Antes de definir y adentrarnos en la definición y características de lo que es el hacking ético, es necesario definir qué se entiende por hacker.
El término hacker suele utilizarse para referirse a una persona que es experta o gurú en varias o alguna rama técnica relacionada con las tecnologías de la información (Informática) y las telecomunicaciones.
Esta persona es experta en áreas como la programación, en materias de seguridad, sistemas operativos, redes informáticas, etc., y sus conocimientos normalmente sobrepasan los que pueden tener muchos profesionales de su área o sector.
El hacker suele ir ligado dentro del mundo tecnológico a aquella figura que es experta o trabaja en la seguridad informática, comprobando la vulnerabilidad de dichos sistemas, así como desarrollando programas software que mejoren los problemas que pueden existir.
A parte de esta terminología, hay otra que es importante conocer y que es distinta a la de hacker.
Esta definición data de los años 80, cuando la figura del hacker informático empezó a surgir en nuestra sociedad. Se refiere a alguien que viola la seguridad de un sistema informático de forma similar a como lo podría realizar un hacker, pero con la diferencia de que este realiza la intrusión con fines de beneficio personal o para hacer daño a un objetivo marcado.
Por tanto, el hacking ético es la acción que realiza un hacker para analizar los sistemas informáticos y programas corporativos de las empresas con fines defensivos y legales, asumiendo un rol de ciberdelincuente o cracker. Su trabajo consiste en realizar la simulación de ataques a la empresa con el principal objetivo de analizar y evaluar el estado real de la seguridad de la corporación que está auditando.
Los objetivos principales del hacking ético son los siguientes:
-Adelantarse, en la medida de lo posible, a los probables ataques de ciberdelincuentes y solucionar los problemas y vulnerabilidades que puedan provocar un posible ciberataque en nuestro sistema.
-Concienciar a los trabajadores y profesionales de las empresas de la importancia que tiene la seguridad informática en su trabajo diario, puesto que diariamente y en cualquier momento estamos expuestos a posibles ataques o vulnerabilidades que nos pueden afectar tanto personal como profesionalmente: suplantación de identidad, espionaje industrial, etc.
-Y lo que es aún más importante: mejorar los procesos de seguridad implantados en la corporación para evitar posibles ataques y problemas futuros. Mejoras como la actualización del software que se utiliza en las empresas, establecer un plan de respuesta y protocolo de actuación ante posibles incidentes en la materia de la seguridad informática, etc.
Es importante recalcar una cosa: cualquier persona que se quiera dedicar a este mundo del hacking ético tiene que contar con la autorización expresa de la empresa a la que va a realizar la auditoría de seguridad, puesto que, de no ser así, podría considerarse un delito muy grave.
Normalmente, los profesionales que se dedican a este tipo de análisis y auditoría informática realizan y firman un documento llamado Ethical Hacking Report. Se trata de un contrato en el que tanto el analista informático (hacker que está auditando nuestro sistema de IT) como la empresa detallan qué tipo de obligaciones y pruebas se van a realizar en el proceso del hacking ético.
En este documento se recoge información tan importante como los detalles de los resultados de las actividades y pruebas de hacking que se han realizado, las vulnerabilidades encontradas durante la auditoría y las recomendaciones y acciones a seguir para evitar que personal no autorizado haga uso de ellas; o, en la medida de lo posible, mitigarlas en caso de que no se puedan resolver o evitar. También se recogen términos y acuerdos tan importantes como la integridad y confidencialidad tanto por parte del auditor como por parte de la empresa, reflejadas en cláusulas pactadas previamente por ambas partes.
Después de comprobar que grandes empresas o corporaciones pueden presentar vulnerabilidades o problemas de seguridad, muchos usuarios de a pie nos preguntamos si Internet es seguro y, sobre todo, qué medidas básicas podemos tomar para que, en la medida de lo posible, nuestras conexiones a la red sean seguras.
Estos son algunos consejos y acciones que tenemos que tener en cuenta para protegernos, sin necesidad de ser expertos en la materia:
-Evitar acceder al sistema desde sitios abiertos al público como pueden ser los existentes en los centros comerciales, cafeterías, aeropuertos y similares. En este tipo de redes es fácil que alguien pueda acceder a nuestra información de usuario y contraseña para acciones perniciosas.
-Proteger nuestro usuario y contraseña. Es aconsejable que las intentemos memorizar y no tenerlas apuntadas en ningún lugar, puesto que pueden verse comprometidas en cualquier momento. También es recomendable establecer una contraseña cifrada con la combinación de letras y números, así como con caracteres especiales, y cambiarla cada cierto tiempo o cuando se sospeche que puede haberse visto comprometida en algún momento.
-Proteger nuestros equipos: tablets, PC personal, móviles, etc., con las últimas actualizaciones de aplicaciones y sistemas operativos, así como mediante el uso de antivirus y firewall.
-Desconfiar de cualquier página web o aplicación que solicite datos personales a través de Internet, en nombre de entidades bancarias, empresas que normalmente utilizamos para compras o envíos, etc. y que estén fuera de un sitio web seguro: HTTPS://. Ante cualquier duda de la veracidad de los datos pedidos o autenticidad de las páginas visitadas, es recomendable contactar con el proveedor por los canales establecidos, ya que ninguna empresa, por lo normal, requiere información que ya debe estar en su poder.
-No utilice los enlaces incorporados en correos electrónicos (e-mails) o páginas Web de terceros y/o de contactos cuyo remitente no conocemos.
-Tener cuidado con las peticiones o solicitudes de amistad de desconocidos, así como la información que se publica en las redes sociales. Es importante compartir información solo con aquellas personas que conocemos lo suficiente. Es muy común aceptar peticiones de amistad que no conocemos o seguir a quien nos sigue. Hay que tener mucha atención en este aspecto si en casa tenemos menores de edad, puesto que esta tendencia es muy común en esa etapa.
Siguiendo estas pautas y consejos, conseguiremos establecer una red de comunicación mucho más segura y evitaremos sorpresas innecesarias en muchos casos.
