Hacking ético: ¿En qué consiste y por qué es importante?
Existen diversos enfoques para definir el Hacking Ético, pero el más común es la serie de prácticas y metodologías que utilizan los hackers de “sombrero blanco” para realizar pruebas de intrusión o penetración, a diferentes sistemas informáticos. Dichas pruebas esencialmente consisten en atacar sistemas, utilizando los mismos métodos que usaría un hacker de “sombrero negro”, con el propósito de evaluar e identificar vulnerabilidades y fallos de seguridad.
Siempre que se lleva a cabo uno de estos ejercicios, se establece un acuerdo previo entre el hacker designado para efectuar las pruebas y el o los dueños de los sistemas que se desean evaluar. A diferencia de los ataques efectuados por un hacker con mala intención, cuyo objetivo es robar o manipular información, el hacking ético vulnera y entra a los sistemas a fin de reportar las debilidades y deficiencias de seguridad, para que sean solucionadas y evitar futuros ataques.
El objetivo fundamental del hacking ético es identificar proactivamente debilidades e imperfecciones de seguridad existentes en sistemas informáticos con el fin de tomar medidas preventivas en contra de posibles ataques. Así lo asegura Marielos Rosa, gerente de Operaciones de ESET Centroamérica, quien agrega que “de este modo es posible verificar y evaluar la seguridad física y lógica de diferentes sistemas de información donde están contemplados activos como redes de computadoras, aplicaciones web, bases de datos, servidores, e incluso el comportamiento de personas”.
Los hallazgos más comunes que se pueden encontrar son vulnerabilidades de diferentes características asociadas, por ejemplo, a la presencia de softwares obsoletos, deficiencias en el desarrollo de sistemas por no utilizar buenas prácticas de programación, susceptibilidades asociadas a la implementación y configuración defectuosa de los sistemas por parte de los administradores, entre otros. Son debilidades y fallos de seguridad lo que se intenta encontrar en este tipo de ejercicios, para luego poder categorizarlos en distintos niveles críticos y en algunos casos, que el experto pueda brindar recomendaciones de mitigación con base a las prioridades de la organización.
