Hacking ético: ¿en qué consiste y por qué es importante?

Iván Jahel Bautista García
Tiempo de lectura: 9 min
Publicación: 08 feb, 2021

A pesar de que el término “hacker” se ha visto manchado y ensombrecido por las malas prácticas, no todo es negativo en ese mundo. 

Existen expertos en esta área que usan sus habilidades y conocimientos para ayudar a organizaciones a poner a prueba sus mecanismos de seguridad, con el fin de identificar las debilidades o vulnerabilidades de un sistema. 

A esta práctica se le conoce como hacking ético y es justamente el tema que vamos a tratar en este artículo para que conozcas de qué manera puede ayudarte en tu negocio, cómo funciona y cuál es su importancia.

¿Qué es el hacking ético?

que-es-el-hacking-etico

El hacking ético, también llamado de sombrero blanco, hace referencia al modo en que una persona, mejor conocida como hacker, utiliza todos sus conocimientos sobre informática y ciberseguridad para hallar vulnerabilidades o fallas de seguridad dentro de un sistema.

Los hackers éticos son expertos en seguridad de la información que irrumpen en los sistemas informáticos por petición de sus clientes. Se considera ética esta variable porque existe un consentimiento previo por parte de la “víctima”, es decir, el cliente, para detectar las fallas. 

El objetivo de ello es comunicarlas a la organización que los contrata para que sepan qué no está funcionando y emprendan acciones que permitan evitar una catástrofe cibernética, como ser víctimas de robo de información muy importante. 

Los profesionales que se dedican al hacking ético ponen en marcha una serie de pruebas o test, llamados “test de penetración” con el fin de poder burlas las vallas de seguridad de las diferentes organizaciones para poner a prueba la efectividad de los sistemas de seguridad o demostrar sus debilidades. 

En caso de encontrar algún error o alguna vulnerabilidad, el hacker tiene que dar cuenta a la empresa que lo contrató por medio de un informe completo y dar soluciones para mejorar la ciberseguridad de la organización en cuestión. 

A diferencia de los hackers de sombrero negro, estos no hacen daño a las organizaciones, sino que se convierten en una pieza fundamental para ellas, ayudándolas a no ver comprometidos sus archivos o funcionamiento en general. 

¿Qué es un test de penetración en hacking ético?

que-es-un-test-de-penetracion-de-hacking-etico

Dentro del contexto de la informática, el test de penetración es una metodología que consiste básicamente en planificar un ataque a una red o plataforma, sin importar su tamaño, para encontrar vulnerabilidades en ella. 

Para conseguirlo, es necesario simular diferentes patrones de ataque empleando herramientas desarrolladas por métodos de ataque conocidos. Algunos de los componentes de un test de penetración son:

  • Puertos de seguridad: cortafuegos, programas antivirus, filtros de paquetes, etc.
  • Elementos de acoplamiento: puertos, conmutadores o routers.
  • Servidores web, de base de datos, de archivos, etc.
  • Equipos de telecomunicaciones.
  • Aplicaciones web de todo tipo.
  • Instalaciones de infraestructura: mecanismos de control de acceso.
  • Conexiones inalámbricas: bluetooth, WLAN, etc.

Generalmente, los test de penetración se clasifican en:

  • Pruebas de caja negra: los especialistas en hacking ético solo tienen a su disposición la dirección de la red, esto quiere decir que se realiza desde el punto de vista de las entradas y salidas que recibe o produce sin tomar en cuenta el funcionamiento interno.
  • Pruebas de caja blanca: el punto de partida es un amplio conocimiento de los sistemas, como la IP, el software utilizado y los componentes de hardware, es decir, se llevan a cabo sobre las funciones internas.

¿En qué consiste el hacking ético?

en-que-consiste-el-hacking-etico

El hacking ético consiste en atacar de una forma pasiva el entorno de seguridad que ha creado la empresa que solicita este tipo de servicio.

El objetivo es que el especialista, es decir, el hacker, trate de ponerse en los zapatos de los individuos que, en algún momento, podrían intentar atacar los sistemas o los servidores de dicha empresa. 

Con ello, lo que hace es ver hasta qué punto la seguridad está bien configurada y qué se puede hacer para evitar que cualquier situación de riesgo termine convirtiéndose en un desenlace negativo. 

El hacking ético está enfocado en prevenir cualquier ataque, emulando los diferentes escenarios que podrían ocurrir y demostrar qué se debe hacer o cambiar para que esto no suceda. 

Estos profesionales son, hoy en día, un elemento clave de los negocios, pues solo de esta forma pueden estar seguros de que su información no corre ningún tipo de riesgo. 

El profesional detrás del puesto tiene que actuar desde las filas de la propia compañía o de forma externa después de firmar un contrato de confidencialidad y moralidad laboral. 

El hacking ético te brinda múltiples beneficios. Algunos de los principales son:

  • Ahorrar dinero en la implementación de sistemas de seguridad eficientes.
  • Impedir catástrofes públicas por ser víctima de algún ataque hacker fuerte.
  • Organizar y mantener los sistemas de ciberseguridad para evitar filtraciones.
  • Focalizar las inversiones en seguridad eficientemente y no malgastar en sistemas con fallas.
  • Concientizar a todos los colaboradores sobre la importancia que supone poner en riesgo los sistemas por el mal uso de contraseñas poco seguras.

Tipos de hackers

tipos de hackers

Entrar en el tema del hacking ético, su definición e importancia tiene mayor relevancia porque es clave para diferenciarlo de los demás tipos de hackers que no están inclinados hacia un bien como tal.

Dentro de la comunidad de seguridad cibernética, existen principalmente tres tipos de piratas informáticos, de acuerdo con su objetivo y su campo de acción. 

Estos se dividen en hackers de sombrero negro, hackers de sombrero gris y hackers de sombrero blanco (hacking ético). 

Ahora vamos a ver, a grandes rasgos, en qué se enfoca cada una de estas personas según su área. 

Sombrero negro

Su trabajo tiene como base objetivos egoístas, como obtener ganancias financieras, cobrar algún tipo de venganza o simplemente provocar estragos en alguna agencia o persona. 

Los también conocidos como ciberdelincuentes acceden a sistemas o redes no autorizadas con el único objetivo de causar daños, obtener acceso a información financieras, datos personales, contraseñas, introducir algún virus, entre otras acciones malintencionadas. 

Dentro de este tipo de hackers, existen dos: crackers y phreakers. Los primeros modifican softwares, diseñan malwares, hacen colapsar servidores o plataformas e infectan redes; los segundos actúan dentro del ámbito de las telecomunicaciones. 

Sombrero gris

Este tipo de informáticos son como el punto medio entre los hackers de sombrero negro y los de sombrero blanco. 

Frecuentemente llevan a cabo operaciones ligeramente cuestionables desde el punto moral, como piratear grupos a los que se oponen o lanzar protestas hacktivistas; un ejemplo de un hacktivista es Anonymous, que utiliza sus habilidades para atacar al gobierno. 

Para los grey hat la ética depende siempre del momento y del lugar. Brindan su servicio a agencias de inteligencia, gobiernos, entre otros sectores y sus acciones dependen del tipo de cliente que los contrate. 

Sombrero blanco (hacking ético)

Los piratas informáticos de sombrero blanco están enfocados en buenas prácticas para mejorar la seguridad, encontrar fallas en ellas y notificar a la víctima para que pueda poner manos a la obra para solucionar los inconvenientes. 

El hecho de que estos profesionales sepan cómo operan los atacantes suele darles una perspectiva más clara sobre cómo prevenir los diferentes ataques y ayudar a las empresas o personas que contratan sus servicios sin ninguna mala intención. 

Muchas compañías grandes, como Facebook o Google, suelen ofrecer recompensas a los profesionales en hacking ético que descubren agujeros de seguridad dentro de sus servicios o redes sociales. 

Hacking ético vs. hackeo

hacking etico vs hackeo

Las principales diferencias entre el hacking ético y el malicioso son su fundamento ético y las condiciones generales del hacking. El ético tiene como fin principal brindar protección a las infraestructuras digitales y los datos confidenciales de los ataques para mejorar la seguridad. 

El hackeo, por el contrario, se centra especialmente en objetivos malintencionados y destructivos: infiltración y destrucción de sistemas de seguridad, entre muchos otros fines. 

La mayoría de los ataques de hackeo van de la mano con acciones criminales, como extorsión, espionaje, parálisis sistemática de cierta estructura, etcétera. Sus intenciones siempre están enfocadas en dañar a su víctima directa o indirectamente. 

Esta distinción puede parecer muy obvia, pero existen casos que se encuentran en el límite entre uno y otro. Por ejemplo, algunos hackers enfocados en el campo político pueden perseguir objetivos éticos, pero también destructivos. 

Incluso, de acuerdo con los intereses y las opiniones políticas y personales, se puede llegar a una conclusión o evaluación distinta, lo que da como resultado que un hackeo pueda considerarse ético o no ético según la persona que evalúa. 

Por ejemplo, existe el border crossing, que es una forma de hacking ético orientados al bien común y el fortalecimiento de la seguridad cibernética pero, al mismo tiempo, se lleva a cabo de forma no autorizada y sin el consentimiento y conocimiento del objetivo final. 

Por lo anterior, es importante separar la cuestión ética de la jurídica, ya que las operaciones de piratería informática que tiene detrás ideales nobles se pueden llevar a cabo en una zona gris dentro de la ley, entre el filo de la legalidad y la ilegalidad. 

Si se busca una distinción entre el hacking ético y el hackeo, desde una perspectiva técnica, se resume en que ambos utilizan los mismos conocimientos y las mismas técnicas y herramientas, pero el hacking ético no centra sus acciones en algún tipo de daño, sino más bien beneficios para quien contrata el servicio de este profesional. 

El verdadero reto para un hacker ético es descubrir la vulnerabilidad y no explotarla. 

El hacking ético es muy importante. La comunidad de HackerOne, una plataforma de seguridad cibernética conocida a nivel internacional, había erradicado, hasta mayor de 2018, más de 72,000 fallos de seguridad en más de 1,000 empresas. 

Lo anterior demuestra que el hacking ético ha ayudado a muchas empresas en todo el mundo, dotándolas de sistemas fuertes que son menos susceptibles a ser atacadas, dando también confianza a las compañías y haciendo que continúen con sus proyectos sin ningún riesgo que podría involucrar perder todo de un momento a otro. 

La importancia del hacking ético

la importancia del hacking etico

El papel del profesional en hacking ético es ayudar a las empresas y a las personas a encontrar huecos en la ciberseguridad de sus páginas o plataformas. 

Algunos de los puntos por los que son tan importantes estos especialistas son los siguientes:

1. Proteger software y redes

A través del pentesting o testeo de penetración, estos profesionales pueden determinar en dónde están las debilidades en un sistema o en una aplicación. 

Esto ayuda a prevenir ciberataques reforzando toda la estructura interna de los sistemas y los servidores con los que cuenta las empresa en cuestión antes de que alguien pueda penetrar en el sistema y poner en riesgo a una organización

Luego de la detección, por supuesto, deben brindar soluciones y ponerlas en marcha si la organización que los contrató da luz verde. 

2. Cumplir con normativas

Generalmente, las entidades financieras y las empresas que fabrican y producen nuevos artículos, como softwares, plataformas o aplicaciones, están obligadas a cumplir con regulaciones para probar sus productos. 

Por ello, es importante contar con el servicio de un hacker ético para testear y poder ofrecer seguridad a todos los clientes o personas que brindarán algún tipo de información confidencial para realizar una transacción con la empresa en cuestión.

De esta forma, no van a poner en riesgo los datos y van a poder otorgar un servicio de calidad a sus clientes. 

3. Estar al día de los nuevos sistemas de penetración

La tecnología no se detiene y, por supuesto, los modos de penetrar en los sistemas de ciberseguridad tampoco.

Los hackers malintencionados todo el tiempo están actualizando y mejorando sus estrategias para infiltrarse en las diferentes plataformas y concretar sus amenazas, por lo que los sistemas deben ser continuamente probados. 

Para poder resistir ataques y mantener la confianza de sus clientes, las organizaciones requieren protección y estar a la vanguardia en cuanto a la seguridad cibernética. 

4. Entrenar la inteligencia artificial

Cada vez existen más herramientas automáticas enfocadas en la detección de vulnerabilidades, basadas en inteligencia artificial, las cuales pueden arrojar falsos positivos, es decir, detectan una anomalía que hace que pensar que existe un riesgo cuando no es verdad. 

Esto suele ocurrir de manera frecuente, pero es peor cuando dichas herramientas cometen el error a la inversa, es decir, que no logran detectar los peligros, se pasan por alto y no se procede a una solución. 

Es importante que para evitar estos errores, en conjunto con una herramienta automatizada, se trabaje con un profesional en hacking ético, así puede ir perfeccionando el instrumento para que, en el futuro, el porcentaje de error sea mínimo. 

Fases del hacking ético

fases del hacking etico

El hacking ético tiene como base un esquema que se divide en cinco fases principales. 

A continuación te diremos cuáles son y en qué consiste cada una de ellas para que estés informado de todo en caso de que decidas contratar a un profesional de esta área para tu empresa.

1. Firma del acuerdo

Lo primero que tiene que hacer el profesional en hacking ético es firmar un acuerdo, en colaboración con la empresa que lo contrate, en el que se detalle con lujo de detalles lo que va a realizar. 

El producto final debe ser un documento que contenga todas las bases de colaboración para que quede por escrito que la compañía está dando vía libre a este especialista para que trate de superar sus sistemas de seguridad sin una mala intención detrás. 

El hacker debe dejar bien claro a la organización lo que va a hacer para poner a prueba sus sistemas, pues algunas acciones pueden suponer ataques simulados que pueden resultar confusos para las empresas si no saben de antemano los movimientos que hará el profesional en hacking ético. 

2. Investigación de los sistemas

Cuando se haya firmado el contrato, ya se puede iniciar con la etapa 2, que es de investigación para profundizar de manera exhaustiva en los servidores y sistemas de la empresa poniendo énfasis en descubrir todas las vías posibles de acceso a ellos.

En este punto el especialista echa mano de todos los programas y herramientas que tiene a su disposición con el fin de entrar a fondo en la compañía para encontrar qué está fallando o qué elementos no están lo suficientemente protegidos.  

Algunos de los datos que va a intentar robar el especialista en hacking ético son información personal de los ejecutivos y empleados, cuentas bancarias, estadísticas, información confidencial, detalles sobre softwares y apps instaladas, entre otros elementos que son clave para el funcionamiento de una empresa. 

3. Preparación de un plan de ataque

El siguiente paso que debe dar el profesional es trabajar en un plan de ataque que refleje todas las posibilidades por las que pueden optar los hackers malintencionados para infiltrarse en los datos y el entorno de la empresa. 

En este plan de ataque deben incluirse todos los detalles para que la empresa que contrató al experto en hacking ético sepa a qué se está exponiendo con el sistema de ciberseguridad que tiene actualmente. 

Este punto está íntimamente ligado con el que sigue, pues es el resultado de la puesta en marcha del plan elaborado en el tercer paso. 

4. Detección de vías de acceso y vulnerabilidades

Cuando se haya concluido con el plan de ataque, el resultado va a ser una lista de todas las vías posibles de acceso, así como las vulnerabilidades de la agencia en cuestión. 

Aquí el profesional en hacking ético debe únicamente buscar todas las entradas del sistema a fondo e idear diferentes modos de tratar de acceder a él, tal como lo haría un delincuente de la información.

En este punto todo se queda en teorías e investigación. Cuando se pone en práctica es el quinto y último paso. 

5. Ejecución de la teoría y prueba de resistencia en seguridad

La última fase del hacking ético consiste en poner en marcha todos los ataques que el profesional planteó para comprobar que sus investigaciones e hipótesis son ciertas. 

Se trata de ejecutar todas las posibilidades y ver qué sucede, es decir, si puede o no acceder a la información más sensible a partir de todos sus conocimientos y su experiencia en el ramo. 

Una vez hecho esto y localizadas todas las vulnerabilidades, se trabaja para eliminar cualquier tipo de riesgo al existir conocimiento de causa por parte de la empresa.

Finalmente, se pone a prueba el sistema de ciberseguridad fortalecido para comprobar que las acciones puestas en práctica funcionen como deben para no poner en riesgo a la empresa que contrató el servicio. 

ejecucion-de-la-teoria-y-prueba-de-resistencia-en-seguridad

Conclusión

El hacking ético es una excelente estrategia comercial para prevenir y proteger a cualquier empresa o negocio de ciberataques, sobre todo, en un tiempo en que los ciberdelitos siguen en constante aumento. 

Las pruebas de penetración son ideales para optimizar la seguridad de cualquier tipo de estructura informática, para evitar el hackeo ilegal desde una fase temprana y así no haya riesgos o fallas en los sistemas que afecten la productividad y los objetivos de una organización. 

A través del hacking ético, las pequeñas y medianas empresas pueden tener acceso a conocimientos técnicos de ciberseguridad que no estarían a su disposición de otra manera. 

Lo único que se debe tener en cuenta es que el hacking ético también involucra riesgos, aun cumpliendo con todo los requisitos de la piratería limpia, puede haber algunos efectos negativos, como el colapso de los sistemas. 

Asimismo, ten en cuenta que estos especialistas de sombrero blanco van a poder acceder a datos confidenciales tuyos y de terceros, así que debes definir perfectamente las condiciones básicas y generales para que se lleve a cabo un trabajo limpio y cien por ciento legal. 

Antes de contratar los servicios de un especialista en hacking ético, examina a fondo a los candidatos y selecciona al adecuado de manera consciente y cuidadosa considerando su experiencia comprobada. 

Si nunca has pensando en contratar los servicios de un hacker ético, te recomendamos que lo tengas en el radar. 

Lo recomendable es que se realicen auditorías de seguridad al menos una vez al año para estar seguros de que los sistemas de seguridad en la empresa son fuertes y se encuentran en buenas condiciones. 

Los resultados del análisis son de gran utilidad para conocer la evolución de la organización, cómo funcionan los procedimientos dentro de ella y para confirmar que la inversión en seguridad está teniendo resultados satisfactorios. 

CTA_Servnet_1

employe-img
NEWSLETTER

Suscríbete para conocer las noticias más relevantes de la industria.

Comparte tus comentarios