La palabra hacker ha sido tan mal usada en los medios de comunicación que la confundimos con cracker. Incluso la RAE registra en su primera acepción la de “pirata informático”, “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”. Eso justo es un cracker, según los expertos en ciberdefensa y del mundo de la seguridad informática.
Sin embargo, en el ideario colectivo el hacker es el malo. Por eso ha hecho falta añadir la coletilla «ético” cuando hablamos de lo que tradicionalmente fue un hacker de sombrero blanco, otra forma de aludir a su capacidad de operar de forma ética.
Conociendo al hacker ético
Un hacker ético es una persona que usa de sus conocimientos avanzados en informática para hacer el bien. Su trabajo o afición (depende a quién preguntemos) es realizar pruebas en redes y sistemas y localizar vulnerabilidades. Una vez detectadas, se informa de ellas para que se tomen medidas y se solucionen.
El daño al sistema o sus usuarios nunca es una opción. Son hackers de sombrero blanco, los ‘buenos’ de la película. Aunque como veremos más adelante no siempre actúan de forma altruista. Tienen unos conocimientos y buscan sacarles partido haciendo el bien, como la mayoría de profesionales.
Frente a los hackers de sombrero negro, que buscan fallas de seguridad en sistemas a los que no han sido invitados para su enriquecimiento propio, y los de sombrero gris, que tienen su propio código ético pero buscan beneficio (reportar vulnerabilidades frente al CNI, FBI, Interpol…), los de sombrero blanco buscan hacer más segura la red y los sistemas.
Contratar a un hacker ético
El mejor modo de descubrir si hay vulnerabilidades en tu sistema es atacarlo. Ponerlo a prueba. Testarlo para ver por dónde falla. A estos ataques coordinados, dirigidos y a menudo autorizados se los conoce como penetration tests o pen test. En español también se usa el término «pruebas de penetración». Las empresas suelen contratarlos de forma voluntaria para mejorar.
Orange trabaja desde hace tiempo con diferentes hackers éticos a fin de mejorar sus sistemas. Podemos pensar en un sistema informático como una barrera o muro repleto de agujeros. Solo cuando alguien intenta entrar podremos ver por dónde lo ha hecho y cerrarlo. Algo así como mirar por una cámara térmica por dónde entran los ladrones a tu cercado. A más ataques de hacker ético, más seguridad.
Este tipo de resiliencia, basada en el número de ojos que miran, tiene su máximo exponente en el código abierto. Como ejemplo, piensa en “el mejor reproductor de video”. La URL anterior lleva a una búsqueda en Google, y siempre aparece VLC Media Player.
VLC tiene todo su código disponible para todo el mundo, con lo que cualquiera puede señalar sus defectos y mejorarlo. El código abierto es el paraíso de los hackers éticos, aunque la mayoría de empresas utilizan soluciones cerradas por diferentes motivos de seguridad añadida, y contratan a estos profesionales para hacer más resistentes sus “muros”.
Atacar sistemas sin permiso
Con mucha frecuencia los hackers éticos no piden permiso a la hora de entrar a un sistema. Simplemente lo hacen y, cuando lo consiguen, avisan al responsable. El último caso en España ha sido el de Metrovalencia. “He entrado en tu sistema de este modo, soluciónalo”.
Con el ataque no se busca robar información, sino hacer consciente al responsable de su seguridad de que hay un punto de penetración abierto que tendrá que cerrar. Aunque no todas las empresas comprenden la ayuda gratuita que ofrecen estos hackers. Metrovalencia, como ejemplo, ha tomado medidas legales contra el ingeniero que les ha ayudado de forma altruista a mejorar.
Como explica Deepak Daswani en su libro ‘La amenaza hacker’, cuando un hacker descubre una vulnerabilidad y su exploit (la forma de explotarlo) se suele iniciar una cuenta regresiva. Al llegar a cero, el exploit se publica. Es una forma de obligar al dueño del sistema a mantenerlo actualizado.
Pensemos en una red social. Los usuarios guardan ahí dentro muchos datos personales, y son los más afectados si hay robos. La amenaza de publicación pública de exploits es una forma de alinear las necesidades de estos usuarios a la estrategia empresarial operativa de la red social.
Lo mismo ocurre con Metrovalencia. Los usuarios del transporte estaban desprotegidos frente al robo de datos, lo supiese la empresa o no. De ahí la necesidad de hackers éticos que no busquen aprovechar los exploits para sí mismos.
Por Marcos Martínez
Imágenes | iStock/vladans, iStock/weerapatkiatdumrong
