Ethical hacking: solucionar fallos de seguridad y prevenir la cibercriminalidad

El hacking ético ha adquirido una importancia creciente en los últimos años ante el rápido aumento de los casos de ciberdelincuencia. Cada vez más empresas, organizaciones e instituciones buscan expertos en ciberseguridad que puedan testar su propio concepto de seguridad actuando como atacantes reales.

En este artículo, te explicamos cómo funciona el hacking ético, cuáles son sus características principales y cómo se diferencia del hackeo ilegal. Además, te facilitamos una visión general sobre las áreas de aplicación del ethical hacking y las calificaciones especiales que definen a los hackers “buenos”.

Los hackers éticos son expertos en seguridad de la información que irrumpen en los sistemas informáticos por asignación explícita. Esta variante del hacking se considera éticamente justificable debido al consentimiento de la “víctima”. El objetivo del ethical hacking es descubrir las deficiencias de los sistemas e infraestructuras digitales, como, por ejemplo, los errores de software, evaluar los riesgos de seguridad y participar de manera constructiva en la corrección de los fallos de seguridad descubiertos. Una prueba de estrés para la seguridad del sistema puede tener lugar en cualquier momento, a veces incluso después de un hackeo ilegal. Sin embargo, lo ideal sería que los hackers éticos se anticiparan a los ciberdelincuentes y, al hacerlo, evitaran daños mayores.

El hacking ético, también conocido como hacking de sombrero blanco (White-Hat-Hacking), en contraste con el hacking tradicional con motivos criminales, se centra en las debilidades de programación y en el diseño conceptual de software (bugs). Para las pruebas de seguridad, el foco está puesto, entre otras cosas, en las aplicaciones web y la seguridad web. Además del software, en el proceso de pruebas de seguridad del sistema puede integrarse cualquier hardware que se utilice.

Para dichas pruebas de seguridad, los sombreros blancos utilizan tanto herramientas disponibles gratuitamente en Internet, desarrolladas por terceros (por ejemplo, la versión gratuita de Burp Suite), como programas desarrollados por ellos mismos. Estos últimos sirven para descartar fallos de seguridad y manipulaciones del código de los programas utilizados. El ethical hacking suele dar lugar a un código malicioso concreto (secuencias de comandos individuales o programas de tamaño reducido), que se denomina exploit. Este código especial aprovecha los errores o debilidades encontrados en el sistema con el fin de desencadenar un cierto comportamiento en el software, el hardware u otros dispositivos electrónicos.

La característica principal del hacking ético se encuentra en el método utilizado: el profesional contratado debe garantizar la máxima transparencia e integridad, especialmente cuando se trata de proteger, mediante el ethical hacking, áreas sensibles como secretos de empresa y comerciales y los datos confidenciales de los clientes. En estos procesos, el cliente debe estar al tanto de toda la información relevante recogida por el ethical hacker. El uso o la transmisión ilícitos de secretos comerciales y otros datos sensibles no están permitidos bajo ninguna circunstancia.

La transparencia también incluye la obligación de documentar, de forma detallada y completa, el procedimiento que se ha seguido, los resultados que se han obtenido y cualquier otra información relevante sobre el proceso de hackeo. Estos informes también pueden contener recomendaciones concretas para tomar medidas, como, por ejemplo, la eliminación de malware o la creación de una estrategia de honeypot. Los hackers éticos también deben cuidar de no dejar puntos débiles en el sistema que los ciberdelincuentes puedan aprovechar en otro momento.

Las empresas u organizaciones que contratan a un servicio de hacking ético, tienen la posibilidad de protegerse legalmente. La mejor opción es celebrar un acuerdo escrito antes de comenzar las pruebas de penetración en el que se detalle el alcance de estas últimas, los requisitos legales, las expectativas y las partes involucradas. El hacking ético lleva varios años intentando lograr un marco legal en España, siendo el hackeo, por definición, ilegal. Hay varios y diferentes puntos de vista sobre la legalización del hacking ético. En el artículo 197.3 del Código Penal español, la entrada a un sistema informático ajeno es considerado delito informático, sin distinción entre las razones que determinen la acción. Por esta razón es importante, en las prácticas de auditoría de la seguridad, firmar un acuerdo escrito. El EC-Council, líder mundial en programas de certificación de seguridad cibernética para hackers éticos, ha establecido un código práctico de ética para este propósito.

Las principales diferencias entre el hackeo ético y el malicioso son su fundamento ético y las condiciones básicas y generales del hacking mismo. El ethical hacking tiene por objeto proteger las infraestructuras digitales y los datos confidenciales de los ataques externos y contribuye constructivamente a mejorar la seguridad de la información.

Por el contrario, el hacking que todos conocemos se centra en objetivos destructivos, es decir, en la infiltración y, posiblemente incluso, en la destrucción de los sistemas de seguridad. Pero otras motivaciones también se colocan en el centro de la mayoría de los ataques de hacking. A menudo, el enriquecimiento personal o la adquisición y el espionaje de datos confidenciales, se sitúan en el foco de atención de los piratas informáticos. La mayoría de los ataques de hacking van acompañados de acciones criminales como la extorsión, el espionaje industrial o la parálisis sistemática de la infraestructura del sistema, incluso a gran escala. Hoy en día, los ataques destructivos son llevados a cabo cada vez más por organizaciones delictivas que operan a nivel mundial y que, por ejemplo, utilizan redes de bots en todo el mundo para ataques DDOS. Además, la característica principal de los piratas es que difícilmente se les da captura.

En un primer momento, esta distinción parece obvia e intuitiva. Sin embargo, si se examina más de cerca, hay casos límite. Por ejemplo, los hackers con motivación política pueden perseguir objetivos ético-constructivos, pero también destructivos. De hecho, en función de los intereses y las opiniones personales o políticas, se puede hacer una evaluación diferente y, en consecuencia, un hackeo puede considerarse ético o no ético. Por ejemplo, la intrusión encubierta de las autoridades de investigación y los servicios secretos del Estado en los sistemas informáticos de particulares, autoridades públicas u otros Estados ha sido objeto de un fuerte debate durante varios años.

El border crossing es también una forma de hacking ético que se orienta al bien común y a la mejora de la ciberseguridad, pero, al mismo tiempo, se produce de forma no solicitada y sin el consentimiento y conocimiento del objetivo final.

Por lo tanto, la cuestión ética debe separarse, al menos en parte, de la jurídica, ya que las operaciones de piratería informática impulsadas por nobles ideales o motivaciones se llevan a cabo siempre moviéndose en una zona gris de la ley, en el filo de la navaja entre la legalidad y la ilegalidad.

Desde una perspectiva puramente técnica, es aún más difícil distinguir entre el ethical hacking y el hacking con fines delictivos. Técnicamente, el hacking de sombrero blanco utiliza los mismos conocimientos y las mismas técnicas y herramientas que los delincuentes informáticos para detectar las debilidades del hardware y el software de una estructura informática, lo que hace más difícil diferenciar a los hackers éticos de los que no lo son.

Por ello, la línea que separa ambos paradigmas es bastante borrosa y, ciertamente, no es una coincidencia que muchos jóvenes cibercriminales puedan convertirse, con el pasar de los años, en respetados consultores de seguridad y líderes de pensamiento en la industria. También hay críticos que rechazan fundamentalmente las motivaciones éticas como criterio de distinción y opinan que el hacking, independientemente de las razones por las que se cumple, se ha de condenar.

Sin embargo, esta posición ignora los efectos positivos y la práctica a menudo útil y necesaria del hacking ético. Por ejemplo, hasta mayo de 2018, la comunidad de la plataforma de seguridad cibernética internacionalmente reconocida HackerOne ha eliminado más de 72 000 fallos de seguridad en más de 1000 empresas. Es más, según el Hacker-Powered Security Report de 2018, el número total de fallos de seguridad críticos reportados aumentó en un 26 por ciento solo en 2017. Estas cifras muestran que el hackeo de sombrero blanco es una herramienta importante y fiable en la lucha actual contra la cibercriminalidad.

Los hackers éticos suelen ser contratados por organizaciones, gobiernos y empresas (por ejemplo, empresas tecnológicas e industriales, bancos, compañías de seguros) para buscar fallos de seguridad y errores de programación (bugs). En estos ámbitos, normalmente se utiliza la experiencia de los sombreros blancos para realizar los llamados penetration tests.

En estas pruebas de penetración o pentests, el ethical hacker se cuela en un sistema informático de manera selectiva y muestra posibles soluciones para mejorar la seguridad informática. Normalmente, se hace una distinción entre las pruebas de penetración realizadas en infraestructuras de TIC y las de aplicaciones web. Las primeras prueban y analizan sistemas de servidores, redes Wi-Fi, acceso VPN y cortafuegos, por ejemplo. En el ámbito de las aplicaciones web, un pentest se encarga de examinar los servicios de red, los sitios web (por ejemplo, las tiendas web), los portales de administración de clientes o los sistemas de vigilancia de servidores y servicios. Una prueba de penetración puede realizarse a nivel de red y de aplicaciones.

Entre las otras pruebas de rutina realizadas en el ethical hacking, se incluyen la detección de puertos abiertos mediante escaneos de puertos, la verificación de la seguridad de los datos de pago (datos de tarjetas de crédito), los inicios de sesión y las contraseñas y la simulación de ataques a través de la red. Dado que para estas pruebas se suele utilizar el protocolo TCP/IP, también se denominan pruebas de penetración basadas en IP. En las pruebas de penetración, los sistemas se comprueban a menudo para ver si los virus o troyanos infiltrados pueden capturar datos sensibles de la empresa (secretos de empresa, patentes técnicas, etc.). Estas estrategias pueden complementarse con técnicas de ingeniería social, que tienen en cuenta el factor humano de riesgo y examinan explícitamente el comportamiento de los empleados en un concepto de seguridad.

Hoy en día, todavía hay incertidumbre en España con respecto a las directivas del ethical hacking. Por esta razón, los estándares a los que los profesionales se refieren son exclusivamente internacionales, como son el PTES, el OSSTMM y el OWASP.

Como es de esperar, no existe una formación profesional reconocida para convertirse en un hacker ético. Sin embargo, el EC Council, que se especializa en formación en seguridad y servicios de seguridad cibernética, ha desarrollado un programa de certificación como hacker ético. Los correspondientes cursos de capacitación en TIC son ofrecidos en todo el mundo por varios socios y organizaciones oficiales locales, con instructores certificados del EC Council.

En España, la oferta de cursos con certificación del Consejo de la CE es amplia: basta con hacer una búsqueda en los principales navegadores para encontrar varias opciones. Es más, el Instituto Nacional de Ciberseguridad (INCIBE), ofrece cursos de formación para empresas de distintos tamaños en seguridad informática, entre ellos, cursos especializados en hacking ético de sistemas y redes y de web.

Otras calificaciones y certificados reconocidos han sido desarrollados por organizaciones como la Offensive Security (Offensive Security Certified Professional, OSCP) y el SANS Institute (Global Information Assurance Certifications, GIAC).

Sin embargo, muchos hackers profesionales rechazan los certificados basados en la formación, considerándolos poco prácticos. Para las empresas, en cambio, estos certificados ofrecen un importante punto de referencia, ya que les permite evaluar mejor la seriedad de un hacker ético. Los certificados son también un indicador del creciente profesionalismo en este campo. Con una demanda en rápido aumento, mediante la certificación, los hackers éticos pueden comercializar sus servicios con mayor eficacia, recibir ofertas de trabajo más lucrativas y posicionarse como proveedores de servicios serios, por ejemplo, presentando sus conocimientos en sus propios sitios web.

Los certificados pueden ser útiles para los ethical hackers durante el proceso de adquisición, pero no son (todavía) una necesidad absoluta. Los hackers de sombrero blanco, hoy en día, son principalmente especialistas en informática que suelen tener amplios conocimientos en las siguientes áreas:

• Seguridad informática
• Redes
• Diferentes sistemas operativos
• Conocimientos de programación y hardware
• Fundamentos de la tecnología informática y digital

Además de estas calificaciones, tener conocimiento del mundo de los hackers, así como su forma de pensar y proceder, es definitivamente una ventaja.

Por supuesto, hay muchos hackers éticos que adquieren los conocimientos necesarios por su cuenta. Sin embargo, los profesionales de la tecnología de la información que han adquirido los conocimientos básicos mediante formación como ingenieros en electrónica de sistemas informáticos o mediante un título clásico de informática son especialmente adecuados para las exigencias del trabajo.

En el marco del mencionado estudio de seguridad de 2018, se consultó a 1698 piratas informáticos al respecto de su formación profesional. En el momento de la encuesta, casi el 50 por ciento trabajaba a tiempo completo en la tecnología de la información. La atención se centraba en el hardware y, en particular, en el desarrollo de software. Más del 40 por ciento de los profesionales de TIC se habían especializado en investigación de seguridad. Un alto porcentaje de los entrevistados (25 por ciento) todavía estaba estudiando. En 2019, el hacking era todavía una actividad secundaria. Según el informe Hacker 2020 de HackerOne, solo el 18 por ciento de los profesionales entrevistados trabajaba en el hacking ético a tiempo completo en ese año.

Los hackers éticos no trabajan solo como expertos externos en informática. Algunas empresas capacitan a especialistas permanentes de TIC dentro de la empresa para que se conviertan en hackers de sombrero blanco y se aseguren de que su personal asista continuamente a cursos de capacitación y educación sobre el hacking (ético) y la ciberseguridad. Los hackers éticos también adquieren contratos por iniciativa propia anunciando sus servicios en línea.

Los hackers de sombrero blanco pueden encontrar contratos de trabajo a través de un proceso de licitación especial. Las grandes empresas como Facebook, Google y Microsoft utilizan programas de recompensa por errores, en los que definen con precisión las condiciones y requisitos para los ciberataques y la búsqueda de errores y, a veces, ofrecen a los hackers exitosos la perspectiva de considerables recompensas financieras para detectar problemas de seguridad. Los programas de recompensa por errores son complementados, la mayoría de las veces, por pruebas de penetración.

Las plataformas de mediación reconocidas internacionalmente, como HackerOne, suelen participar en la adjudicación de contratos. Su informe de 2020 afirma que, solo en 2019, los hackers ganaron aproximadamente 40 millones de dólares. Eso significa que se han pagado un total de 82 millones de dólares desde que se estableció la plataforma HackerOne.

En tiempos en los que el ciberdelito sigue aumentando, el ethical hacking es una estrategia comercial recomendada para la prevención y protección de tales ciberataques. Los ataques de prueba selectivos y las pruebas de penetración pueden optimizar la seguridad de una infraestructura informática y, de este modo, evitar el hackeo ilegal en una fase temprana. Las empresas u organizaciones que deciden recurrir al ethical hacking pueden evitar el peligro de no poder encontrar los fallos en sus sistemas, ya que los expertos externos abordan los hackeos de manera distinta y pueden tener una perspectiva especializada o un conjunto diferente de conocimientos sobre el asunto.

Las empresas pequeñas y medianas, en particular, pueden tener acceso a conocimientos técnicos de tecnología de seguridad que de otro modo no estarían a su disposición. Sin embargo, los clientes deben ser siempre conscientes de que el hacking ético conlleva ciertos riesgos. Incluso si se cumplen todos los requisitos de una piratería “limpia”, no siempre se pueden excluir los efectos negativos. Por ejemplo, los sistemas podrían verse afectados involuntariamente o incluso colapsar.

En más, los hackers de sombrero blanco también pueden acceder a datos confidenciales y privados de terceros. El riesgo aumenta si no se definen claramente las condiciones básicas y generales o si los hackeos no se llevan a cabo de forma competente y cuidadosa. Por lo tanto, antes de contratar a un hacker ético, es recomendable examinar a fondo los candidatos y seleccionarlos cuidadosamente sobre la base de una experiencia comprobada (por ejemplo, a través de un certificado).