El hacking ético trata de descubrir vulnerabilidades en nuestros sistemas de información.
El cine ha popularizado el personaje del «hacker», por lo que actualmente todo el mundo está familiarizado con el término. Según Wikipedia, un hacker es «un experto en informática que utiliza sus conocimientos técnicos para lograr un objetivo o superar un obstáculo, dentro de un sistema informático, usando métodos no estándar». Es una definición bastante buena, pero quizás incompleta; en primer lugar, debemos interpretar “experto en informática” de una manera extensa: hardware, software, tecnologías de comunicación, protocolos de red, computación en la nube, telefonía móvil… todo lo relacionado con TI forma parte del ámbito de actuación del hacker. Y no solo TI, ya que con mucha frecuencia la forma más fácil de «superar un obstáculo» es a través de las personas, por lo que las habilidades sociales también son relevantes.
Por lo tanto, podemos decir que un hacker es alguien capaz de utilizar un amplio conjunto de recursos, no siempre legales o éticamente aceptables, para obtener acceso a un sistema de información.
Hay muchas razones por las que alguien puede querer piratear un sistema: beneficio económico, desafío intelectual, venganza … En general, en términos de motivación, los hackers se clasifican en tres tipos:
• “Black-hat”: un hacker malintencionado que intenta obtener acceso no autorizado a un sistema para obtener un beneficio ilícito o infligir un daño.
• “Grey hat”: un hacker que actúa sin malicia, pero infringiendo la legalidad.
• ”White hat”: un hacker que desafía las medidas de seguridad de un sistema para detectar vulnerabilidades y corregirlas.
Una persona puede desempeñar diferentes roles, y no es infrecuente que los “black-hats” se conviertan en “white-hats” con el tiempo.
El hacking ético es lo que hacen los sombreros blancos. Según la definición del EC-Council, “los hackers éticos aprenden y realizan hacking de manera profesional, según la dirección del cliente, y luego presentan un informe completo que detalla los niveles de riesgo y las vulnerabilidades detectadas, así como sugerencias para mejorar”. En resumen, un hacker ético es un “white-hat” que comprueba lo difícil que puede ser para un “black-hat” piratear un sistema.
A pesar de que los hackers éticos comparten métodos y herramientas con “black-hats”, existen diferencias relevantes, no solo en los objetivos, sino también en los medios. Normalmente, el hacker ético puede tener más información sobre el sistema objetivo, pero también tiene más restricciones sobre las técnicas a utilizar, que están limitadas por el contrato firmado con el cliente. Ese contrato es una pieza muy importante del hacking ético, y debe establecer muy claramente el alcance del proyecto y el tipo de actividades que el hacker tiene derecho a realizar. De hecho, el contrato protege a ambas partes: para el cliente, otorga confidencialidad e integridad de sus sistemas y datos. Para el hacker, proporciona cobertura legal en una tarea que de otro modo podría ser ilegal.
Hoy en día, los hackers éticos están muy profesionalizados: hay organizaciones globales que brindan capacitación y certificaciones: el ya mencionado EC Council (International Council of E-Commerce Consultants, https://www.eccouncil.org/), es una organización creada después el atentado del 11 de septiembre al World Trade Center, y es el organismo de certificación técnica de seguridad cibernética más grande del mundo en la actualidad. El EC-Council proporciona un prestigioso certificado de hacker ético (CEH) a través de un examen muy exigente.
Y eso es todo por ahora. En el próximo post, hablaremos de los Penetration Tests: herramientas, técnicas y que se debe tener en consideración cuando se testean sistemas SAP.
NovisEuforia colabora con Santa Marta AB para ofrecer una ambiciosa iniciativa respecto a la mejora de la Ciberseguridad en entornos SAP.