Descargar el artículo
¿Qué es un Hacker Ético?
En una de mis colaboraciones anteriores hablaba del Pentest, es decir, las pruebas de penetración que permiten medir el nivel de seguridad de tu sistema que ayudan a medir cuáles son los riesgos que tienes, para de esa forma disminuirlos. Algo vital en este proceso es que un Pentest tiene que ser llevados por un hacker ético, es decir uno que conozca todos los métodos usados por cibercriminales para de esa forma pueda tener un mayor plano de los riesgos en tu sistema.
Para poder explicar este tema acudí a dos expertos en seguridad, a quienes escribí un mensaje dirigido a sus agencias de relaciones públicas para fueran ellos mismos los que nos resolvieran esta duda. Por ta motivo dejo sus respuestas para que todos estemos en el mismo contexto:
Roberto Martínez
Analista de Seguridad del Equipo Global de Investigación y Análisis de América Latina en Kaspersky Lab. Mi primer entrevistado fue Roberto Martínez de Kaspersky, quien me explicó lo siguiente: “Se conoce como hackeo ético a la realización de actividades de Seguridad Ofensiva por parte de un Profesional en Seguridad Informática con las habilidades necesarias para hacerlo; esto es de manera legal, sin fines mal intencionados y con la autorización de la compañía que lo solicita mediante un contrato en donde se establecen claramente las reglas y los alcances de las pruebas a realizar”.El ejecutivo de Kaspersky menciona que el objetivo de hacer estas pruebas es con el fin dedetectar potenciales vulnerabilidades o fallas de seguridad en la Infraestructura, páginas web o aplicaciones de una compañía y de esta manera implementar las medidas de protección necesarias antes de que un hacker malintencionado o con algún motivo en particular logre aprovecharse de ellas y comprometa la seguridad de la organización.
Camilo Gutiérrez Amaya
Head of Awareness & Research de ESET Latinoamérica Mi segundo entrevistado, fue de la firma ESET, el ejecutivo Camilo Gutiérrrez. Camilo me mencionó que estas pruebas permite determinar situaciones internas y externas: “El interno permite detectar vulnerabilidades y cuál es el impacto real luego de la explotación de las mismas desde una perspectiva interna a la organización. Específicamente, se evalúan los
recursos internos de la compañía. Cuando este análisis se hace de forma externa, se adopta la visión que tendría un atacante desde el exterior de la organización. Esto permite evaluar la seguridad perimetral y cuál es el impacto real sobre la compañía luego de la explotación de aquellas vulnerabilidades detectadas”. Asimismo, me explicó que cuando se habla de hacer pruebas de hacking ético en una empresa, se involucran las siguientes etapas:
- Obtener una fotografía del estado de la seguridad que la organización, sistema u host objetivo en un momento determinado.
- Visualizar la compañía desde el punto de vista del atacante, localizando debilidades, vulnerabilidades y puntos de acceso no autorizados.
- Comprobar el verdadero impacto de las vulnerabilidades en el entorno particular de cada organización.
- Comprobar si el nivel de protección existente condice con la política de seguridad establecida por la organización.
- Comprobar la efectividad de las medidas de protección, políticas y procesos de detección de intrusos y respuesta a incidentes.
Finalmente, con la opinión de estos dos expertos me queda claro que es muy importante determinar que un hacker no es por denominación una persona malintencionada. Es, en cambio, un espero en su materia y que puede incluso ayudarnos a estar prevenidos de aquellos que quieren dañar la integridad de nuestra información.
