de hacking y del uso de las herramientas de hacking y utilizan este conocimiento para encontrar vulnerabilidades y corregirlas.

Sombrero Negro…

Los hackers de Sombrero Negro son los “chicos malos”, utilizan su habilidad para obtener acceso no autorizado, una vez obtenido esto, lo utilizan para robar, dañar, impedir el uso de los sistemas a sus propietarios, destruir información u obtener algún beneficio. Esta es la definición de hacker que la mayoría de la gente conoce y piensa que es. Sin embargo el término que se debe utilizar para este tipo de hackers es el de «Cracker».

Sombrero Gris…

Los hackers de Sombrero Gris pueden trabajar de forma ofensiva o defensiva, dependiendo de la situación. Es la línea que delimita al Hacker Ético del Cracker.  Los Hackers de sombrero Gris se interesan en las herramientas y técnicas que utilizan los Crackers pero «no los utilizan para hacer daño». De hecho muchos hackers de sombrero gris, se auto proclaman Hackers Éticos.

Suelen señalar vulnerabilidades o tienden a educar a las víctimas, de modo que las puedan corregir. Estos hackers hacen un favor a sus “víctimas”. Por ejemplo, si se encuentra un fallo de seguridad en un servicio ofrecido por un banco de inversiones, el hacker le está haciendo el favor al banco al darle oportunidad de corregir la vulnerabilidad.

¿Cuánto puede ganar un Hacker Ético?…

Las tarifas y sueldos de un hacker ético suelen determinarse dependiendo de algunas variantes muy importantes. La primera de ellas, sus habilidades y competencias. Por otro lado, al tipo de empresas, institución o servicio que ofrece. Es decir, no es lo mismo servir para una empresa que para una institución como la CIA.

A su vez, también depende del país en cuestión y los sueldos que dicho país maneja según su mínimo. No obstante, se puede establecer un sueldo estimado con base en diversos datos, que se pueden determinar por horas trabajadas y totales anuales. Por hora, un hacker ético puede ganar entre 30 a 60€ por hora, y al año, puede alcanzar cifras de hasta 140 mil euros.

Hoy en día, los hackers éticos están muy profesionalizados: hay organizaciones globales que brindan capacitación y certificaciones: el ya mencionado EC Council (International Council of E-Commerce Consultants, https://www.eccouncil.org/), es una organización creada después el atentado del 11 de septiembre al World Trade Center, y es el organismo de certificación técnica de seguridad cibernética más grande del mundo en la actualidad. El EC-Council proporciona un prestigioso certificado de hacker ético (CEH) a través de un examen muy exigente.

verasoul.com/about
adbanner