La demanda de expertos capaces de identificar las vulnerabilidades de los sistemas con fines lícitos está al alza.
En España se sufren más de 400 ciberataques diarios, 120 de los cuales son gestionados directamente por el Centro Nacional de Inteligencia (CNI) dado su nivel de peligrosidad. Pero ante esta situación, y en los albores de una era de ciber terrorismo, un grupo de hackers se siente molesto. No todos son piratas informáticos. Los hay que no tienen objetivos delictivos y que buscan reforzar la seguridad de los sistemas. ¿Es el hacker ético el nuevo guardián del mundo digital?
Según la Fundéu, cuando usamos la palabra hacker para referirnos a un delincuente informático, estamos incurriendo en un error. Así, el término hacker solo alude a aquella persona capaz de introducirse en sistemas informáticos ajenos, sin entrar en sus motivaciones. Para definir al hacker que lo hace con fines ilícitos, mejor utilizar el término cracker.
A grandes rasgos, un hacker ético busca determinar qué información puede ver un intruso en un determinado sistema y qué puede hacer con ella. Su tarea principal es la de señalar posibles fallos o brechas en el sistema, puntos poco seguros que un hacker malintencionado podría utilizar para robar datos. Es un experto que, conociendo al enemigo y sus tácticas, es capaz de preparar la mejor defensa.
Una de sus herramientas principales es el pentest o examen de penetración. Este tipo de examen, ofrecido actualmente como un servicio más de muchas empresas de ciber seguridad, consiste básicamente en un ataque informático controlado para encontrar debilidades en el sistema.
Como señala la compañía de formación en ciber seguridad Infosec Institute, esta herramienta, diseñada inicialmente en los 60, y las actividades de los hackers éticos tienen cuatro grandes beneficios:
De acuerdo con ESIC Business Marketing School, todo pentest sigue una serie de pasos para definir la taxonomía de un ataque. La primera fase es la de footprinting y consiste en recopilar la mayor cantidad posible de información sobre el objetivo. La segunda, llamada fingerprinting, busca identificar las vulnerabilidades del sistema que se quiere poner a prueba. La tercera consiste en acceder al sistema y analizar cómo podría ser un ataque real con objetivos maliciosos.
Hoy por hoy, el hacker ético carece de un estatuto legal en España y de una regulación específica. Esta laguna legal no ha impedido que multitud de empresas cuenten con los servicios de estos profesionales para reforzar sus sistemas de seguridad informática. De hecho, muchas compañías cuentan con hackers éticos en sus filas, una piedra angular en su sistema de defensa frente a los ciber ataques.
Sin embargo, esto no significa que el hacking ético esté exento de riesgos. “Los riesgos legales de los hackers éticos derivan de la divulgación de información personal o confidencial sin autorización. Esta divulgación puede llevar a una batalla legal que implique tanto al hacker ético como a la propia compañía”, señala Rowena Johansen, experta en ciber seguridad del Panmore Institute.
Ante esta situación, la forma por la que se está apostando para contar con garantías a la hora de trabajar con hackers éticos es la formación y la certificación. Además de las titulaciones universitarias y de formación profesional en sistemas informáticos o programación, cada vez son más comunes los certificados en hacking ético.
En los últimos años, se han multiplicado las formaciones y los certificados para hackers éticos. En España, muchos son ofrecidos ya por reconocidas instituciones educativas, como es el caso de la Universidad Politécnica de Cataluña, la UNED y el Instituto Superior de Estudios Profesionales CEU, o plataformas online especializadas como The Security Sentinel o el EC-Council.
“Los hackers éticos son contratados por las empresas para comprobar la seguridad interna de sus sistemas. Evalúan las vulnerabilidades y los fallos, elaboran un informe de todos los canales por las que se puede colar un cibercriminal y determinan su estado crítico. Después, proponen soluciones y mejoras. La profesión está en crecimiento y las titulaciones ayudarán a discriminar candidatos”, señalan desde la web de Infoempleo.
Así, el hacking ético parece que irá ganando peso en los equipos de seguridad y gestión de riesgos de las compañías. Al fin y al cabo, en condiciones de confidencialidad y de forma responsable, es una técnica que puede ser vital para la protección de las empresas ante el aumento de la criminalidad cibernética.