Yeshua Ordaz/Milenio
MÉXICO, D.F.- La palabra hacker está siempre asociada a la figura de un delincuente que busca entrar a nuestra computadora o de alguna institución privada o gubernamental para obtener un beneficio monetario, como protesta o diversión.

Sin embargo, un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque también se aplica a alguien con un conocimiento avanzado de computadoras y de redes informáticas.

De ahí surge el hacking ético, una persona que utiliza sus conocimientos para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño. La idea es tener el conocimiento de cuáles elementos dentro de una red son vulnerables y corregirlos antes de que ocurra robo de información o daño al sistema.

Un ejemplo de esto es la recompensa que Google ofreció a los hackers que encontraran fallos en su servicio en la nube, que ascendía a 50 mil dólares para descubrir vulnerabilidades. También se conoce el caso de Laxman Muthiyah un joven que pudo haber eliminado cualquier fotografía de Facebook; sin embargo, en lugar de aprovecharse de esto lo reportó y obtuvo una recompensa.

Cuanto mayor sea el volumen de aplicaciones informáticas expuestas a internet, la dependencia de la tecnología o la necesidad de confidencialidad de la información gestionada, mayor es el riesgo de un ataque informático que produzca un robo de información o fraude, por lo que las empresas necesitan contratar hackers periódicamente para proteger sus sistemas informáticos.

Sebastian Bornik, gerente de Investigación y Tecnología de ESET, comentó que un proceso de hacking ético sirve para identificar qué incidentes podrían ocurrir antes de que sucedan y, posteriormente, reparar o mejorar el sistema, de tal forma que se eviten estas amenazas.

“Otro caso donde se pone el juicio de la desinformación tiene que ver con la palabra hacker, que se relaciona con el atacante informático. Esta palabra tiene que ver más con la cultura del hacking que está relacionada a otro concepto”, comentó el representante de ESET.

Hacia 2014, la Real Academia de la Lengua Española agregó a su diccionario la palabra hacker y la define erróneamente como pirata informático. Por lo que indica se debe de nombrar a estas personas como delincuentes o atacantes informáticos.

El gerente de investigación y tecnología comentó que ESET brinda este servicio de hacking ético, y que es bastante común en Argentina, sin embargo mencionó que en México también hay algunas empresas que brindan este servicio.

De acuerdo con TechTarget, sitio de tecnologías de la información, existen diferentes estrategias de pruebas de penetración. Las hay orientadas a un objetivo, estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración.

Otras son las comprobaciones externas, y son dirigidas a los servidores o dispositivos de la compañía que son visibles externamente. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Las pruebas internas simulan un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar, y es útil para estimar la cantidad de daño que un empleado que quisiera afectar a la empresa podría causar.

También existen las llamadas pruebas a ‘ciegas’, que simulan las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba.

Existe otra prueba llamada a “doble ciego”, y en la que solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba y son útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

Blanco y negro

Roberto Martínez, analista de Seguridad para Kaspersky Lab, explica que si un hacker trabajaba de manera profesional se le consideraba como de “sombrero blanco”, pero si era uno que no seguía las reglas o realizaba acciones sin autorización se le consideraba “sombrero negro”.

“La gente se formó una idea de lo que era un hacker de acuerdo a las películas o programas de televisión, después de eso comenzó a darles un status de mayor profesionalidad y es cuando aparece este concepto de hacking ético que incluso apareció en certificaciones.

La seguridad se divide en ofensiva y defensiva, realmente lo que existe son profesionales en seguridad ofensiva que bajo contrato y la petición de una asociación le permite verificar su seguridad desde la óptica de un atacante.

El analista comentó, que en Kaspersky realizar estas pruebas de penetración como una etapa preventiva. para ayudar a las empresas a identificar las vulnerabilidades y explicó que hay muchas empresas que hacen estas pruebas sin permiso; sin embargo, eso puede ser considerado como un delito, por lo que es necesario hacer un contrato en el que se establezcan los alcances de la prueba.

“Es importante que la empresas que quiera hacer esto verifiquen quién le va a brindar el servicio, se dio un boom en la industria y hay muchos tutoriales con herramientas para hacerlo. Hay muchos profesionales y muchas empresas pequeñas con herramientas, pero no hay una experiencia o perspectiva de fondo que permita hacer las pruebas con el fin que se está persiguiendo que es proteger la organización”.

Juan Pablo Castro, director de Innovación Tecnológica de Trend Micro México, comentó que el hacking ético es una de las ramas de la ciberseguridad y ellos se enfocan más en la defensa, pero en México hay varias empresas pero Brasil siempre va a la vanguardia, y está a la par de Colombia.

“Hay muchas empresas que lo hacen, incluso consultoras importantes, más que por el hackeo por evaluar la seguridad del cliente, si es penetrable o no, para poder remediarlo. Muchas veces después de un hackeo ético nos llaman para ver cómo lo podamos solucionar”.

El director de innovación comentó que existen varios tipos de hacking ético, unos en los cuales se le avisa a la empresa que se van a realizar, otros en los que no hay aviso o alguien de la empresa lo sabe, pero no todos, para ver cómo responderían ante un ataque en la vida real, además de lo que solicitan las propias empresas.

“Hay un tema con el hacking ético o las pruebas de penetración como se les conoce, el gran problema es que es una foto, no lo estás haciendo todos los días y la superficie de ataque cambia tan rápido que el hacking ético pierde relevancia a los tres días de hacerlo por una cuestión de infraestructura”.

Lo que se necesita es un monitoreo continuo o un hacking ético continuo, porque además son muy difíciles de hacer, “por eso nuestro enfoque es diferente: detectar, analizar y prevenir”, explicó.

El problema del hacking ético es que al otro lado del monitor hay una persona que muchas veces no es un atacante y las motivaciones no son las mismas, lo que va a buscar son cosas completamente diferentes.

Las empresas muchas veces hacen estas pruebas de penetración y las pasan, pero la pregunta es y los proveedores, hay que pensarlo de otra manera, no es que sean obsoletas pero necesitan ser complementadas rápidamente.

Premio 

• En 2011, Facebook contrató a George Hotz, conocido com GeoHot, quien hackeó al PlayStation 3 y el iPhone. Después trabajó con Google.

Destaca

• Apple sumó a su nómina a Nicholas Allegra, alias Comex, quien creo un sitio para modificar los dispositivos con iOS y acceder a más funciones.

Logro

• Steve Kondik, Cyanogen, creó un programa para acceder a funciones de administrador en Android y fue contratado por Samsung.