El hacking ético (también conocido como hacking de sombrero blanco) se ha convertido en una forma esencial para que las empresas identifiquen y aborden las exposiciones a la ciberseguridad.
En este glosario de hacking ético, Redscan, especialistas británicos en ciberseguridad, describe esta práctica como "la identificación y explotación de vulnerabilidades de ciberseguridad en entornos informáticos con fines legítimos y no maliciosos".
El hacking ético es lo contrario del hacking de "sombrero negro", el tipo de hacking que aparece en los titulares de las noticias por razones equivocadas. El hacking de sombrero negro es un delito, y aunque el hacking ético puede implicar técnicas similares, normalmente lo lleva a cabo una empresa profesional contratada para realizar pruebas y se adhiere a los estándares más exigentes.
¿Qué hace que el hacking ético sea "ético"? Veamos cómo el hacking ético puede ayudar a proteger a las empresas de los ataques, así como las formas de asegurarse de que trabaja con auténticos hackers éticos.
Realizado con consentimiento
El hacking ético se realiza siempre con consentimiento. Aunque el objetivo de los compromisos es reproducir con precisión las tácticas, técnicas y procedimientos utilizados por los ciberdelincuentes, nunca está diseñado para ser malicioso y pretende evitar daños y trastornos a las empresas. Antes de llevar a cabo una evaluación, una empresa de ciberseguridad profesional se asegurará de que existe un acuerdo formal que defina claramente el alcance de las evaluaciones y defienda la confidencialidad del cliente.
Realizado por expertos
El hacking ético debe ser realizado siempre por profesionales formados que conozcan las últimas herramientas y técnicas de hacking y realicen las evaluaciones de acuerdo con las normas técnicas, legales y éticas más estrictas.
Busque organizaciones que cuenten con las certificaciones de hacking ético adecuadas: uno de los organismos de acreditación más conocidos y reconocidos es CREST. También es aconsejable buscar empresas que tengan personal certificado en una amplia gama de disciplinas de hacking ético; esto demuestra la capacidad de la organización para realizar una amplia gama de evaluaciones.
Realizado por consultores con habilitación de seguridad
Al encargar una evaluación de hacking ético, es importante tener plena confianza en las personas implicadas. Cuando una prueba de penetración implica el acceso a información altamente confidencial y/o clasificada, las empresas pueden considerar salvaguardas adicionales, como el uso de probadores con autorización de seguridad de alto nivel.
Realizado conforme a la legislación vigente
Hay muchos aspectos legales que deben tenerse en cuenta cuando se lleva a cabo un hacking ético. En el proceso normal de un encargo, los probadores pueden acceder a datos muy sensibles. Para lograr un objetivo acordado, pueden tener la necesidad de filtrar esta información.
Una empresa de hacking ético profesional tendrá en cuenta las cuestiones legales descritas en la legislación, incluidas las leyes de países/estados específicos y reglamentos como el GDPR.
A la hora de programar cualquier forma de hacking ético, es aconsejable consultar al equipo jurídico de su organización para asegurarse de que las pruebas se mantienen dentro de lo permitido por la ley. Aunque ningún hacker ético pretende causar daños o interrupciones, la realización de pruebas en sistemas en funcionamiento conlleva riesgos inherentes.
Realizado con transparencia
Es esencial que las evaluaciones de hacking ético sean lo más transparentes posible. Un hacker ético siempre compartirá los hallazgos y ofrecerá consejos de corrección para garantizar que las vulnerabilidades se informen y aborden. Deben estar localizables a lo largo de los compromisos y proporcionar informes escritos claros para resumir los hallazgos y las recomendaciones.
Hay que tener en cuenta muchas cosas a la hora de encargar un hacking ético para su empresa. En cualquier caso, es una buena idea trabajar con un proveedor con mucha experiencia que esté dispuesto a explicarle los riesgos y garantizar que todo el proceso se lleva a cabo de la forma más segura posible y ofrece resultados tangibles.
Biografía del autor
Mike James es un escritor afincado en Brighton y profesional de la ciberseguridad especializado en pruebas de penetración, hacking ético y otros problemas de ciberseguridad a los que se enfrentan empresas de todos los tamaños.