Hacking ético: sus claroscuros, implicaciones y beneficios (1 de 2)

Por Aury Curbelo Ruiz

Por Aury M. Curbelo síguela en Twitter en @acurbelo

La práctica de “hackear” se ha convertido en un problema mundial.  Los hackers (piratas informáticos)  de hoy día pueden ser desde curiosos estudiantes de escuela, universitarios, hasta criminales profesionales.  Entre las razones para “hackear” se encuentran: el que estos individuos puedan probar sus destrezas y habilidades técnicas así como también sus capacidades para cometer actos fraudulentos y dañinos.  Así que, no es sorpresa que la defensa contra este tipo de personajes se haya convertido en un componente vital.

Asimismo, durante los últimos años el término “hacking ético” ha despertado innumerables puntos de vista a favor y en contra.  Por definición el hacking ético es conocido como una prueba de intrusión o “pentest”, que se define esencialmente como el “arte” de comprobar la existencia de vulnerabilidades de seguridad en una organización, para posteriormente a través de un informe se señalen los errores de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas de información y ataques informáticos.

Muchas empresas han propuesto el tema de  hacking ético mediante la capacitación de sus empleados a través de cursos cortos y certificaciones en el área de seguridad informática.  También han invertido en capacitar a sus empleados para que piensen y actúen como los hackers maliciosos y sean capaces de proteger los activos más importantes de la empresa: la información digital.

Pero este fenómeno trae como consecuencia, una pregunta incómoda para muchos y relevante para el tema: ¿cuál es la ética detrás del hacker ético?, ¿Acaso no, cuando capacitamos a un empleado para que actué y piense como un hacker malicioso no estamos arriesgando mucha de nuestra información y recursos?  ¿Realmente estas capacitaciones nos están protegiendo o nos estamos arriesgando más?  ¿Estamos durmiendo con el enemigo? ¿Cuál es el rol de las instituciones educativas mundiales en la enseñanza de hacking?

¿Cuál es la ética detrás del hacker ético?

De acuerdo a la Real Academia Española, la palabra ética proviene de la palabra “Ethos” que significa: “Conjunto de rasgos y modos de comportamiento que conforman el carácter o la identidad de una persona o una comunidad.” Lo que nosotros llamamos ética es la predisposición para hacer el bien.

Ahora bien, cuando se habla de la ética en IT se refiere a: “el comportamiento en el uso de la tecnología informática”.  Por lo tanto, existe un código de ética para todos los usuarios de la informática. Ese código se basa en principios éticos fundamentales y es aplicable a situaciones que caracterizan las actividades de esta tecnología.  De acuerdo Johnson (2004) [1] la ética en la informática se sustenta en varios principios filosóficos:

“Si una acción al menos contiene cualquiera de estas características es considerada una acción ética por ejemplo: promover la salud general de la sociedad, mantener o incrementar los derechos de los individuos, proteger las libertades, preservar a los individuos de daño, tratar a todos los humanos con valor dignidad y respeto, así como mantener el valor social, cultural y respetar las leyes.”

Desde este punto de vista, en el Hacking Ético se puede definir que la ética consistiría en la práctica de “hackear” sin tener de por medio alguna intensión maliciosa.  Ahora bien, los hackers éticos emplean las mismas herramientas y técnicas que los cibercriminales o black hackers, pero no lo hacen con la meta de dañar el sistema o robar información.  En su lugar su función principal es la de evaluar la seguridad de los sistemas y reportar sus hallazgos para que las vulnerabilidades puedan ser corregidas.  La ética en este caso sería guardar de forma confidencial y privada toda la información que obtengo de la prueba realizada.

El objetivo fundamental del hacking ético consiste en:

• Explotar las vulnerabilidades existentes en el sistema de interés, valiéndose de una prueba de intrusión, verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etcétera
• Con la intención de ganar acceso y “demostrar” las vulnerabilidades en el sistema.  Esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados

Bien dice que para atrapar a un intruso primero debes pensar como uno, sin embargo, en términos de los aspectos legales y éticos que involucra esta práctica el mantener la confidencialidad y privacidad de los datos de mi cliente es un aspecto crítico a considerar.

En la segunda parte abordaremos posibles códigos de éticas que todo Pentester, hacker ético o empresa en busca de uno deben de tomar en consideración. En particular si quieren evitar ser ejemplo de aquella famosa película de Julia Roberts: Durmiendo con el enemigo.

1. Johnson, Doug (2004). Teaching Students Right from Wrong in the Digital Age. Ohio: Linworth Publishing.

 

La doctora Aury M. Curbelo es consultora y conferenciante internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense.  Además es profesora en el área de Sistemas computadorizados de Información.  Síguela en twitter: @acurbelo.