Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Hacking ético

Si quisiéramos saber si nuestro sistema de gestión de seguridad de la información es seguro, lo ideal sería tratar de reventarlo. Es como blindar un vehículo y, luego, disparar contra él para comprobar que el blindaje es efectivo.

En las grandes compañías, sobre todo, empresas tecnológicas o con un nivel de digitalización elevado es habitual que contraten a hackers éticos, o sea, a piratas informáticos de «sombrero blanco», los cuales irrumpen legalmente en las entrañas del sistema informático con el objetivo de encontrar sus vulnerabilidades, aquellas que podrían ser explotadas por los hackers de «sombrero negro».

La infiltración en la organización de hackers éticos brinda a sus responsables una oportunidad única de diseñar parches de seguridad, antes de que pueda ocurrir un ciberataque real.

Para detectar las debilidades o vulnerabilidades del sistema se ejecutan ciberataques simulados en un entorno controlado mediante herramientas de prueba como Metasploit, Netsparker y OpenVAS.

Perfiles

No hay un perfil único ni ideal, pero está claro que el hacker ético ha de ser una persona resolutiva, inquieta, autodidacta y que no se rinda fácilmente ante la adversidad.

Un hacker ético debe dominar las herramientas de ataque actuales, incluidas las tácticas de ingeniería social. Asimismo, tendrá un conocimiento profundo de los sistemas operativos, del funcionamiento de los cortafuegos y de las redes, software, herramientas y metodologías propias de la organización. 

Un buen hacker ético no deja nunca de aprender y es que las herramientas de seguridad están en constante evolución, así como las tácticas de los ciberataques. Debe intentar profundizar en conceptos de hacking, evaluación de vulnerabilidades, pruebas de penetración, inyecciones de SQL, etc.

Obligaciones y responsabilidades

Un hacker ético únicamente intervendrá con la autorización escrita del responsable de la organización, para ello se elaborará el oportuno contrato de prestación de servicios, en el que se delimitarán las responsabilidades del hacker ético, entre las que destaca el deber de confidencialidad.

Su trabajo concluirá con un informe escrito, en el que advertirá sobre las posibles vulnerabilidades del sistema, proponiendo soluciones técnicas para tratar de remediarlas o solventarlas, y si no es posible, al menos, tratar de mitigar los efectos en caso de ciberataque. 

Beneficios

El beneficio más obvio del hacking ético es su potencial para informar, mejorar y defender el sistema de seguridad.

Quizá su contratación no esté al alcance de cualquiera, por la escasez de buenos profesionales, pero es una profesión con mucho futuro, aunque asociarlos al término «hacker» no ayuda a su aceptación.

El término «hacker» se asocia, rápidamente, a ciberdelincuentes con un objetivo malicioso, ya sea el sabotaje, el espionaje industrial, la extorsión o el robo de información. Me gusta más «ciberexperto».

EuskaraCatalàGalegoPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).