¿Autorizar el hackeo de nuestros sistemas informáticos y aplicaciones para detectar vulnerabilidades y resolverlas? ¡Sí! En realidad, el llamado hacking ético es una práctica de ciberseguridad controvertida que, hasta ahora, es legal. Decimos “hasta ahora”, porque no hay una mención explícita de este procedimiento como una opción de medida técnica en la legislación de protección de datos.
Aun así, el hacking ético es un método efectivo para determinar una estrategia que garantice la integridad de los activos informáticos de una organización. Siempre y cuando se tomen las precauciones necesarias.
¿Qué es el hacking ético?
En sí misma, la definición de este procedimiento es paradójica. Un hacking ético es el intento autorizado de un experto en ciberseguridad de acceder de forma no autorizada a un sistema informático, aplicación o base de datos. Como dijimos, esta incursión debe estar autorizada por el responsable del activo informático y su propósito es identificar las vulnerabilidades de seguridad de dicho activo. Precisamente, antes de que un ciberdelincuente las descubra y les saque provecho.
En este sentido, los hackers éticos o “sombreros blancos” son los especialistas informáticos que ejecutan esta clase de evaluación de ciberseguridad. Su labor proactiva y delicada ayuda a las organizaciones a reforzar las medidas de seguridad para proteger sus sistemas de ataques maliciosos.
¿Cuál es el protocolo indispensable para realizar un hacking ético?
Los expertos contratados para realizar el procedimiento que nos ocupa siguen un estricto protocolo para cumplir los objetivos del mismo:
- Ajustarse a la legalidad. Es pertinente reiterar que, previo a la ejecución del hacking ético, el experto debe contar con el consentimiento explícito por escrito y firmado del responsable. De ninguna forma, esta evaluación puede llevarse a cabo sin tal autorización.
- Determinar los límites del procedimiento. En efecto, es importante establecer los alcances de la evaluación para mantener la labor del hacker ético dentro de la legalidad y dentro de los límites definidos por la propia empresa o entidad.
- Presentar un informe completo de las vulnerabilidades del sistema analizado. Junto al mismo, es imprescindible incluir recomendaciones muy detalladas de las soluciones y medidas necesarias a implementar para resolver estas debilidades. Normalmente, los profesionales y empresas especializados en hacking ético ofrecen asesoría a sus clientes.
- Respetar la protección de datos. Ciertamente, considerando la confidencialidad y la sensibilidad de los datos, los hackers éticos deben aceptar un acuerdo de no divulgación; aparte de otras condiciones exigidas por el responsable de la organización evaluada para garantizar la seguridad de los datos.
Con frecuencia, el hacker ético realiza una segunda prueba similar, con el consentimiento del responsable del sistema, para garantizar que las vulnerabilidades están totalmente resueltas.
Este tipo de intervenciones autorizadas son fundamentales para dificultar al máximo el acceso ilícito de los hackers maliciosos. Estos delincuentes cibernéticos acceden a sistemas y datos poco protegidos para obtener beneficios económicos y hasta reconocimiento personal. Algunos de ellos, se divierten desconfigurando sitios web o colapsando servidores backend. Otros pretenden dañar la reputación o causar pérdidas financieras a determinadas organizaciones.
¿Cómo seleccionar a un profesional o empresa para hacer un hacking ético?
Existen profesionales independientes especializados y empresas dedicadas a la protección de datos que cuentan con personal debidamente capacitado para realizar un hacking ético. Lo cierto es que estos expertos deben tener muy amplios conocimientos informáticos y de ciberseguridad.
En concreto, los hackers éticos deben reunir el siguiente perfil:
- Contar con experiencia en lenguajes de scripting.
- Tener dominio de los diferentes sistemas operativos.
- Conocimiento y habilidad para profundizar en las redes.
- Demostrar instrucción y comprensión sólidos de los principios de seguridad de la información.
A continuación, mencionaremos algunas de las certificaciones más conocidas que pueden avalar a una empresa o profesional que realice hacking ético:
- Seguridad CCNA de Cisco.
- SANS GIAC.
- EC Council: Certificación de Hacking Ético Certificado.
- Certificación de Profesional Certificado en Seguridad Ofensiva (OSCP).
- CompTIA Security+
¿Qué problemas suelen identificarse durante el hacking ético?
El propósito del hacking ético es evaluar la seguridad de los activos informáticos y el nivel de protección de datos de una organización. Desde esta perspectiva, al imitar a un atacante, el hacker ético busca vectores de ataque contra los objetivos. La acción inicial es efectuar un reconocimiento exhaustivo para captar toda la información posible.
Tras reunir dicha información, el especialista la emplea para identificar las vulnerabilidades que debilitan la protección de los activos informáticos.
En paralelo, para realizar esta evaluación, el “sombrero blanco” combina pruebas automatizadas y manuales. Es importante advertir que por muy complejas que sean las tecnologías de contramedidas de algunos sistemas sofisticados, estas pueden ser muy vulnerables a los ataques.
Más aún, los hackers éticos suelen hacer uso de exploits contra vulnerabilidades. Con esta acción, demuestran cómo un ciberdelincuente puede aprovecharlos.
Debilidades más comunes que encuentran los hackers éticos
- Configuraciones de seguridad erróneas.
- Exposición de datos sensibles.
- Empleo de componentes con vulnerabilidades comunes.
- Ataques de inyección.
- Protocolo de autenticación roto.
Limitaciones del procedimiento
Tanto por restricciones de la empresa contratante como por razones operativas, la efectividad del hacking ético puede verse afectada. Esto se refleja en:
- Limitaciones de alcance. Los hackers éticos no pueden profundizar más allá de parámetros definidos para que un ataque tenga éxito. No obstante, es prudente advertir a la organización del potencial de ataque fuera de tales alcances.
- Recursos. Mientras los ciberdelincuentes se toman todo su tiempo para hacer sus acciones delictivas, los hackers éticos suelen tener tiempo limitado para su operación. Aparte de esto, la potencia informática y el presupuesto también son condicionantes adicionales para los “sombreros blancos”.
- Pruebas restringidas. Muchas organizaciones exigen a los expertos evitar pruebas que ocasionen el colapso de los servidores. Entre ellas, los ataques de denegación de servicio –DoS y DDos– que colapsan y anulan la capacidad de respuesta de equipos y servidores.
¿Es legal el hacking ético?
Si tenemos en cuenta que las propias organizaciones interesadas en resolver las vulnerabilidades de sus sistemas informáticos contratan a “sombreros blancos” y autorizan el acceso irregular a los mismos, el hacking ético es un procedimiento legal.
Líneas arriba, adelantamos que la legislación sobre protección de datos no menciona de forma explícita esta práctica como mecanismo de seguridad aplicable. Si recurrimos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea, podemos encontrar un argumento que lo justifique de forma tácita. Específicamente, en el artículo 32.2 que establece lo siguiente:
“(…) Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (…)”
En particular, la legislación española tampoco menciona de manera taxativa el hacking ético. Pero es pertinente aclarar que el hacking malicioso está contemplado como delito en el Código Penal (Artículo 197), aunque sin usar este término. En sí, lo interesante de esta disposición es que impone un castigo de seis meses a dos años de prisión a quien acceda a un sistema de información sin autorización y vulnerando las medidas de seguridad de este. Por lo que se supone que el acceso del hacker ético con el consentimiento del responsable no es ilegal.
Aun así, podemos quedar en una suerte de limbo si consideramos que un hacking ético puede incluir prácticas de ingeniería social. Mismas que emplean los ciberdelincuentes para captar credenciales de trabajadores de una empresa y así acceder a equipos y sistemas. Esto sí choca directamente con el RGPD de la UE y la LOPD-GDD española, porque implica obtener datos personales sin consentimiento.
El hacking ético es una de nuestras opciones de servicio
En Legal Veritas somos asesores y proveedores de servicios para la adaptación de páginas web y aplicaciones a la legislación vigente de protección de datos. En este contexto, nuestra oferta de servicios incluye el hacking ético para analizar las vulnerabilidades de las plataformas online de tu empresa. Por supuesto, contando con la debida autorización y respetando las limitaciones que establezcas como responsable de los sistemas y del tratamiento de datos.
En función de esto, contamos con profesionales altamente cualificados en materia de ciberseguridad que te ayudarán efectivamente a identificar tales vulnerabilidades y a tomar medidas contundentes para solucionarlas. ¡Contáctanos y conoce todos nuestros servicios!
Deja una respuesta