La utilidad del Hacking Ético como disciplina
Son todas aquellas personas denominadas como piratas informáticos éticos, los cuales son contratadas con la finalidad de hackear un sistema y de esta forma identificar y a la vez eliminar posibles vulnerabilidades, evitando el riesgo de que los sistemas y programas informáticos de una compañía sea atacados por un hacker real.
Son personas expertos en vulnerar sistemas informáticos y de software que son contratados por las compañías para evaluar y detectar vulnerabilidades y de esta forma fortalecerlos.
Si te interesa conocer en profundidad esta materia, te presentamos el Curso Diplomado Online en Hacking Ético y Ciberinteligencia, este Curso es de referencia internacional y es uno de los más completos en su categoría, además pertenece a las principales economías que mueven el mundo y en la actualidad faltan especialistas en esta área.
Tipo de Hackers
También conocidos como piratas informáticos, estos se dividen en tres tipos:
Piratas informáticos de sombrero negro
Se caracterizan por estar conformadas por aquellas personas que hackean programas y sistemas informáticos por razones personales de carácter egoísta que buscan obtener ganancias financieras, o lo llevan cabo por motivos de venganza. obtienen también dinero por medio del robo, el fraude y la extorsión entre otros medios ilegales.
Piratas informáticos de sombrero blanco
Por su parte estos expertos en programas informáticos son contratados por las compañías, con la finalidad de reforzar y la vez hallar vulnerabilidades en los sistemas de seguridad informáticos. Puede además avisar a las víctimas de posible cibertataque para reforzar sus sistemas de seguridad y de esta manera prevenir cualquier ataque que ponga en peligro al mismo.
Las piratas de sombrero gris
Se caracterizan por estar constituido por aquellos expertos que realizan cibertataques desde el punto de vista moral e ideológico. Inclusive realizan protestas en la web para la realización de protestas hacktivistas por internet de otros individuos expertos en el área.
Cabe señalar que los hacking ético la mayoría de las veces se ganan la vida a través de la caza de Recompensas de Errores, el cual ocurre cuando grandes empresas importantes en el área tecnológicas como por ejemplo Facebook, Microsoft o Google entre otras, ofrecen recompensas a cualquier hacker ético que descubran agujeros de seguridad dentro de los sistemas informáticos, en las redes o los servicios.
Los Crackers
Están conformados por aquellos hackers catalogados sin ética los cuales se roban la información confidencial de empresas o de personas dejando virus que atacan la seguridad de los sistemas informáticos dejándolos vulnerables a cualquier ciberataque.
¿Es ilegal la actividad de un Hacking Ético?
Desde el punto de vista ético es difícil la delimitación al momento de determinar cuándo un hacker ético es permitido por parte de una organización empresarial probar los sistemas de seguridad informático para cumplir sus funciones con el riesgo a ingresar a información confidencial de la misma, tomando en cuenta el nivel de confianza por parte de la empresa para llevar a cabo sus acciones.
Para este tipo de expertos de sombrero blanco, será difícil determinar su nivel de ética al llevar a cabo un hackeo del sistema para probar la veracidad y fortaleza del sistema con respecto al nivel de permiso obtenido y el riesgo que pueda correr la empresa que delimite sus funciones, a que este pueda pasar a sombrero gris y pueda pasar por encima de la autorización de la empresa para probar sus habilidades como hacker.
Los piratas informáticos utilizan una terminología denominada como Ingeniería Social la cual consiste en una técnica por medio del cual puede engañar a una persona para que la misma deje información personal de carácter confidencial para que los hacker puedan acceder a ella.
Aunque los piratas informáticos de sombreros blanco acostumbran a ingresar a los sistemas informáticos violando su seguridad para probar su vulnerabilidad con la autorización expresada por parte de las compañías, existe el riesgo del ataque de cualquier pirata de sombrero negro que se podría pasar por un tipo de hacker blanco y poner en peligro la información confidencial de una persona o una empresa.
Cuando el Hacker ético de sombrero blanco ingresa a los sistemas informáticos de una empresa empleando los credenciales de una persona de manera ilícita pero con la autorización de una compañía, como por ejemplo información confidencial de clientes o empleados tanto el Hacker ético como la compañía pueden estar realizando la violación de leyes relacionadas a la protección de los datos de las personas.
Otra técnica empleada por parte de las empresas en la contratación de piratas de sombreros blanco, es cuando los mismos incursionar para acceder a los sistemas informáticos de los socios comerciales de la compañía. Esto con la finalidad de no solo de probar y reforzar sus sistemas de seguridad de sus organizaciones empresariales sino también la de sus socios, proveedores o clientes y de esta manera eliminar cualquier vulnerabilidad que la ponga en riesgo.
Existe el riesgo en que el hacker ético pueda realizar una hackeo de los sistemas del socio comercial, proveedor o clientes, aun con la autorización de la empresa contratante para realizarlo y desviarse de los objetivos de los que fue contratado para obtener beneficios personales. Infringiendo las leyes.
Es por esto que una compañía al contratar un hacking ético debe elaborar un contrato por medio del cual se defina las obligaciones de este piratas de sombrero blanco que en esta caso cumplirá la función de auditor del sistema informático de la empresa, en donde se determinará varias cláusulas relacionadas a la confidencialidad de la información de la empresa exigiéndoles al mismo el secreto profesional como medio para la determinación de sus funciones.
Fases del hacking ético
El hacking ético está conformada por siete etapas importantes que mencionamos a continuación:
Auditoría
Esta conformada por las cláusulas de confidencialidad que acuerdan el hacking ético y la expresa contratante.
Proceso de recopilación de la información:
Este procedimiento se basa en la recopilación de la información que comienza a obtener el hacker vinculada a la actividad comercial de la empresa y de sus clientes utilizando todas las herramientas conocidas por él para acceder a la misma. De esta manera tiene a la mano toda la información corporativa relacionada a clientes y empleados.
Modelo de amenazas:
Se basa en la elaboración de un organigrama en la cual el hacker ético presentará a la empresa con la definición acerca de las vulnerabilidades a la que está expuesto los sistemas de seguridad de los programas informáticos de un posible ataque cibernético.
Diagnóstico de vulnerabilidades:
Se trata del análisis de los puertos y sistemas informáticos que forman parte de la empresa, con la finalidad de diagnosticar debilidades del mismo. Para este procedimiento se emplean herramientas manuales y automáticas que ayuden al hacker ético al escaneo para el análisis de las fortalezas y debilidades de los sistemas de seguridad.
Post-explotacion
En este caso el hacker ético informa a la compañía acerca de las debilidades existentes en los sistemas de seguridadinformáticos, y los riesgos que corren la misma si no se lleva a cabo los correctivos inmediatos.
Reporte
En esta última etapa, el hacer ético entrega a la compañía un informe pormenorizado final explicando las debilidades existentes en los sistemas de seguridad informáticos y las posibles alternativas para su solución. En este caso recomienda a la organización empresarial la elaboración de un plan de mitigación de debilidades que permite efectuar las correcciones necesarias en los sistemas con la finalidad de eliminar estas vulnerabilidades.
Si te interesa conocer en profundidad esta materia, te presentamos el Curso Diplomado Online en Hacking Ético y Ciberinteligencia, este Curso es de referencia internacional y es uno de los más completos en su categoría, además pertenece a las principales economías que mueven el mundo y en la actualidad faltan especialistas en esta área.
Conclusiones
Debemos señalar entonces que el hacking ético surge con la finalidad de reforzar los sistemas informáticos de las compañías y evitar el riesgo de ciberatataque por parte de un pirata informático de sombrero negro. Las empresas al otorgar los permisos a los piratas de sombrero blanco pueden correr el riesgo junto al hacker ético de violar leyes vinculadas a la protección de datos de personas.
A pesar de que el hacker ético puede cumplir con sus funciones con responsabilidad y presentar ante la organización empresarial que lo contrató un informe acerca de las fortalezas y debilidades de los sistemas informáticos de la misma, existe la probabilidad que este pirata de sombrero blanco haya infringido la ley el cual no se sabe con certeza si tuvo o no conocimiento del mismo para cumplir con sus trabajo.
Como debemos saber, el hacking cumple la función de analizar tanto los sistemas como los programas informáticos con la finalidad de evaluar la seguridad de los mismos, asumiendo mucha veces el rol de un ciberdelicuente el cual podrá llevar a cabo la simulación de ataques tanto a la empresa contratada así como también a clientes y proveedores en general.
Podemos señalar entonces que el hacking ético nace como medio utilizado por parte de muchas compañías para hacerle frente a los ataque de piratas informáticos de sombrero negros o gris que pudieran poner en peligro la seguridad de los sistemas informáticos.
Podemos señalar que moralmente los servicios que ofrece un hacker están relacionados con las pruebas denominadas como penetración, estas tienen como finalidad analizar si la empresa se encuentra preparada para hacerle frente a un ataque sofisticado provocado por un hacker negro o por un atacante interno que posee conexión a internet.
Las pruebas de penetración están basadas en el análisis de la red interna conformada por las aplicaciones, los servidores, puertos y avenidas de acceso de los sistemas informáticos que puedan correr riesgo de ataque cibernéticos, llevando cabo además la pruebas de contraseña al sistema de seguridad así como también de la red inalámbrica, todo con la finalidad de hallar las vulnerabilidades a la que puede estar expuesto los programas informáticos y sistemas de la compañía.