Qué es un hacker ético y por qué los necesitamos más que nunca

Los hackers éticos recorren la delgada línea entre el lado bueno y el lado malo de internet, a menudo aventurándose en ambos. Utilizan sus conocimientos de hackeo para el bien, por lo general para probar y proteger los sistemas de los clientes. Pero si usaran sus habilidades con fines malintencionados, serían capaces de causar un gran daño. 

Debido a que irrumpir en los sistemas es una excelente manera de mejorarlos, el hacking ético a menudo se ve empañado por la controversia. No es fácil encontrar profesionales en esta línea de trabajo y, aun si lo haces, no te darán mucha información. La mayoría mantiene un perfil bajo y es poco probable que los empleadores revelen sus actividades de hacking ético; en casi todas partes su profesión ni siquiera está reconocida por la ley. 

Es difícil obtener información sobre el mundo del hacking ético, pero lo hicimos. Nos sentamos con dos especialistas para responder algunas de nuestras preguntas más polémicas y descubrir qué significa realmente ser un hacker ético. Sigue leyendo mientras nos adentramos en el emocionante pero oscuro mundo del hacking ético.

Qué hace a los hackers éticos tan importantes

El cibercrimen se ha convertido en una gran amenaza para las personas, las empresas y los gobiernos, y está creciendo a un ritmo alarmante. Con la creciente dependencia de la tecnología, los ciberdelincuentes han encontrado nuevas formas de explotar las vulnerabilidades en las redes. 

El cibercrimen aumentó un 600% durante el COVID-19 y probablemente crecerá más rápido en los próximos años. Ata Hakçıl y Jeremiah Fowler nos dieron unas pinceladas sobre la vida de un hacker ético y lo que podemos esperar de las grandes tecnologías y de los ciberdelincuentes.

Ata Hakçıl es un hacker ético, “pentester” y cazador de bugs con más de 7 años de experiencia. Tiene una licenciatura en Ciencias de la Informática y actualmente está cursando una maestría en Ingeniería Informática. Puedes consultar tus proyectos de seguridad de código abierto en Github, donde utiliza el identificador ignis-sec

Jeremiah Fowler es un investigador de seguridad con más de 10 años de experiencia en la industria de la tecnología y la ciberseguridad. Fue cofundador de Security Discovery, un grupo de consultoría de seguridad cibernética, y su trabajo ha aparecido en publicaciones prestigiosas, incluidas Forbes, la BBC y Gizmodo.

Ata Hakçıl cree que “una recesión después de la era de COVID afectará primero a los presupuestos de seguridad, ya que es una de esas cosas que no se consideran necesarias hasta que las recortas. [Lo siguiente ] será un lío por las constantes violaciones de datos masivas, debido a que los proyectos se han auditado y mantenido de manera deficiente”.

Actualmente, el papel de un hacker ético es fundamental para garantizar la seguridad de los recursos digitales y la información confidencial de las organizaciones. Los hackers éticos simulan ataques y encuentran vulnerabilidades en un entorno controlado para identificar posibles lagunas de seguridad antes de que los ciberdelincuentes puedan explotarlas.

Los gigantes de la tecnología recopilan tus datos y los guardan, y los términos de servicio les dan acceso a tu micrófono, a tu cámara o posiblemente al registro de teclas. Todo lo que haces en tu dispositivo se captura y registra, y no sabemos si esta información es inofensiva  o si podría usarse en tu contra. Un comentario que hagas hoy en las redes sociales podría aparecer en una entrevista de trabajo dentro de 10 años.

Jeremiah Fowler, hacker ético e investigador de seguridad

He aquí otras razones por las que los hackers éticos son la mejor solución contra los riesgos de ciberseguridad en el futuro:

Pensar como un ladrón es la clave para la prevención de un delito. Eso es exactamente lo que sucede cuando contratas a un hacker ético para que ponga a prueba tus sistemas de seguridad. Creemos que el hacking ético es el futuro de la ciberseguridad y su demanda aumentará en los próximos años. Antes de entrar en el meollo del asunto, te mostramos algunos términos que es importante conocer.

Glosario de hacking ético

Por qué “hacker ético” es un término controvertido

Si un ciberdelincuente (a menudo denominado incorrectamente hacker) es un ladrón que se mete a hurtadillas a tu casa para robar tus cosas, un hacker ético es el amable cerrajero local que viene a tu rescate y te muestra cómo un ladrón podría meterse. De esta manera puedes reforzar tu seguridad y sentirte a salvo de nuevo.

Piénsalo de la siguiente manera: un hacker malintencionado es el que te hace gritar: “¿Por qué a mí?”, mientras que un hacker ético es el que te hace decir: “¡Para eso te contraté!”. Pero no todos los profesionales de este campo quieren  ser llamados hackers éticos, principalmente debido a las connotaciones negativas que le hemos dado a la palabra “hacker”. Le preguntamos a nuestros especialistas lo que opinan.

Incluso cuando le agregamos el calificativo “ético”, el término hacker es controvertido. Algunos dicen que un hacker siempre es un hacker, y agregarle la palabra “ético” no cambia el hecho de que se infiltran en los sistemas de manera furtiva y engañosa. También argumentan que el término es muy subjetivo. 

Tenemos hackers que dicen ser activistas, hacktivistas, en lugar de criminales. Otros creen que tienen la responsabilidad de exponer la seguridad débil de una organización. Pero, ¿su intención basta para considerarlos éticos? La idea de que las personas  que desafían la autoridad son éticas  automáticamente no siempre es válida.

¿Qué es exactamente el hacking ético? ¿Cuáles son sus orígenes?

Según Oxford Languages, un hacker ético es “una persona que hackea una red informática para probar o evaluar su nivel de seguridad, en lugar de tener una intención mala o delictiva”. Esta definición es más o menos la misma en todo el mundo, pero no es tan simple como parece.

El hacking ético, a menudo denominado “hacking de sombrero blanco”, se ha convertido en una ocupación común en el ámbito de la ciberseguridad en la última década. Pero, ¿sabías que la práctica del hacking ético es en realidad más antigua que la de “hacking de sombrero negro”, la que es claramente perjudicial, donde el intento es malicioso? 

En los inicios  de las computadoras, hackear consistía en optimizar sistemas y equipos para hacerlos más eficientes. Aunque el matiz malintencionado se apoderó del término, ahora sabemos que el concepto de hacking original es totalmente ético. Pero luchar contra los estereotipos es una batalla cuesta arriba. 

Desafortunadamente, en la actualidad, la línea que divide el hacking ético del no ético todavía no está clara. Realmente no se puede distinguir a los buenos de los malos, y las leyes tampoco se han puesto al día.

Así que no todo es blanco y negro, también hay mucho gris en el medio. 

Qué es el hacking de sombrero negro, blanco y gris

Los hackers de sombrero negro trabajan exclusivamente para crear daños u obtener ganancias personales. Esto incluye a aquellos que venden información sobre filtraciones de datos en la dark web, que lanzan ataques DDoS, e incluso el tipo que hackeó Twitter y tuiteó desde las cuentas de famosos para enviar Bitcoin a su billetera.

A los hackers de sombrero blanco generalmente les  motiva la investigación, realizan pruebas de penetración, y participan en los programas de recompensas por errores, es decir, programas oficiales que recompensan a las personas que logran encontrar vulnerabilidades y fallas en ciertos software y servicios. Los hackers de sombrero blanco se adhieren a normas de ética estrictas durante su investigación.

Los hackers de sombrero gris no siguen un código ético estricto y caen en un área moralmente gris donde es cuestionable si sus motivos son buenos o malos. Ata explica muy bien este concepto: 

Vulnerar el ordenador  personal de alguien es algo objetivamente poco ético. Desmantelar una página web de trata de personas es algo objetivamente bueno. Vulnerar el ordenador de alguien para eliminar una página web alojada de trata de personas cae en un área gris moral y ética.
Es fácil moverse entre uno y otro: la conciencia puede convertir a un sombrero negro en un sombrero blanco, las ideologías pueden convertir a alguien en un sombrero gris, y el dinero o la falta de empatía pueden convertir a alguien en un sombrero negro.

¿Cuál es la misión del hacker ético?

Los hackers éticos también tienen como objetivo burlar las defensas de un sistema específico. Aunque es para ayudar a cerrar las lagunas de seguridad y mejorar la ciberseguridad de una organización, su misión es muy similar a la de los hackers malintencionados.

Sin embargo, los profesionales pueden tomar diferentes rutas en el hacking ético. Estos son los tres tipos principales de hackers éticos:

Cazadores de recompensas por bugs 

En lugar de que se les pague por su tiempo, los cazadores de recompensas por bugs reciben una recompensa por parte de una organización si le informan con éxito sobre una nueva vulnerabilidad. El programa de recompensas por errores de CyberGhost VPN es un ejemplo. 

Investigadores de seguridad o equipos de evaluación de ciberseguridad especializados 

Las organizaciones los contratan para evaluar su seguridad e identificar las vulnerabilidades utilizando técnicas ofensivas y mejorar las defensas.

Dichos equipos siguen el modelo de la Marina, en el que un equipo rojo ataca y un equipo azul defiende. Estos profesionales de ciberseguridad altamente capacitados trabajan en estrecha colaboración para mejorar la seguridad, a través de informes continuos y una transferencia bidireccional del conocimiento. Su objetivo es fortalecer las estrategias de prevención, detección y respuesta de la organización.

Probadores de penetración

También conocidos por los términos en inglés intrusion tester o pentester, estos profesionales evalúan la seguridad de un sistema simulando ataques malintencionados de terceros. Los probadores de penetración generalmente operan dentro de un marco de tiempo y un alcance de prueba específicos y definidos por el cliente. 

Su objetivo es identificar vectores de ataque, vulnerabilidades, y monitorear las debilidades del sistema. Esto implica el uso de diversas técnicas manuales respaldadas por herramientas automatizadas para explotar vulnerabilidades conocidas.

Además del objetivo de identificar vulnerabilidades, cada tipo tiene motivos diferentes. Como dice Ata: “Cuando se trata de una prueba de penetración, me enorgullece encontrar las vulnerabilidades que los expertos anteriores pasaron por alto y asegurarme de que los siguientes expertos no puedan encontrar nada más. Si es una búsqueda de una nueva vulnerabilidad, mi motivación es encontrar algo tan creativo que no olvides los detalles . Si se trata de una recompensa por errores, en su mayoría me encuentro más motivado económicamente que por la estimulación creativa.”

¿El hacking ético es un trabajo peligroso?

​​Ahora, quizá pienses: “¿Podría ser peligroso? ¡Simplemente están hackeando equipos (con permiso), no corriendo con los toros en Pamplona!” Pues déjame decirte que los peligros del hacking ético no deben subestimarse. No todo son arcoíris y unicornios en esta línea de trabajo, y no me refiero únicamente al riesgo de ser atrapado por las autoridades. Pedimos a nuestros hackers éticos que compartieran más detalles de sus miedos. 

P: ¿Cuál es el peor miedo de un hacker ético?

Jeremiah Fowler: “Si estás hackeando éticamente y ayudando a las personas, no existe ningún miedo. Si estás irrumpiendo de manera criminal en las redes de otros y robando datos, obviamente, existe un gran riesgo legal”.

Si operas dentro de un estricto código de ética, es probable que la ley no te persiga por hacking ético. Han existido casos en los que los hackers éticos terminaron frente al juez, porque la legislación no siempre es clara. En su mayoría, serás el causante de un caos grave para tu empleador, casi como un hacker malintencionado. Es gracioso si lo piensas. 

El hackeo ético no siempre es peligroso‌, pero dado que siempre te enfrentas a leyes obsoletas y a ciberdelincuentes, debes tener mucho cuidado con tu seguridad y privacidad online. Los hackers malintencionados pueden intentar atacar a los hackers éticos solo porque les impiden penetrar en los sistemas y realizar ataques cibernéticos.

¿El hacking ético es principalmente un trabajo freelance?

Aunque la mayoría de los hackers éticos son freelancers, puedes dedicarte al hacking ético en una variedad de entornos. Podrías trabajar como empleado de tiempo completo o como consultor en una amplia gama de industrias, como finanzas, atención médica, gobierno y tecnología, entre otras.

Muchas organizaciones contratan investigadores de seguridad a tiempo completo como parte de sus equipos de seguridad para ayudar a identificar y mitigar las vulnerabilidades. Las tendencias actuales muestran que una serie de profesionales en este campo a menudo eligen trabajar como freelancers, ya que les ofrece más flexibilidad. 

El hacking ético es un campo altamente especializado que requiere un conjunto único de habilidades y conocimientos. Como resultado, las organizaciones también prefieren contratar hackers éticos de forma independiente en lugar de contratarlos como empleados de tiempo completo. Esto les permite aprovechar la experiencia de un grupo más amplio.

Empresas que reclutan hackers éticos

Los investigadores de seguridad tienen una gran demanda. Muchas de las principales marcas del mundo están contratando hackers éticos con salarios muy atractivos. Según la Oficina de estadísticas laborales de EE. UU., el salario anual promedio de un investigador de seguridad era de $102600 en mayo de 2021. 

Estas son algunas de las principales organizaciones que contratan hackers éticos, junto con el salario anual promedio que ofrecen:

Empresa que contrata a hackers éticos	Salario promedio
Tesla	$167 552
Bank of America	$158 947
Lenovo	$145 745
Stellantis	$122 159
Google	$120 000
HackerRank	$116 355
IBM	$110 457
Little Caesars	$107 861
Test	$102 931
US Army	$96 000

¿Cómo es el día de trabajo típico del hacker ético?

La jornada laboral de un hacker ético “probablemente no tiene ninguna diferencia visual en comparación con un trabajo de desarrollo de software”, según Ata Hakçıl. Antes de entrar en detalles acerca de lo que podrías encontrar al trabajar como investigador de seguridad, estas son las responsabilidades que puedes esperar asumir:

1. Reunirte con los clientes para hablar sobre sus sistemas de seguridad actuales.
2. Verificar la seguridad del sistema, la organización de la red y los puntos de entrada vulnerables.
3. Realizar pruebas de penetración.
4. Crear informes de pruebas de penetración.
5. Identificar y documentar vulnerabilidades.
6. Hallar las mejores soluciones de seguridad.
7. Realizar pruebas de penetración después de implementar soluciones de seguridad nuevas o sugeridas.
8. Hallar alternativas a las soluciones de seguridad que no funcionan.

Así sería  un día de trabajo típico si fueras un hacker ético que ya estuviera trabajando en un proyecto: 

1. Comenzar  el día revisando tu bandeja de entrada de correo electrónico y tareas.
2. Revisar los hallazgos generados durante la noche por los scripts de ataque automatizados o sistemas analíticos que ejecutan ciertos informes.
3. Anotar el sistema operativo y las aplicaciones con las que tendrás que trabajar para realizar las pruebas de penetración.
4. Crear una lista de vulnerabilidades que puedes usar para tomar el control de un sistema.
5. Escanear el sistema y descubrir más vulnerabilidades para encontrar el mejor plan de ataque.
6. Buscar en foros de la dark web o contactar a otros hackers éticos para encontrar vulnerabilidades y cuál es la mejor manera de explotarlas.
7. Configurar escáneres automáticos de vulnerabilidades para realizar una gran cantidad de ataques rápidamente.
8. Realizar investigaciones adicionales para afinar tu plan.
9. Asistir a reuniones, hacer presentaciones o simplemente ofrecer comentarios sobre los informes de seguridad del sistema que envíes.
10. Aprender a trabajar con nuevas herramientas, perfeccionar tus habilidades y encontrar información nueva y valiosa para mantenerte al día.

La investigación de seguridad es ideal para las personas que prestan atención a los detalles y les gusta pensar cómo los actores malintencionados pueden explotarlos, el tipo de personas que podrían trabajar en control de calidad o pruebas de software.

La paciencia es clave. El hacking ético implica un trabajo monótono y las posibilidades de encontrar una vulnerabilidad suelen ser muy bajas. Te verás dedicando varias horas de trabajo todos los días y es posible que no siempre encuentres algo valioso. Dicho esto, si logras encontrar una vulnerabilidad, las recompensas suelen ser lo suficientemente grandes como para compensarlo todo.

Cómo convertirse en un hacker ético: estudios y trayectoria profesional

El hacking ético es una carrera muy atractiva para los entusiastas de la ciberseguridad. Además de ser emocionante, también tiene mucha demanda. Vamos a explorar los pasos que puedes seguir para convertirte en un hacker ético y construir una carrera exitosa en el ámbito de la investigación de seguridad.

• • 🎓 Obtén un título o certificación relevante: puedes comenzar por obtener un título en informática, ciberseguridad o un campo relacionado. Como alternativa, puedes obtener certificaciones relevantes como Certified Ethical Hacker/CEH (Certificación de hackeo ético), o el Offensive Security Certified Professional/OSCP (Certificado profesional de seguridad ofensiva).
  • 🛠️ Desarrolla habilidades técnicas: para ser un hacker ético efectivo, necesitarás una sólida comprensión de los lenguajes de programación, los sistemas operativos, las redes y otros aspectos técnicos de los sistemas informáticos. Puedes adquirir estas habilidades a través de cursos online, autoaprendizaje o experiencia práctica.
  • 💪 Obtén experiencia práctica: participa en programas de recompensas por errores, trabaja en proyectos de código abierto o sé voluntario en organizaciones que necesitan experiencia en seguridad cibernética.
  • 📑 Crea un portafolio: menciona las vulnerabilidades que hayas descubierto y cómo las has resuelto.
  • 🔃 Mantente actualizado: la ciberseguridad es un campo en rápida evolución, por lo que es importante mantenerse actualizado con las últimas amenazas, tecnologías y mejores prácticas. Asiste a conferencias, lee publicaciones relevantes de la industria y establece contactos con otros profesionales en el campo.

Después de convertirte en un hacker ético, puedes seguir varias carreras profesionales. Estas son algunas de tus mejores opciones junto con lo que cada uno de estos trabajos puede suponer.

• • ➡️ Probador de penetración: identifica vulnerabilidades en sistemas informáticos y aplicaciones al intentar explotarlas.
  • ➡️ Consultor de seguridad: asesora a las organizaciones sobre cómo mejorar su postura de ciberseguridad y desarrollar estrategias para protegerse contra las ciberamenazas.
  • ➡️ Respuesta a incidentes: investiga y responde a incidentes de ciberseguridad, como filtraciones de datos o ataques de malware.
  • ➡️ Analista de seguridad: supervisa y analiza redes y sistemas informáticos en busca de filtraciones y anomalías de seguridad.
  • ➡️ Arquitecto de seguridad: diseña e implementa soluciones de seguridad para organizaciones, como firewalls, sistemas de detección de intrusos y otras medidas de seguridad.

  P: ¿Cualquiera puede convertirse en hacker?

  Ata Hakçıl: “Me tomó unos 2 años de capacitación en seguridad las 24 horas del día, los 7 días de la semana, paralelamente a mi educación en informática, poder ser financieramente estable como investigador de seguridad. Es un campo que requiere que te mantengas constantemente al día con las noticias y pienses creativamente, pero si logras hacerlo, puedes convertirte fácilmente en un hacker. He conocido a muchos investigadores talentosos que todavía están en la escuela secundaria [y que participan] en concursos y eventos de seguridad.”

  Jeremiah Fowler: “El colectivo de hackers anónimos ha demostrado que cualquier persona, independientemente de su conjunto de habilidades, puede ser valiosa en un ataque coordinado. El grupo incluso llegó a ofrecer capacitación sobre cómo lanzar un ataque de denegación de servicio y otros métodos de bajo nivel o para principiantes. Básicamente, cualquiera puede convertirse en hacker. Solo depende de cuál sea el objetivo o el propósito y cuánto tiempo, energía y esfuerzo estén dispuestos a dedicar a aprender sobre los sistemas y sus debilidades o vulnerabilidades.”

  Deconstruyendo los estereotipos de los hackers

  Estereotipo 1: Los hackers son criminales. Los hackers éticos son solo un mito.

  En un mundo donde el hackeo ha sido estereotipado  por Hollywood, es hora de deconstruir los prejuicios y comprender la verdad detrás de los hackers éticos. Vamos a profundizar en los mitos y destruirlos.

  Estereotipo 2: Los hackers son lobos solitarios.

  Los hackers éticos a menudo se perciben como lobos solitarios que trabajan de forma independiente y aislada, pero esto no es necesariamente cierto. Si bien algunos hackers éticos pueden preferir trabajar solos, muchos de ellos trabajan en equipos o colaboran con otros profesionales de la seguridad.

  Estereotipo 3: Los hackers son tímidos e introvertidos.

  Jeremiah Fowler: “Es más un estereotipo. En mi caso, soy un orador público. He sido artista y me encanta hablar con la gente. Sin embargo, hay una subsección de hechiceros que se encierran y viven en un mundo digital. Los verdaderos hackers de sombrero negro a menudo infringen la ley, y ser tímidos o introvertidos puede ser un mecanismo de defensa beneficioso.”

  Estereotipo 4: los hackers éticos tienen que ocultar su identidad.

  Otro estereotipo sobre los hackers éticos es que deben ocultar su identidad, lo cual no es del todo exacto. Si bien los hackers éticos pueden necesitar tomar medidas para proteger su privacidad y seguridad mientras realizan su trabajo, esto no significa necesariamente que deban ocultar su identidad.

  P: ¿Utilizan algún apodo? Si es así, ¿por qué elegir uno?

  Ata Hakçıl: “He usado diferentes identificadores (y todavía uso algunos de ellos). Usar el mismo identificador en todas partes es una forma conveniente de no compartir información personal y a la vez mantenerse en diferentes plataformas. Nos conocemos por nombres de usuario, y cuando nos vemos en diferentes foros o en concursos de capturar la bandera, sabemos quién es. 

  Tengo muchos amigos con los que hablo a diario durante más de 5 años que no me reconocerían si me vieran en la calle pero reconocerían mi apodo en un tablero.”

  Jeremiah Fowler: “Nunca fui un gamer.Como músico, no podía entender por qué la gente se sentaba a jugar videojuegos. Muchos jugadores se ponían apodos o nombres en clave. Cuando vivía y trabajaba en Ucrania, en una de las primeras empresas en las que trabajé ninguno de los empleados usaba su nombre real y tuve que inventarme un apodo. 

  Entonces entendí  realmente lo genial que era crear esta persona online o crear  un nombre anónimo que no está relacionado con tu nombre oficial. Sí, definitivamente usé uno, pero ahora, como persona pública, estoy orgulloso de usar mi nombre real y ser independiente, justo y equilibrado con lo que hago y las noticias o historias que produzco.”

  ¿Todos los hackers éticos son autodidactas?

  La mayoría de los hackers éticos adquieren sus habilidades a través del autoaprendizaje y la práctica. Sin embargo, también pueden haber recibido educación o capacitación formal en seguridad cibernética, informática o un campo relacionado.

  Muchas universidades y colegios ofrecen programas de pregrado y posgrado en seguridad cibernética, y algunos también ofrecen cursos especializados y certificaciones en hacking ético. Estos programas ofrecen a los estudiantes una base sólida de conceptos, herramientas y técnicas de ciberseguridad. 

  Dicho esto, gran parte de la experiencia de aprendizaje de un hacker ético proviene de la práctica. Como este campo de trabajo requiere mucha paciencia, debes dedicar mucho tiempo a aprender a través de la prueba y error. 

  P: ¿Qué tiene de atractivo el hacking? ¿Qué te motivó a convertirte en un hacker ético?

  Ata Hakçıl: “Pasé más de 5 años trabajando en diferentes trabajos como desarrollador y me encantó. Tardé 1 día en darme cuenta de que disfruto más rompiendo cosas que construyéndolas. Mi compañero de cuarto de la universidad comenzó a practicar en un sitio web que era esencialmente un campo de entrenamiento para hackers. Implementan servidores intencionalmente vulnerables y te alientan a hackearlos y acumular puntos. Me mostró el sitio web y desde ese día esto es lo que hago.”

  Jeremiah Fowler: “Trabajo para una empresa que tuvo una filtración de datos de 15 millones de cuentas de sus clientes. Fue una pesadilla y quería saber cómo sucedió y por qué sucedió. Durante este viaje, comprendí cuántos datos estaban expuestos y aprendí tanto que me interesó. Por eso, sigo el camino de ser un investigador de seguridad ético.”

  Los hackers éticos vistos por su familiares

  Los hackers éticos a menudo no solo son incomprendidos por la sociedad, sino también por familiares y seres queridos, ya que a menudo tienen los mismos conceptos erróneos sobre el hackeo. Únicamente hablando  del trabajo que hacen y el valor que aportan a las organizaciones e individuos, podemos cambiar la percepción del público. Además, es importante enfatizar la creación de marcos legales para el hacking ético donde estos no existen.

  P: ¿Sus familias, parientes y círculos de amigos conocen su interés en el hacking?

  Ata Hakçıl: “Sí, hasta mi abuela lo sabe, me tomó mucho tiempo explicar que no era un criminal.”

  Jeremiah Fowler: “Desafortunadamente, sí, porque muchos de mis descubrimientos han sido cubiertos por algunos de los medios de comunicación más importantes del mundo. Toda mi familia me contacta a menudo cuando necesitan soporte técnico para resolver un problema con el ordenador, con el malware, o han sido hackeados.”

  El hacking ético en la cultura popular

  Cuando se le preguntó acerca de los hackers en la cultura popular y qué títulos retratan con mayor y menor precisión a los hackers, esto es lo que Ata dijo:

  “Creo que ninguna de las películas/series retrata con precisión a los hackers, pero bueno, sentarse frente a una computadora por tres horas mirando una terminal […] no siempre es emocionante. Sin embargo, Mr. Robot hizo un buen trabajo al representarlos.”

  La representación de un hacker es uno de los estereotipos más grandes que hay en la cultura popular. Hollywood no siempre ha sido amable con los profesionales de la ciberseguridad. Innumerables películas y programas de televisión han establecido un estereotipo de cómo debe ser un experto en seguridad y luego lo han reforzado activamente. 

  La escena casi siempre comienza con un chico joven (siempre son hombres) en un sótano oscuro, con una sudadera con capucha negra y rodeado por varias pantallas que muestran un panel de control negro y verde. Está tecleando frenéticamente y hackeando la base de datos del gobierno en cuestión de minutos. 

  Este estereotipo le ha dado al hacking una connotación muy negativa y estrictamente ilegal. Analicemos algunas películas y veamos cómo representan a los hackers. 

  
  

  ¿Qué sí hacer y qué no hacer como hacker ético?

  Puede que los hackers éticos no tengan un sombrero verde y un carcaj  de flechas, pero tienen un ordenador y la misión de hacer de internet un lugar más seguro. Pero antes de dedicarte por completo a tus habilidades para hackear, aquí hay algunas cosas que debes saber. Porque, seamos realistas, incluso las intenciones más nobles pueden salir mal si no conoces lo que se debe y no se debe hacer en el hacking ético. 

  Qué sí hacer en el hacking ético

  Obtener autorización antes de intentar hackear un sistema

  Pide permiso antes de realizar una prueba de penetración que parezca un ataque de fuerza bruta o de denegación de servicio del mundo real. Si no lo haces, parecerías un atacante malintencionado real y serías tratado como tal. Es posible que las organizaciones ya tengan un software para detectar dichas pruebas y que te prohíban trabajar con ellas nuevamente.

  Documentar tu investigación de seguridad

  Mantén registros detallados de todos los pasos que realizas durante el proceso de hackeo, incluidas las vulnerabilidades que descubras. Esto facilitará mucho las cosas cuando prepares un informe y comiences a solucionar problemas.

  Reportar los problemas en privado

  Respeta la privacidad de los propietarios del sistema, los usuarios y sus datos. Reporta los problemas de forma privada al cliente o proveedor del producto, y dales suficiente tiempo para solucionar los problemas. Si divulgas públicamente la vulnerabilidad demasiado pronto, pones en riesgo a tu cliente o producto y a sus usuarios, y probablemente no merezcas ninguna recompensa. 

  Verificar cómo comunicar los informes de vulnerabilidades

  Notifica a la organización sobre cualquier vulnerabilidad que encuentres y ofrece recomendaciones para solucionarla. Antes de reportar un problema, verifica cómo la organización prefiere recibir estos reportes. Las empresas suelen tener sistemas de informe de errores dedicados, donde puedes informar de forma confidencial. Otros utilizan direcciones de correo electrónico genéricas o de seguridad. 

  Siempre investiga

  Los posibles problemas pueden necesitar mucha investigación antes de informarlos. Si reportas algo sin probar realmente si puede ser explotado, puedes terminar perdiendo mucho tiempo, tanto tuyo como de tu cliente.

  Si continúas reportando cosas demasiado pronto sin una investigación adecuada, el cliente simplemente puede enfadarse y dejar de escuchar tus informes. O puede optar por no recompensarte cuando encuentres un problema real porque les has hecho perder mucho tiempo.

  Las organizaciones que ofrecen recompensas por bugs generalmente lo mencionarán en su política de seguridad. Si solo estás en esto por el dinero, verifica antes de comenzar a probar su sistema o red. 

  Qué no hacer en el hacking ético

  No solicites dinero demasiado pronto

  No exijas dinero antes de revelar información. No pedir recompensas financieras en tu primer correo electrónico es una regla básica. Esto parece más una extorsión que una hacking ético y da la impresión de que podrías ser un ciberdelincuente. 

  No haga suposiciones

  Si una herramienta dice que encontró algo, no asumas que es explotable. La mayoría de veces, las herramientas advierten sobre posibles problemas que solo pueden explotar en circunstancias específicas.

  No divulgues públicamente las vulnerabilidades demasiado pronto

  Pase lo que pase, nunca informes sobre los problemas en páginas web públicas como Twitter, Facebook, Reddit o foros. Si es la única forma de comunicarse con una empresa, envíales un mensaje indicando que tienes un problema de seguridad que reportar y pregunta cómo contactarlos en privado.

  No ignores las leyes locales

  El hacking ético y el hacking criminal no se diferencian entre sí en algunos sistemas legales. Siempre verifica si necesitas la autorización adecuada de una página web o proveedor antes de poner a prueba su seguridad.

  ¿Es el hacking ético el futuro de la ciberseguridad? 

  En un mundo donde los ataques cibernéticos y las filtraciones de datos son cada vez más comunes, los hackers éticos juegan un papel vital en la identificación de vulnerabilidades y la prevención de daños futuros. 

  Con sus habilidades y conocimientos para probar y proteger los sistemas, los investigadores de seguridad ayudan a proteger a las empresas e individuos de los ataques malintencionados. 

  Las empresas son el blanco más común de los ciberataques. Ata Hakçıl cree que “las pruebas de penetración y auditorías de código fuente periódicas” pueden ayudar a las organizaciones a proteger sus datos. Esto significa que los hackers éticos son extremadamente importantes para el futuro de la ciberseguridad. Las personas también deben estar igualmente atentas y practicar buenos hábitos de ciberseguridad para mantenerse protegidos online. Jeremiah Fowler aconseja a los usuarios que “utilicen una VPN, particularmente cuando se conecten a conexiones wifi públicas o compartidas, ya que es muy fácil extraer datos de ellas.”

  Comprar CyberGhost VPN