Es fácil tener la visión simple de que todos los piratas informáticos son malos para causar violaciones de datos e implementar ransomware. Sin embargo, esto no es cierto. Hay muchos hackers malos por ahí. Algunos piratas informáticos utilizan sus habilidades de forma ética y legal. Un “hacker ético” es un hacker que piratea dentro del alcance de un acuerdo legal con el propietario legítimo del sistema.
Consejo: Como lo contrario de un hacker de sombrero negro, un hacker ético a menudo se denomina hacker de sombrero blanco.
El núcleo de esto es una comprensión de lo que hace que la piratería sea ilegal. Si bien existen variaciones en todo el mundo, la mayoría de las leyes de piratería se reducen a "es ilegal acceder a un sistema si no tiene permiso para hacerlo". El concepto es simple. Las acciones de piratería reales no son ilegales; solo lo está haciendo sin permiso. Pero eso significa que se puede otorgar permiso para permitirle hacer algo que de otro modo sería ilegal.
Este permiso no puede provenir de cualquier persona al azar en la calle o en línea. Ni siquiera puede venir del gobierno (
Consejo: Para ser claros, "propietario legítimo del sistema" no se refiere necesariamente a la persona que compró el sistema. Se refiere a alguien que legítimamente tiene la responsabilidad legal de decir; esto está bien para ti. Por lo general, este será el CISO, el CEO o la junta, aunque la capacidad de otorgar permisos también se puede delegar más adelante en la cadena.
Si bien el permiso podría simplemente darse verbalmente, esto nunca se hace. Como la persona o empresa que realiza la prueba sería legalmente responsable de probar lo que se supone que no debe hacer, se requiere un contrato por escrito.
Alcance de las acciones
No se puede exagerar la importancia del contrato. Es lo único que otorga legalidad a las acciones de hackeo del hacker ético. La concesión del contrato da indemnización por las acciones especificadas y contra los objetivos especificados. Como tal, es fundamental entender el contrato y lo que cubre, ya que salirse del ámbito del contrato significa salir del ámbito de la indemnización legal y violar la ley.
Si un hacker ético se desvía del alcance del contrato, está en una cuerda floja legal. Todo lo que hacen es técnicamente ilegal. En muchos casos, tal paso sería accidental y rápidamente autoatrapado. Cuando se maneja adecuadamente, esto puede no ser necesariamente un problema, pero dependiendo de la situación, ciertamente podría serlo.
El contrato ofrecido no necesariamente tiene que ser diseñado específicamente. Algunas compañías ofrecen un esquema de recompensas por errores. Esto implica publicar un contrato abierto, lo que permite que cualquier persona intente piratear éticamente su sistema, siempre que cumpla con las reglas especificadas e informe cualquier problema que identifique. Los problemas de notificación, en este caso, generalmente se recompensan financieramente.
Tipos de Hacking Ético
La forma estándar de piratería ética es la "prueba de penetración" o pentest. Aquí es donde uno o más piratas informáticos éticos se involucran para intentar penetrar las defensas de seguridad de un sistema. Una vez que se completa el compromiso, los hackers éticos, llamados pentesters en este rol, informan sus hallazgos al cliente. El cliente puede utilizar los detalles del informe para corregir las vulnerabilidades identificadas. Si bien se puede realizar trabajo individual y por contrato, muchos pentesters son recursos internos de la empresa o se contratan firmas especializadas en pentesting.
Consejo: Es "pentesting" no "pen testing". Un probador de penetración no prueba bolígrafos.
En algunos casos, probar si una o más aplicaciones o redes son seguras no es suficiente. En este caso, se pueden realizar pruebas más profundas. Un compromiso de equipo rojo generalmente implica probar una gama mucho más amplia de medidas de seguridad. Las acciones pueden incluir la realización de ejercicios de phishing contra los empleados, intentar introducir ingeniería social en un edificio o incluso entrar físicamente. Si bien cada ejercicio del equipo rojo varía, el concepto suele ser mucho más una prueba de "y qué pasaría si" en el peor de los casos. En la línea de "esta aplicación web es segura, pero ¿qué pasa si alguien simplemente entra a la sala del servidor y toma el disco duro con todos los datos?"
Prácticamente cualquier problema de seguridad que podría usarse para dañar una empresa o sistema está teóricamente abierto a la piratería ética. Sin embargo, esto supone que el propietario del sistema concede el permiso y que está dispuesto a pagarlo.
¿Dar cosas a los malos?
Los hackers éticos escriben, usan y comparten herramientas de piratería para facilitarles la vida. Es justo cuestionar la ética de esto, ya que los sombreros negros podrían cooptar estas herramientas para causar más estragos. Sin embargo, siendo realistas, es perfectamente razonable suponer que los atacantes ya tienen estas herramientas, o al menos algo parecido, mientras intentan facilitarles la vida. No tener herramientas y tratar de hacerlo más difícil para los sombreros negros es confiar en la seguridad a través de la oscuridad. Este concepto está profundamente mal visto en la criptografía y en la mayor parte del mundo de la seguridad en general.
Divulgación responsable
Un hacker ético a veces puede tropezar con una vulnerabilidad cuando navega por un sitio web o usa un producto. En este caso, normalmente intentan informarlo de manera responsable al propietario legítimo del sistema. La clave después de eso es cómo se maneja la situación. Lo ético es revelarlo de forma privada al propietario legítimo del sistema para permitirle solucionar el problema y distribuir un parche de software.
Por supuesto, cualquier hacker ético también es responsable de informar a los usuarios afectados por dicha vulnerabilidad para que puedan elegir tomar sus propias decisiones conscientes de la seguridad. Por lo general, un período de tiempo de 90 días a partir de la divulgación privada se considera una cantidad de tiempo adecuada para desarrollar y publicar una solución. Si bien se pueden otorgar extensiones si se necesita un poco más de tiempo, esto no necesariamente se hace.
Incluso si no hay una solución disponible, poder sea ético detallar el tema públicamente. Sin embargo, esto supone que el hacker ético ha tratado de revelar el problema de manera responsable y, en general, que está tratando de informar a los usuarios normales para que puedan protegerse. Si bien algunas vulnerabilidades pueden detallarse con explotaciones de prueba de concepto que funcionan, esto a menudo no se hace si aún no hay una solución disponible.
Aunque esto puede no parecer completamente ético, en última instancia, beneficia al usuario. En un escenario, la empresa está bajo suficiente presión para entregar una solución oportuna. Los usuarios pueden actualizar a una versión fija o al menos implementar una solución alternativa. La alternativa es que la empresa no pueda implementar una solución para un problema de seguridad grave con prontitud. En este caso, el usuario puede tomar una decisión informada acerca de continuar usando el producto.
Conclusión
Un hacker ético es un hacker que actúa dentro de los límites de la ley. Por lo general, el propietario legítimo del sistema los contrata o les otorga permiso para piratear un sistema. Esto se hace con la condición de que el hacker ético informe los problemas identificados de manera responsable al propietario legítimo del sistema para que puedan solucionarse. La piratería ética se basa en "hacer que un ladrón atrape a un ladrón". Al utilizar el conocimiento de los piratas informáticos éticos, puede resolver los problemas que los piratas informáticos de sombrero negro podrían haber explotado. Los hackers éticos también se conocen como hackers de sombrero blanco. También se pueden utilizar otros términos en determinadas circunstancias, como "pentesters" para la contratación de profesionales.