19 Abr ¿Qué es el ethical hacking?
Ethical hacking: solucionar fallos de seguridad y prevenir la cibercriminalidad
El hacking ético ha adquirido una importancia creciente en los últimos años ante el rápido aumento de los casos de ciberdelincuencia. Cada vez más empresas, organizaciones e instituciones buscan expertos en ciberseguridad que puedan testar su propio concepto de seguridad actuando como atacantes reales.
En este artículo, te explicamos cómo funciona el hacking ético, cuáles son sus características principales y cómo se diferencia del hackeo ilegal. Además, te facilitamos una visión general sobre las áreas de aplicación del ethical hacking y las calificaciones especiales que definen a los hackers “buenos”.
¿Qué es el ethical hacking?
Los hackers éticos son expertos en seguridad de la información que irrumpen en los sistemas informáticos por asignación explícita. Esta variante del hacking se considera éticamente justificable debido al consentimiento de la “víctima”. El objetivo del ethical hacking es descubrir las deficiencias de los sistemas e infraestructuras digitales, como, por ejemplo, los errores de software, evaluar los riesgos de seguridad y participar de manera constructiva en la corrección de los fallos de seguridad descubiertos. Una prueba de estrés para la seguridad del sistema puede tener lugar en cualquier momento, a veces incluso después de un hackeo ilegal. Sin embargo, lo ideal sería que los hackers éticos se anticiparan a los ciberdelincuentes y, al hacerlo, evitaran daños mayores.
El hacking ético, también conocido como hacking de sombrero blanco (White-Hat-Hacking), en contraste con el hacking tradicional con motivos criminales, se centra en las debilidades de programación y en el diseño conceptual de software (bugs). Para las pruebas de seguridad, el foco está puesto, entre otras cosas, en las aplicaciones web y la seguridad web. Además del software, en el proceso de pruebas de seguridad del sistema puede integrarse cualquier hardware que se utilice.
Para dichas pruebas de seguridad, los sombreros blancos utilizan tanto herramientas disponibles gratuitamente en Internet, desarrolladas por terceros (por ejemplo, la versión gratuita de Burp Suite), como programas desarrollados por ellos mismos. Estos últimos sirven para descartar fallos de seguridad y manipulaciones del código de los programas utilizados. El ethical hacking suele dar lugar a un código malicioso concreto (secuencias de comandos individuales o programas de tamaño reducido), que se denomina exploit. Este código especial aprovecha los errores o debilidades encontrados en el sistema con el fin de desencadenar un cierto comportamiento en el software, el hardware u otros dispositivos electrónicos.
La característica principal del hacking ético se encuentra en el método utilizado: el profesional contratado debe garantizar la máxima transparencia e integridad, especialmente cuando se trata de proteger, mediante el ethical hacking, áreas sensibles como secretos de empresa y comerciales y los datos confidenciales de los clientes. En estos procesos, el cliente debe estar al tanto de toda la información relevante recogida por el ethical hacker. El uso o la transmisión ilícitos de secretos comerciales y otros datos sensibles no están permitidos bajo ninguna circunstancia.
La transparencia también incluye la obligación de documentar, de forma detallada y completa, el procedimiento que se ha seguido, los resultados que se han obtenido y cualquier otra información relevante sobre el proceso de hackeo. Estos informes también pueden contener recomendaciones concretas para tomar medidas, como, por ejemplo, la eliminación de malware o la creación de una estrategia de honeypot. Los hackers éticos también deben cuidar de no dejar puntos débilesen el sistema que los ciberdelincuentes puedan aprovechar en otro momento.
Las empresas u organizaciones que contratan a un servicio de hacking ético, tienen la posibilidad de protegerse legalmente. La mejor opción es celebrar un acuerdo escrito antes de comenzar las pruebas de penetración en el que se detalle el alcance de estas últimas, los requisitos legales, las expectativas y las partes involucradas. El hacking ético lleva varios años intentando lograr un marco legal en España, siendo el hackeo, por definición, ilegal. Hay varios y diferentes puntos de vista sobre la legalización del hacking ético. En el artículo 197.3 del Código Penal español, la entrada a un sistema informático ajeno es considerado delito informático, sin distinción entre las razones que determinen la acción. Por esta razón es importante, en las prácticas de auditoría de la seguridad, firmar un acuerdo escrito. El EC-Council, líder mundial en programas de certificación de seguridad cibernética para hackers éticos, ha establecido un código práctico de ética para este propósito.
¿Cuál es la diferencia entre el hacking ético y el hackeo?
Las principales diferencias entre el hackeo ético y el malicioso son su fundamento ético y las condiciones básicas y generales del hacking mismo. El ethical hacking tiene por objeto proteger las infraestructuras digitales y los datos confidenciales de los ataques externos y contribuye constructivamente a mejorar la seguridad de la información.
Por el contrario, el hacking que todos conocemos se centra en objetivos destructivos, es decir, en la infiltración y, posiblemente incluso, en la destrucción de los sistemas de seguridad. Pero otras motivaciones también se colocan en el centro de la mayoría de los ataques de hacking. A menudo, el enriquecimiento personal o la adquisición y el espionaje de datos confidenciales, se sitúan en el foco de atención de los piratas informáticos. La mayoría de los ataques de hacking van acompañados de acciones criminales como la extorsión, el espionaje industrial o la parálisis sistemática de la infraestructura del sistema, incluso a gran escala. Hoy en día, los ataques destructivos son llevados a cabo cada vez más por organizaciones delictivas que operan a nivel mundial y que, por ejemplo, utilizan redes de bots en todo el mundo para ataques DDOS. Además, la característica principal de los piratas es que difícilmente se les da captura.
En un primer momento, esta distinción parece obvia e intuitiva. Sin embargo, si se examina más de cerca, hay casos límite. Por ejemplo, los hackers con motivación política pueden perseguir objetivos ético-constructivos, pero también destructivos. De hecho, en función de los intereses y las opiniones personales o políticas, se puede hacer una evaluación diferente y, en consecuencia, un hackeo puede considerarse ético o no ético. Por ejemplo, la intrusión encubierta de las autoridades de investigación y los servicios secretos del Estado en los sistemas informáticos de particulares, autoridades públicas u otros Estados ha sido objeto de un fuerte debate durante varios años.
El border crossing es también una forma de hacking ético que se orienta al bien común y a la mejora de la ciberseguridad, pero, al mismo tiempo, se produce de forma no solicitada y sin el consentimiento y conocimiento del objetivo final.
Por lo tanto, la cuestión ética debe separarse, al menos en parte, de la jurídica, ya que las operaciones de piratería informática impulsadas por nobles ideales o motivaciones se llevan a cabo siempre moviéndose en una zona gris de la ley, en el filo de la navaja entre la legalidad y la ilegalidad.
Desde una perspectiva puramente técnica, es aún más difícil distinguir entre el ethical hacking y el hacking con fines delictivos. Técnicamente, el hacking de sombrero blanco utiliza los mismos conocimientos y las mismas técnicas y herramientas que los delincuentes informáticos para detectar las debilidades del hardware y el software de una estructura informática, lo que hace más difícil diferenciar a los hackers éticos de los que no lo son.
Por ello, la línea que separa ambos paradigmas es bastante borrosa y, ciertamente, no es una coincidencia que muchos jóvenes cibercriminales puedan convertirse, con el pasar de los años, en respetados consultores de seguridad y líderes de pensamiento en la industria. También hay críticos que rechazan fundamentalmente las motivaciones éticas como criterio de distinción y opinan que el hacking, independientemente de las razones por las que se cumple, se ha de condenar.
Sin embargo, esta posición ignora los efectos positivos y la práctica a menudo útil y necesaria del hacking ético. Por ejemplo, hasta mayo de 2018, la comunidad de la plataforma de seguridad cibernética internacionalmente reconocida HackerOne ha eliminado más de 72 000 fallos de seguridad en más de 1000 empresas. Es más, según el Hacker-Powered Security Report de 2018, el número total de fallos de seguridad críticos reportados aumentó en un 26 por ciento solo en 2017. Estas cifras muestran que el hackeo de sombrero blanco es una herramienta importante y fiable en la lucha actual contra la cibercriminalidad.
¿En qué áreas se aplica el ethical hacking?
Los hackers éticos suelen ser contratados por organizaciones, gobiernos y empresas (por ejemplo, empresas tecnológicas e industriales, bancos, compañías de seguros) para buscar fallos de seguridad y errores de programación (bugs). En estos ámbitos, normalmente se utiliza la experiencia de los sombreros blancos para realizar los llamados penetration tests.
En estas pruebas de penetración o pentests, el ethical hacker se cuela en un sistema informático de manera selectiva y muestra posibles soluciones para mejorar la seguridad informática. Normalmente, se hace una distinción entre las pruebas de penetración realizadas eninfraestructuras de TIC y las de aplicaciones web. Las primeras prueban y analizan sistemas de servidores, redes Wi-Fi, acceso VPN y cortafuegos, por ejemplo. En el ámbito de las aplicaciones web, un pentest se encarga de examinar los servicios de red, los sitios web (por ejemplo, las tiendas web), los portales de administración de clientes o los sistemas de vigilancia de servidores y servicios. Una prueba de penetración puede realizarse a nivel de red y de aplicaciones.
Entre las otras pruebas de rutina realizadas en el ethical hacking, se incluyen la detección de puertos abiertos mediante escaneos de puertos, la verificación de la seguridad de los datos de pago (datos de tarjetas de crédito), los inicios de sesión y las contraseñas y la simulación de ataques a través de la red. Dado que para estas pruebas se suele utilizar el protocolo TCP/IP, también se denominan pruebas de penetración basadas en IP. En las pruebas de penetración, los sistemas se comprueban a menudo para ver si los virus o troyanos infiltrados pueden capturar datos sensibles de la empresa (secretos de empresa, patentes técnicas, etc.). Estas estrategias pueden complementarse con técnicas de ingeniería social, que tienen en cuenta el factor humanode riesgo y examinan explícitamente el comportamiento de los empleados en un concepto de seguridad.
Hoy en día, todavía hay incertidumbre en España con respecto a las directivas del ethical hacking. Por esta razón, los estándares a los que los profesionales se refieren son exclusivamente internacionales, como son el PTES, el OSSTMM y el OWASP.