La frase "hacking ético" fue utilizada por primera vez en 1995 por el Vicepresidente de IBM John Patrick, pero el concepto existe desde hace mucho más tiempo. Muchos argumentarían que el hacking ético es el objetivo de la mayoría de los hackers, pero la percepción actual de los medios es que los hackers son delincuentes. Para entender la verdad un poco mejor tenemos que echar un vistazo a la historia del hacking ético.
Los orígenes del hacker
La historia del hacking ético es en realidad la historia del hacking. Dada la imagen actual de los hackers como ciberdelincuentes y ladrones, es difícil imaginar que la palabra "hacker" tenga algo más que connotaciones negativas. Pero ser hacker no siempre ha sido malo. De hecho, la palabra surgió en su contexto moderno en el renombrado Instituto Tecnológico de Massachusetts (MIT).
En los años 60, los estudiantes de ingeniería utilizaban el término "hacking" para referirse simplemente a la búsqueda de formas de optimizar sistemas y máquinas para que funcionaran con mayor eficacia. El hacking era una actividad creativa llevada a cabo por algunas de las personas más brillantes del mundo. Y es interesante señalar que la idea del hacker ético es en realidad anterior a la del hacker criminal.
Phreakers y equipos tigre
Fue durante la década de 1970 cuando las aguas empezaron a enturbiarse. Con la creciente popularidad de los ordenadores, las personas que entendían de sistemas y lenguajes de programación empezaron a ver las posibilidades de probar esos sistemas para comprender sus capacidades.
También fue la época en la que el "phreaking" empezó a ganar notoriedad. El "phreaking" se refiere a la práctica de manipular los sistemas de telecomunicaciones. Los "phreakers" empezaron a comprender la naturaleza de las redes telefónicas. Muchos individuos eran capaces de utilizar dispositivos que imitaban los tonos de marcación para enrutar sus propias llamadas, lo que les permitía hacer llamadas gratis, en concreto, llamadas de larga distancia muy caras. Podría decirse que ésta fue una de las primeras veces que la piratería informática fue utilizada con fines ilegales por un gran número de personas.
Simultáneamente, sin embargo, gobiernos y empresas empezaban a ver las ventajas de contar con expertos técnicos que buscaran activamente los puntos débiles de un sistema por ellos, lo que les permitía resolver esos problemas antes de que pudieran ser explotados. Estos equipos se conocían como "equipos tigre" y el gobierno estadounidense estaba especialmente interesado en utilizarlos para reforzar sus defensas.
El auge del hacker de sombrero negro
En las décadas de 1980 y 1990, el término hacker empezó a asociarse casi exclusivamente con actividades delictivas. La asombrosa popularidad del ordenador personal como herramienta tanto para empresas como para particulares significaba que muchos datos y detalles importantes se almacenaban ahora no en forma física, sino en programas informáticos. Los hackers empezaron a ver las posibilidades de robar información que luego podían vender o utilizar para estafar a las empresas.
El pirateo informático estaba adquiriendo un perfil en los medios de comunicación, y no positivo. Se consideraba a los hackers delincuentes, intrusos digitales, que utilizaban sus habilidades para acceder a ordenadores privados, robar datos e incluso chantajear a las empresas para que entregaran grandes sumas de dinero. Este tipo de hackers son los que hoy conocemos como hackers de sombrero negro: están puramente interesados en utilizar sus habilidades con fines maliciosos y a menudo están relacionados con una serie de actividades delictivas diferentes. Los hackers de sombrero negro acaparan la mayor parte de la atención mediática, y en los últimos años se han producido hackeos de gran repercusión en empresas enormes como eBay y Sony.
Ciberdelincuentes modernos y sofisticados
Se calcula que cada día se piratean más de 30.000 sitios web, lo que demuestra la magnitud de la piratería moderna y cómo puede afectar a empresas de todos los tamaños. Los piratas informáticos van desde "script kiddies" inexpertos que utilizan herramientas de pirateo escritas por otros hasta sofisticados ciberdelincuentes modernos que no se detendrán ante nada para conseguir lo que quieren.
Aunque podamos pensar que los hackers operan exclusivamente desde detrás de las pantallas de sus ordenadores, también es cierto que los hackers de sombrero negro buscarán métodos alternativos para romper los sistemas. Estos métodos pueden incluir desde el descifrado de contraseñas hasta el uso de formas de ingeniería social en las que se puede engañar a las víctimas para que entreguen datos personales o información confidencial de la organización.
El renacimiento del hacker ético
A medida que los piratas informáticos se han vuelto más inteligentes y persistentes, se ha vuelto cada vez más importante para las empresas disponer de defensas adecuadas contra ellos. Por ello, las empresas de ciberseguridad utilizan cada vez más el concepto de hacking ético para combatir el problema.
El hacking ético se ha convertido en algo habitual, e incluso es posible obtener el título de hacker ético certificado. Esta práctica también se conoce como hacking de sombrero blanco y consiste en utilizar las mismas técnicas que los hackers de sombrero negro para romper las ciberdefensas. La diferencia es que cuando un hacker de sombrero blanco ha puesto en peligro esas defensas, informa a la empresa de cómo lo ha conseguido para que se pueda solucionar la vulnerabilidad.
Algunos de los hackers éticos más hábiles y con más éxito empezaron como hackers de sombrero negro. Por ejemplo, Kevin Poulsen, que ahora es un respetado periodista, ingresó en prisión por piratear la línea telefónica de un concurso de una emisora de radio, lo que le permitió ganar un Porsche 944 S2. Desde su puesta en libertad, ha utilizado sus habilidades para descubrir actividades ilícitas en Internet.
Cómo pueden ayudar los hackers éticos a las empresas
Es fácil ver cómo las empresas pueden beneficiarse del uso de hackers éticos. Un hacker de sombrero blanco puede imitar un auténtico ciberataque que los hackers de sombrero negro intentarían llevar a cabo utilizando todas las mismas estrategias que utilizaría un ataque real. Si las defensas de una empresa tienen un punto débil, el hacker ético podrá exponerlo para que se pueda solucionar antes de que se produzca un ataque real.
Técnicas de hacking ético
Por lo general, los hackers éticos requieren un cierto nivel de secretismo para llevar a cabo su trabajo correctamente, lo que significa que normalmente serán contratados directamente por la dirección de las empresas sin el conocimiento de su personal o equipos de ciberseguridad. Este secretismo permite a un hacker de sombrero blanco trabajar del mismo modo que lo haría un hacker de sombrero negro. Utilizan una serie de técnicas para intentar burlar el sistema. Naturalmente, esto implicará pruebas de penetración, en las que utilizarán sus conocimientos de codificación y vulnerabilidades conocidas para intentar obtener acceso. Al igual que los hackers de sombrero negro, los hackers éticos intentarán utilizar el descifrado de contraseñas, así como la ingeniería social.
Aquí encontrará más recursos sobre piratería informática:
- Ayuda Net Security: Historia del hacking
- Instituto InfoSec: Ingeniería Social: Una historia de hacking
Sobre el autor
Mike James es un redactor de contenidos independiente que colabora con Redscan, especialistas en prevención de ciberamenazas.