Si quisiéramos saber si nuestro sistema de gestión de seguridad de la información es seguro, lo ideal sería tratar de reventarlo. Es como blindar un vehículo y, luego, disparar contra él para comprobar que el blindaje es efectivo.
En las grandes compañías, sobre todo, empresas tecnológicas o con un nivel de digitalización elevado es habitual que contraten a hackers éticos, o sea, a piratas informáticos de «sombrero blanco», los cuales irrumpen legalmente en las entrañas del sistema informático con el objetivo de encontrar sus vulnerabilidades, aquellas que podrían ser explotadas por los hackers de «sombrero negro».
La infiltración en la organización de hackers éticos brinda a sus responsables una oportunidad única de diseñar parches de seguridad, antes de que pueda ocurrir un ciberataque real.
Para detectar las debilidades o vulnerabilidades del sistema se ejecutan ciberataques simulados en un entorno controlado mediante herramientas de prueba como Metasploit, Netsparker y OpenVAS.
Perfiles
No hay un perfil único ni ideal, pero está claro que el hacker ético ha de ser una persona resolutiva, inquieta, autodidacta y que no se rinda fácilmente ante la adversidad.
Un hacker ético debe dominar las herramientas de ataque actuales, incluidas las tácticas de ingeniería social. Asimismo, tendrá un conocimiento profundo de los sistemas operativos, del funcionamiento de los cortafuegos y de las redes, software, herramientas y metodologías propias de la organización.
Un buen hacker ético no deja nunca de aprender y es que las herramientas de seguridad están en constante evolución, así como las tácticas de los ciberataques. Debe intentar profundizar en conceptos de hacking, evaluación de vulnerabilidades, pruebas de penetración, inyecciones de SQL, etc.
Obligaciones y responsabilidades
Un hacker ético únicamente intervendrá con la autorización escrita del responsable de la organización, para ello se elaborará el oportuno contrato de prestación de servicios, en el que se delimitarán las responsabilidades del hacker ético, entre las que destaca el deber de confidencialidad.
Su trabajo concluirá con un informe escrito, en el que advertirá sobre las posibles vulnerabilidades del sistema, proponiendo soluciones técnicas para tratar de remediarlas o solventarlas, y si no es posible, al menos, tratar de mitigar los efectos en caso de ciberataque.
Beneficios
El beneficio más obvio del hacking ético es su potencial para informar, mejorar y defender el sistema de seguridad.
Quizá su contratación no esté al alcance de cualquiera, por la escasez de buenos profesionales, pero es una profesión con mucho futuro, aunque asociarlos al término «hacker» no ayuda a su aceptación.
El término «hacker» se asocia, rápidamente, a ciberdelincuentes con un objetivo malicioso, ya sea el sabotaje, el espionaje industrial, la extorsión o el robo de información. Me gusta más «ciberexperto».
