EL HACKING ÉTICO Y SU IMPORTANCIA PARA LAS EMPRESAS

La información se ha convertido para toda empresa u organización en un activo de mucha importancia, a tal punto que el negocio en sí depende en gran parte de esta para poder subsistir.

En el mundo actual, en el que gran parte de la información es manejada por sistemas computarizados y de telecomunicaciones, es difícil poder afirmar que la información está 100% protegida, aun cuando se cuente con mecanismos en hardware o software que de alguna manera la protejan. Si se hace un mal uso de estos sistemas o no se cuenta con personal capacitado, la información estará expuesta y puede ser utilizada con fines dañinos en contra de la misma empresa.

Con lo antes expuesto, es necesario poder contar con mecanismos que ayuden a las empresas u organizaciones a poder comprobar que su información está realmente protegida ante las amenazas existentes. 

Es acá donde el concepto de “hacking ético” tiene sentido. El servicio de “hacking ético” es un servicio o consultoría que ofrecen las empresas y que se ha venido popularizado en estos últimos años. En pocas palabras, es la utilización de los conocimientos de seguridad de la información de un “hacker” para realizar pruebas en sistemas o redes de computación con el fin de buscar una vulnerabilidad que pueda ser explotada (aprovechada) y luego la reporta a la empresa contratante para que esta tome las medidas correctivas adecuadas.

Un “hacker” es simplemente el término utilizado para referirse a un experto en una o varias ramas relacionadas con las tecnologías de información y telecomunicaciones: redes, sistemas de información y telecomunicaciones.

La palabra ‘hacker’ se encuentra en boca de todos. Existen diferentes puntos de vista en cuanto a su función en la sociedad. Existen varios tipos de hackers diferenciados por sus intenciones y métodos. Por esta razón se hace tan extensa su clasificación, que, en muchas ocasiones, va más allá del umbral entre el bien y el mal. Sin embargo, los más reconocidos se agrupan en dos categorias: ‘white hat’ hackers y ‘black hat’ hackers.

La denominación ‘white hat’ hackers (hackers de sombrero blanco, o hackers éticos) proviene de la identificación de los héroes de las antiguas películas del viejo oeste, en donde quienes pertenecían al bando de los buenos utilizaban sombreros de este color, diferenciándose así de los villanos quienes utilizaban la prenda en color negro. Estos héroes del ciberespacio se encargan de penetrar la seguridad de las empresas para encontrar vulnerabilidades y así lograr prevenirlas. Por lo general, se desempeñan como consultores de seguridad y trabajan para alguna compañía en el área de seguridad informática.

En contraposición se encuentran los ‘black hat’ hackers o hackers de sombrero negro quienes constantemente andan buscando la manera de romper la seguridad tanto de empresas como individuos con el fin de sacar provecho económico, político o estratégico  de la información que obtienen.

Según Emanuel Abraham, Ethical Hacker de la empresa Security Solutions & Education (SSE), representantes para Colombia de EC Council (Consejo Internacional de Comercio Electrónico): “el hacker o pirata informático de hoy puede ser un simple curioso o un estudiante, así como el más peligroso criminal profesional. La diferencia principal es que el hacker de sombrero negro busca vulnerar sistemas sin permisos, para robar datos, espiar, destruir información, modificar páginas web o algún otro ciberdelito”.

El ejecutivo agregó que “el hacker ético trabaja en encontrar estas vulnerabilidades para que no sean explotadas por otros hackers. Trata de adelantarse e identificarlas antes que los criminales”.

El hacking ético es una herramienta de prevención y protección de datos. Lo que se pretende es estar constantemente adelante de aquellos que nos intentan agredir haciendo pruebas y ataques propios con la ayuda de los expertos informáticos, los cuales han sido entrenados en la mentalidad delictiva de los piratas informáticos así como en las diferentes técnicas de ataque digital.

El hacking ético “es la utilización de los conocimientos de seguridad en informática para realizar pruebas en sistemas, redes o dispositivos electrónicos, buscando vulnerabilidades que explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema”, explica Abraham.

Por esta razón “un hacker ético hace ‘pen tests’ o pruebas de penetración, buscando vulnerabilidades en el sistema: escalar privilegios, encontrar errores y malas configuraciones, utilizando tanto sus conocimientos en informática así como un gran abanico de herramientas, y de esta manera, pasar un reporte para que se tomen medidas,” agrega Abraham.

Sin embargo para que este tipo de intervenciones surta efecto, es necesario que haya conciencia a nivel empresarial de la importancia de la seguridad de la información, en donde se instauren diferentes políticas de seguridad que involucren a todos los actores de la empresa, permitiendo así reducir el nivel de vulnerabilidad.

“Hoy en día la información es uno de los activos más importantes de una empresa. Desde transacciones bancarias, hasta bases de datos. Muchos de estos activos se manejan por sistemas computarizados. Un mal uso de estos sistemas, junto a empleados que no están capacitados, son un punto débil en las empresas, y un punto a favor no solamente para curiosos, sino también para la competencia”, añade. “Lo que se hace, es tratar de prevenir; buscar vulnerabilidades con el fin de tomar la medida adecuada antes de que suceda un incidente”, explicó Abraham.

Así mismo, la Ingeniera Jacqueline Tangarife, Gerente de SSE dice que “es necesario que nos comprometamos con la protección de la información a nivel empresarial, por esta razón, empresas pequeñas, medianas y grandes que manejan su sistema de información por medio de internet y toda clase de dispositivos electrónicos deberían, al menos, hacer un análisis de vulnerabilidades una vez al año”.

Teniendo en cuenta que la tecnología es dinámica y completamente cambiante, un análisis necesita ser reforzado después de un periodo máximo de doce meses. Si se hacen cambios, aunque sean mínimos, a nivel de software, hardware o de infraestructura tecnológica, o incluso, si se llega a cambiar de personal, es necesario que como medida preventiva se realicen nuevamente las pruebas de penetración con el fin de garantizar la máxima seguridad para su empresa, independientemente del tiempo transcurrido desde la última vez.