ciberseguridad

Hacker éticos o el ethical hacking, de villanos a héroes



Dirección copiada

Hasta hace unos años, cualquier mención de la palabra hacker tenía connotaciones negativas asociadas con cibercriminales. Sin embargo, este término ha evolucionado y también incluye a hábiles profesionales entrenados para probar la seguridad de las organizaciones. Bienvenidos al mundo del hacking ético.

Publicado el 14 de mar de 2024



Hacker éticos una profesión rentable y necesaria

Los hackers éticos son una necesidad de mercado. Según la firma analista Markets and Markets, el tamaño del mercado mundial de ciberseguridad llegó a los 190.400 millones de dólares en 2023, y se prevé que crezca a una tasa de crecimiento anual compuesta (CAGR) del 9,4 % hasta 2028, año en el que representará más de 298.500 millones de dólares.

Gráfico: Markets and Markets.

Este presupuesto se encuentra dividido entre múltiples frentes que van desde la capacitación de los empleados en ciberseguridad hasta ciberseguros y el pago en herramientas de control de acceso, gestión de identidades, firewalls, etc.

Sin embargo, a pesar de la cantidad de recursos destinados y del tiempo dedicado a planificar las políticas de acceso, así como a las horas dedicadas a entrenar a la fuerza laboral, siempre existe la posibilidad de una falla. Alguna hendidura que solo es posible encontrar cuando se miran las cosas desde otra perspectiva, desde fuera de la organización.

¿Qué es el Hacking Ético?

El hacking ético es una práctica que consiste en utilizar técnicas de hacking*, para encontrar y corregir vulnerabilidades de seguridad en los sistemas informáticos. Es realizada por hackers éticos, también conocidos como White Hat Hackers, que deben pensar como criminales, adoptando las herramientas y metodologías de este nicho.

*Técnicas de hacking: Métodos utilizados por hackers para obtener acceso no autorizado a sistemas informáticos o redes.

Es importante no confundir a los White Hat Hackers o hackers de sombrero blanco con los de sombrero negro o gris. Los White Hat o hacker éticos realizan pruebas de seguridad e infiltración con la autorización de las empresas; es una actividad legal y con límites establecidos, todo lo contrario a los Hackers del sombrero negro.

Hacker éticos o white hat, black y gray hat.
Gráfico: Geeks for Geeks.

Los Black Hat hackers son delincuentes que realizan actividades ilegales ya sea con ánimo de lucro o por llamar la atención y conseguir reconocimiento de algunas comunidades. En esta categoría se encuentran subgrupos como los crackers, quienes intentan acceder a un sistema informático sin autorización, los Script Kiddies que lanzan ataques aún sin tener muchos conocimientos técnicos y, por supuesto, temidos colectivos de hackers transnacionales capaces de realizar ataques incluso a gobiernos.

Los hackers de sombrero gris se encuentran en la frontera, entre el límite del blanco y el negro, y suelen infiltrarse sin autorización en las empresas pero no con fines criminales, y al final reportan sus hallazgos (vulnerabilidades) a los expertos en seguridad de las organizaciones. Sin embargo, suelen cobrar por ello aunque sin extorsionar a las empresas.

¿Qué Hace un Hacker Ético?

Aunque suelen relacionarse con tecnologías recientes, el término ‘ethical hacking’ viene desde hace décadas. Fue usado por primera vez por el vicepresidente de IBM John Patrick en 1995, pero sus orígenes vienen de años atrás.

Es más, el término ‘hacking’ ni siquiera tenía connotaciones negativas y se refería más a la optimización de máquinas y procesos. De hecho, sería más parecido al ‘ethical hacking’ de la actualidad. Sin embargo, en las décadas de los ochenta y noventa aparecen los hackers con malas intenciones.

Actualmente, los ethical hackers recogieron las experiencias, herramientas y modo de pensar de los criminales para ponerlos al servicio de las empresas y organizaciones realizando funciones como:

Evaluación de vulnerabilidades

Es uno de los usos más populares y, como su nombre lo indica, busca identificar, clasificar y comunicar cualquier vulnerabilidad presente en un sistema de cómputo. Se diferencia de otras técnicas de White hacking en que no recrea un escenario de hacking del mundo real. Algunas de las más comunes son software desactualizado, una mala configuración de los cortafuegos y métodos débiles de autenticación, entre otros.

Técnicas usadas por los hacker éticos
Gráfico: Reciprocity.

Test de Penetración

Aunque trataremos este tema con un poco más de profundidad más adelante, vale la pena adelantar que consiste en una técnica que busca probar los límites del esquema de seguridad de una organización y buscar las vulnerabilidades de sus sistemas simulando un ataque de la forma más realista posible.

Obtención de accesos

Mediante diversas herramientas y técnicas que van desde la ingeniería social hasta el robo de contraseñas mediante keyloggers, esta función tiene por objetivo entrar al interior de las organizaciones sin ser detectada y, una vez adentro, borrar sus huellas.

Reporte de hallazgos

Los hackers éticos deben presentar en forma documentada todos los descubrimientos, riesgos y posibles consecuencias de las vulnerabilidades encontradas en su trabajo para ayudar a fortalecer los mecanismos de seguridad de las empresas.

Tipos de Hacking Ético

Existen numerosas pruebas de seguridad y tipos de ataques, o técnicas, que pueden ser usadas para vulnerar la seguridad de las organizaciones. Estas pruebas se pueden hacer partiendo desde diferentes perspectivas según el conocimiento que se tenga del funcionamiento de una empresa.

Desde este punto de vista podemos hablar de pruebas de tipo:

Tipos de pruebas usados por los hacker éticos
Gráfico: Security Boulevard.

Pruebas de caja negra

También conocida como prueba funcional, donde las pruebas se realizan sin el conocimiento interno de los productos y empresas. Este tipo de prueba examina el comportamiento esperado del software de una aplicación desde el punto de vista del usuario.

Pruebas de caja blanca

Es el caso opuesto. En las pruebas de caja blanca o pruebas de caja de cristal se realizan desde el punto de vista del desarrollador donde se prueba el software utilizando el conocimiento de las estructuras de datos internas y la arquitectura a nivel de código fuente. Es una prueba de estrés.

Pruebas de caja gris

Es el punto medio, donde existe un conocimiento parcial del código y el hacker debe utilizar sus habilidades de razonamiento deductivo y para encontrar vulnerabilidades en el sistema o la red.

Riesgos del Hacking Ético

Aunque el hacking ético presenta múltiples beneficios y responde a una necesidad clara de las empresas: probar la robustez de sus esquemas de seguridad, también es cierto que usar hackers tiene sus riesgos empezando por el cuidado de la información.

Un hacker ético es usualmente una persona ajena a las empresas que generalmente no debería tener acceso a ciertos datos, pero su labor es indagar lo más profundamente que pueda en las entrañas de una organización. De allí, que es probable que revele información confidencial a partes que no deberían conocerla con o sin intención.

Otro riesgo involucrado en el hacking ético está relacionado con la normatividad. Es decir, aunque su labor es obtener acceso no autorizado a sistemas o redes informáticas esto podría ser ilegal en algunas jurisdicciones.

Pero tal vez más grave, porque incluso podría afectar a los clientes es el riesgo de atentar contra la continuidad del negocio. En medio de las exigentes pruebas y si el hacker no tiene el cuidado suficiente puede poner en riesgo, entorpecer o incluso pausar, los procesos de negocios en las empresas.

Ligando con el punto anterior, un riesgo adicional del ethical hacking es afectar la reputación de la empresa precisamente por posibles daños que se realicen sobre la infraestructura informática o con el filtrado de información confidencial que pueda afectar a terceros.

Beneficios del Hacking Ético

Con todos los riesgos que representa traer a una persona extraña para vulnerar el esquema de seguridad de una empresa, la primera pregunta que salta es ¿por qué hacerlo? La respuesta es sencilla: por los múltiples beneficios que trae el ethical hacking.

A diferencia del esquema tradicional donde se respondía a los incidentes informáticos cuando estos se presentaban, el ethical hacking permite ir un paso más allá y ser proactivo, adelantándose a los ciberdelincuentes e identificar las vulnerabilidades antes de que puedan ser aprovechadas.

Gráfico: The knowledge academy.

Al identificar estos puntos débiles en las organizaciones es posible tomar acciones correctivas para mitigar o eliminar los riesgos y al mismo tiempo perfeccionar estrategias para proteger los datos de las empresas y sus clientes.

Precisamente este manejo de la información y en particular el relacionado con los datos personales es uno de los aspectos más protegidos por las leyes locales e internacionales. Como muestra, en Colombia la Ley de Protección de Datos Personales es la Ley 1581 de 2012, además de la Ley 1266 de 2008, también conocida como Ley de Habeas Data. El hackeo ético ayuda a cumplir con estas regulaciones al proteger en forma integral los datos.

Los ataques provocados por un hacker ético son una de las formas más efectivas para aprender y capacitar a una empresa para desarrollar planes sólidos de respuesta a incidentes y aplicar estrategias de mitigación frente a incidentes y vulnerabilidades.

¿Cuánto cobra un Hacker Ético?

Como en todas las profesiones, los salarios varían según los años de experiencia, el nivel de conocimiento, especialización, etc. Además también varían según el país o región desde la cual se contraten los servicios.

Gráfico: Zip recruiter.

Para dar una idea, en Estados Unidos, un hacker gana en promedio anual de 135.269 dólares, equivalentes a 529.713.000 pesos. En Colombia un hacker gana en promedio 47.280.300 anuales.

Según canales especializados como Glassdoor el promedio mensual de un hacker ético en Colombia es de 3.000.000 mientras para Indeed estaría en los 2.610.612 pesos. Sin embargo esta cifra varía según el perfil de los profesionales oscilando entre los 2.000.000 y los 10.000.000 de pesos colombianos mensuales.

Estudios y Formación para Trabajar como Hacker Ético

Aunque muchos hackers maliciosos (black hat hackers) se precian de ser autodidactas, el reto para los ethical hackers es aún mayor. No solo es necesario tener un profundo conocimiento técnico, también es necesario desarrollar habilidades de comunicación para dar a conocer los hallazgos de forma clara y concreta. Además de poder trabajar en equipo.

Sin embargo, no existe una única ruta para ser un hacker ético, entre muchas razones porque es posible especializarse en nichos como el Internet de las Cosas (IoT), Seguridad en redes, aplicaciones web, etc.

Como muestra de esta diversidad, se realizó un estudio en la plataforma de empleos Indeed entre más de 900 anuncios de empleo para identificar lo que buscan los empleadores en los puestos de hacking ético. Aunque el 73 % de ellos pedían un título profesional, solo el 25,9% de los anuncios mencionan específicamente un título informático.

Gráfico: Crowdstrike.

Esta falta de interés en un título específico demuestra que los empleadores están más interesados en la experiencia y conocimiento adquirido de los candidatos a hackers éticos. Aunque claro, destacan el lograr una titulación como una muestra de la disciplina y enfoque de los candidatos.

Es importante destacar que además de estos estudios formales existen una serie de certificaciones muy respetadas en la industria. Por cierto, otra fuente de conocimientos inagotable es la misma comunidad que comparte hallazgos y tendencias entre sí.

¿Qué hay que estudiar para Convertirse en un Hacker Ético?

Como mencionamos anteriormente no existe un único camino para convertirse en un hacker ético pero sí existen bases fundamentales como conocimientos en redes, lenguajes de programación, sistemas operativos y criptografía, entre otros. Muchos de estos conocimientos se encuentran disponibles en línea ya sea en cursos, tutoriales, y por supuesto en libros.

Un paso más allá se encuentran las certificaciones, algunas de las más respetadas son:

  • Certified Ethical Hacker (CEH)
  • CompTIA Security+
  • Offensive Security Certified Professional (OSCP)
  • GIAC Certified Penetration Tester (GPEN)
  • Certified Information Systems Security Professional (CISSP)
  • La Certified Ethical Hacker (CEH) es una certificación desarrollada por el EC-Council (International Council of Electronic Commerce Consultants) que se obtiene tras un riguroso examen.
  • La CompTIA Security+ es una certificación entregada por la entidad sin ánimo de lucro CompTIA (Computing Technology Industry Association), diseñada para validar las habilidades y conocimientos para asegurar sistemas, redes y dispositivos en entornos empresariales.
  • La Offensive Security Certified Professional (OSCP) o certificado profesional en seguridad ofensiva es entregada por Offensive Security, una entidad que verifica que sus estudiantes pasen pruebas de penetración. Es de las más respetadas.
  • La GIAC Certified Penetration Tester (GPEN) es otra de las certificaciones más populares. Ofrecida por la Global Information Assurance Certification (GIAC) valida la competencia de un individuo en las pruebas de penetración.
  • La Certified Information Systems Security Professional (CISSP) es una certificación de ciberseguridad otorgada por la organización internacional ISC2 (International Information System Security Consortium) y es una de las más respetadas al obtener la acreditación ANSI e ISO/IEC Standard 17024:2003.

Por cierto, otras actividades importantes para ser un hacker ético son participar en eventos, competencias como las CTF (Capture the Flag), participar en cacerías de bugs informáticos y practicar con herramientas de seguridad.

Test de Penetración

Las pruebas de penetración, también llamadas pen test, son un componente vital de las estrategias de seguridad de las empresas al punto que, según la firma analista Polaris, esta práctica moverá más 4.840 millones de dólares anuales para el 2030. Una cifra nada despreciable y más si tomamos en cuenta que su valoración para 2021 era de “apenas” 1620 millones de dólares.

Gráfica: Polaris.

Para Deloitte, las pruebas de penetración son un modo de piratería legal. Mediante el cual un hacker ético puede obtener acceso privilegiado a un sistema o aplicación web, adquirir control total sobre el mismo y obtener acceso a datos sensibles.

Existen diversos tipos de pruebas de penetración que van desde las realizadas en redes inalámbricas, en dispositivos inteligentes (IoT), aplicaciones móviles, sitios web e infraestructura. El costo de los pentest puede variar de cientos de dólares a más de 100.000 dólares, aunque el valor promedio es de 18.300 dólares.

El precio de estos test de penetración puede variar según la experiencia de los hackers éticos, el alcance y escala del test, tipo de prueba y repetición de la misma, tipo de contrato, oportunidades futuras y tipo de proveedor, entre otras.

Legalidad del Hacking Ético

El hacking ético es legal y una práctica común en la industria siempre y cuando se ajuste a las leyes y se tenga la aprobación de la organización puesta a prueba. Una aprobación que además debe ajustarse a las normativas legales donde se encuentren las organizaciones.

En Colombia se encuentran las siguientes leyes:

  • Ley 1273 de 2009: La encargada de tipificar los delitos informáticos y sus sanciones. Por medio de ella se modifica el Código Penal y se crea un nuevo bien jurídico denominado “de la protección de la información y de los datos”, y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones.
  • Ley 1581 de 2012: Ley de la protección de datos personales. Esta normativa tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política de Colombia.

Utilidades del Hacking Ético

Toda profesión tiene sus herramientas, y el ethical hacking no es la excepción. Se nutre de programas para descubrir y robar contraseñas, rastreadores de paquetes para interceptar el tráfico en las redes, escáneres de puertos para saber cuáles están abiertos, etc. Algunas de las más conocidas son Nmap (Network Mapper), Nessus, Nikto, Kismet, NetStumbler, Acunetix, Netsparker e Intruder, Metasploit, Aircrack-Ng, Wireshark, Burp, etc.

  • Nmap (Network Mapper) es una herramienta gratuita y de código abierto usada para escanear y mapear redes. Utiliza paquetes IP para identificar dispositivos conectados a una red, así como para proporcionar información sobre los servicios y sistemas operativos que están ejecutando. Puede utilizarse de forma local y remota para supervisar las redes en busca de brechas de seguridad. También es compatible con dispositivos móviles.
  • Wireshark: Es otra herramienta de código abierto que analiza paquetes de red y presenta los datos de los paquetes capturados con el mayor detalle posible. Según sus desarrolladores, se podría pensar en él como un dispositivo de medición para examinar lo que ocurre dentro de un cable de red, igual que un electricista utiliza un voltímetro para examinar lo que ocurre dentro de un cable eléctrico.
  • Burp o Burp Suite: Se trata de un conjunto de herramientas utilizadas para pruebas de penetración de aplicaciones web. Existen versiones gratuitas y pagas y fue desarrollado por la empresa Portswigger. BurpSuite pretende ser un conjunto de herramientas todo en uno.

Artículos relacionados

Artículo 1 de 5