Si quisiéramos comprobar si nuestro sistema de seguridad de la información es realmente seguro, lo mejor sería intentar reventarlo. Es como blindar un coche y luego probar su resistencia disparándole.
En organizaciones con un elevado nivel de digitalización es habitual contratar a hackers éticos, es decir, a especialistas en ciberseguridad de «sombrero blanco», quienes acceden legalmente al núcleo del sistema informático con el objetivo de encontrar vulnerabilidades que podrían ser explotadas por los hackers de «sombrero negro».
Los ciberataques simulados, conocidos como «pruebas de penetración» (pentesting) se ejecutan en entornos controlados con herramientas específicas.
La contratación de hackers éticos proporciona a los responsables de la organización una oportunidad única para desarrollar actualizaciones (parches) y medidas de seguridad preventivas, antes de que se produzca un ciberataque real.
Aunque el término «hacker ético» es ampliamente usado, no contribuye a su aceptación, y es que el término «hacker» se suele asociar a ciberdelincuentes con un objetivo malicioso, ya sea el sabotaje, el espionaje industrial, la extorsión o el robo de información. Por ello, son preferibles denominaciones como «especialistas en ciberseguridad ética» o «ciberexpertos».
Perfiles
No existe un perfil único para convertirse en hacker ético, pero es evidente que debe ser una persona resolutiva, curiosa, autodidacta y perseverante ante los desafíos. Además, requiere un fuerte sentido ético y una comprensión profunda de las implicaciones legales y morales de su trabajo.
Un hacker ético debe dominar las últimas herramientas de ataque, incluidas las tácticas de ingeniería social y el uso de la inteligencia artificial en ciberseguridad. Asimismo, debe poseer un conocimiento profundo de sistemas operativos, firewalls, redes, software, herramientas y metodologías específicas de la organización.
La formación continua es clave, ya que las herramientas de seguridad evolucionan rápidamente junto con las tácticas de los ciberataque.
Obligaciones y responsabilidades
Un hacker ético solo intervendrá con la autorización del responsable de la organización. Para ello, se elaborará un contrato de prestación de servicios, en el que se delimitará el alcance de la intervención, las responsabilidades y las obligaciones (como el deber de confidencialidad).
Su trabajo concluirá con un informe escrito, en el que detallará las vulnerabilidades detectadas en el sistema, proponiendo soluciones técnicas para eliminarlas, y, si no es posible eliminarlas, al menos, tratar de mitigar sus efectos en caso de un ciberataque.
Conclusión
En un mundo donde los ciberataques crecen exponencialmente, esta práctica se ha convertido en una necesidad imperiosa para organizaciones de todos los tamaños.
