Si no toma las medidas de seguridad necesarias, sus sistemas informáticos pueden ser víctimas de los hackers“. Cuando una persona dice eso, a miles de hackers en el mundo se les calientan las orejas y se muerden los codos porque la gente todavía los asocia con delincuentes, a pesar de que no lo son.

La misma Real Academia Española deja para un segundo lugar su definición como “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”; la primera, sin embargo, es “pirata informático“.

A pesar de este señalamiento injusto, los hackers siguen siendo un elemento fundamental para la seguridad de las compañías, especialmente a través de un procedimiento llamado hacking ético –ethical hacking, para quienes prefieren el término en inglés–.

El hacking ético se puede definir como  las pruebas técnicas que se realizan para conocer la postura de seguridad de una organización. Es decir, qué tan vulnerable puede ser en temas de ciberseguridad. Estas pruebas se realizan con el propósito de identificar sus fallas o vulnerabilidades antes de que lo pueda hacer un atacante. 

Así lo resume Miguel Ángel Mendoza, especialista en seguridad informática de Eset Latinoamérica. Y desde la definición queda claro que quienes realizan esta actividad son hackers, no delincuentes. De hecho, las pruebas a las que se refiere deben ser autorizadas por la entidad para la que se realiza el análisis.  

El término ‘hacker’ viene de ‘hack’, que es buscar hacer las cosas de una manera más rápida, sencilla y económica, pero en ningún momento intentando afectar [de manera negativa] a las personas ni a las organizaciones.

Miguel Ángel Mendoza, de Eset.

Claro… es posible que existan hackers que se dejan tentar por ‘el lado oscuro’ y se dedican a realizar acciones ilegales; pero la razón de ser original del hacker no es causar daño.

La ética hace la diferencia

El ciberdelincuente, explica Mendoza, puede tener los mismos conocimientos o habilidades que un hacker, pero esta persona los utiliza para beneficio propio a costa de los usuarios de la tecnología.Él busca lucrarse con sus conocimientos, afectando a los usuarios. Entonces nos gusta hacer esta distinción, porque si comete delitos o actos que están tipificados por las leyes, sencillamente es un ciberdelincuente“.

En el medio quedan aquellas personas que se dedican a buscar vulnerabilidades en los sistemas informáticos de las organizaciones y les avisan a los responsables cuando las encuentran, para que tomen las medidas correctivas; pero, aunque no tengan la intención de perjudicar a dichas organizaciones, tampoco lo están haciendo con su autorización. La línea es delgada en lo que se refiere a la intención, pero no tanto en la ejecución.

Hacking ético
Imagen: Charles (Unsplash).

Al final, Mendoza explica que un hacker (sin el apellido ‘ético’) lleva a cabo sus actividades por gusto, por aprender más y desafiarse a sí mismo. “El hacker ético también puede hacerlo, pero estamos hablando de un servicio de ciberseguridad para las organizaciones, es un trabajo, es remunerado y en general se enfoca más en las redes, en los servidores y los equipos de las empresas que quieren evaluar su seguridad“.

Para resolver otras dudas sobre el hacking ético, Miguel Ángel Mendoza respondió algunas preguntas formuladas por Impacto TIC.

Vea aquí: ¿Cómo protegernos en un mundo plagado de riesgos digitales?

¿Cómo se forma un hacker ético?

Respuesta

Hay algunas universidades que forman hackers éticos u organizaciones que ofrecen certificaciones para que las personas puedan ofrecer este tipo de servicios.

La formación que se debe tener está muy basada en el manejo de sistemas operativos y redes, porque antes de poder evaluarlas se necesita conocer estas tecnologías, saber cómo funcionan, para después poder identificar las vulnerabilidades, una mala configuración o algún elemento que pueda representar una vulnerabilidad y que podría ser aprovechada por algún atacante. Entonces los conocimientos técnicos deben ser vastos, de las distintas tecnologías, en función de lo que se quiere evaluar.

¿Cuál es el límite legal para el trabajo de un hacker ético?

Respuesta

Cada país puede tipificar los delitos informáticos de forma diferente, pero en general cuando se contrata un servicio de hacking ético […] está más limitado por el alcance que la organización [el cliente] determina.

Por ejemplo, un servicio del hacking ético puede limitarse a encontrar las fallas y reportarlas, pero sin ir más allá. Cuando hablamos de pen testing (o las pruebas de penetración), se incluye el análisis de vulnerabilidades e intentar explotarlas como lo haría un atacante. Es decir, es un paso más allá en donde se muestra el impacto real que puede tener la explotación de una vulnerabilidad […], incluso con todas las consecuencias que esto pueda implicar.

Los límites están más determinados por lo que la organización que contrata el servicio de hacking ético esté buscando: si simplemente quiere conocer sus fallas o que también las exploten y saber el impacto real de esta actividad que, como decía hace un momento, se está anticipando a que un atacante la pueda llevar a cabo.

¿Con qué frecuencia se debe hacer un procedimiento de hacking ético?

Respuesta

La frecuencia depende: hay organizaciones que se han certificado bajo el estándar ISO 27001; ese estándar establece que se debe hacer una revisión al menos una vez por cada ciclo de operación del sistema de gestión, que por lo general dura un año.

Algunas legislaciones también piden hacer evaluaciones casi con la misma periodicidad. Sin embargo, así como avanza la tecnología, es muy probable que este procedimiento se deba hacer con mayor frecuencia.

Pero hay varios puntos que se deben considerar. Por ejemplo, los costos que esto implica, los períodos que se deban tomar para corregir una falla una vez se identifica (no siempre es algo que se haga de manera inmediata). Depende mucho del tipo de organización, del tamaño, de los recursos. Hay varios aspectos, pero si quisiéramos hablar de una periodicidad podríamos hablar de estos que marcan el estándar (una vez al año).

También es necesario anotar que nada es completamente seguro. Estar exento o libre de todo peligro es algo que no ocurre en la realidad. Es posible que no se encuentre una falla, pero puede ser porque no se utilizan las herramientas o los procedimientos adecuados. Puede ocurrir que no se identifique nada, pero eso no quiere decir que un sistema sea completamente seguro. Puede haber un resquicio que no se haya revisado y por eso también es muy importante este trabajo de hacer evaluaciones continuamente.

Cuando hablamos del hacking ético, uno de los objetivos es estar evaluando continuamente la infraestructura, porque sabemos que la tecnología evoluciona, continuamente se identifican nuevas vulnerabilidades, también casi a diario aparecen nuevas amenazas y todo esto pone en riesgo la infraestructura de las empresas.

Por eso decimos que la seguridad no es un estado finito, sino un proceso de mejora permanente, y por eso es probable que no se encuentre alguna falla, pero quizás si se cambia incluso el mismo evaluador, hay personas que tienen más experiencia que otras y en un mismo escenario podrían identificar una falla que otra persona podría no haber encontrado.

¿Las pruebas se limitan a aspectos técnicos?

Respuesta

Las pruebas no son solo automáticas, sino que las hace manualmente un hacker ético que toma la posición del atacante. Más que una herramienta, es todo un proceso. Y no solo se hacen pruebas técnicas, también de ingeniería social, que más que a la infraestructura tecnológica se realizan sobre las personas, para ver qué tan factible es que puedan caer en un tipo de engaño que sirva como una puerta de acceso por donde la empresa se pueda ver afectada.

La ingeniería social sigue siendo una técnica muy utilizada porque sabemos que a veces las personas utilizamos la tecnología pero no de manera segura, caemos en los engaños, y esto funciona como la puerta de acceso para que después lleguen más amenazas.

En este caso lo más importante es la concientización de las personas: hacerlas cada vez más conscientes de estos peligros, porque no solamente hay vulnerabilidades técnicas, sino también humanas. Entonces es un trabajo completo el que implica la ciberseguridad.

¿El hacking ético es un trabajo bien remunerado?

Respuesta

Sí. Depende del mercado, pero es un trabajo bien remunerado económicamente.

Otras consideraciones acerca del hacking ético
  • En el hacking ético, como en la medicina, existe la objeción de conciencia. Miguel Ángel Mendoza cita el caso famoso de Apple, que se negó a acceder a la información del dispositivo que había sido usado por un terrorista.
  • ¿El hacking ético es preventivo o reactivo? Mendoza asegura que buscar ser preventivo, pero quizás el trabajo del ciberdelincuente puede ser un poco más sencillo que el del hacker ético, porque basta un solo punto que no haya sido considerado para que este pueda aprovecharlo, mientras que del lado de la seguridad se deben considerar –y proteger– todos los puntos de la infraestructura para evitar que se presente algún tipo de incidente. Sin embargo, es una tarea complicada que necesita recursos, tiempo y a veces las organizaciones no cuentan con todos estos elementos.
Hacking ético
Imagen: David Rangel (Unsplash).
  • Que Windows y Android sean los sistemas que sufren más ataques no quiere decir que sean los más vulnerables. “Es un juego de probabilidades: a una mayor cantidad de usuarios es más probable que una amenaza afecte a más usuarios que a un sistema operativo poco utilizado“, explica Mendoza. Por consiguiente, eso tampoco significa que macOS, Linux o iOS sean completamente seguros o que no haya amenazas para ellos. “Por supuesto que las hay, pero en menos proporción que para Windows o Android“. También hay que anotar que existen ataques que tienen como blanco tecnologías que son comunes a los diferentes sistemas, de manera que atacan por igual en cualquiera de ellos.
  • Pedir a una persona desbloquear el celular de otra para revisar su contenido no es hacking ético. De hecho, la legislación de algunos países considera delito acceder al smartphone de otra persona sin su autorización. Esto solo se puede hacer dentro de un proceso y con una orden judicial de por medio.
  • En cuanto a las vulnerabilidades, ningún sistema es perfecto:   “Finalmente, el software está hecho por personas, por programadores, y como no somos perfectos, los errores también están casi de manera inherente en los sistemas que se programan. Esas variables, más que de seguridad, nos hablan de los riesgos. De hecho, así definimos los riesgos: la posibilidad de que una vulnerabilidad sea explotada por una amenaza. Se puede hablar de sistemas menos riesgosos más que de sistemas más seguros que otros“.

Imagen principal: Kevin Ku (Unsplash).

Artículos relacionadosMás del autor