Con frecuencia los términos ‘hacking’ y ‘hacker’ se asocian con actividades ilegales, brechas de datos e información robada. Pero hay un tipo de hackeo que las fuerzas de seguridad no persiguen, que es legal y ético: el hacking de sombrero blanco.
A medida que la ciberdelincuencia se hace más sofisticada, las técnicas de prevención deben avanzar a la misma velocidad. Para asegurarse de que esto ocurre, a los hackers de sombrero blanco se les paga por piratear legalmente los datos y los sistemas de información para encontrar puntos débiles e informar de ellos a las organizaciones.
Un usuario puede descargar protección para sus sistemas domésticos, pero las grandes organizaciones recurren además a los hackers éticos para que les muestren dónde pueden necesitar reparaciones en sus sistemas. Sigue leyendo esta guía para descubrir qué otras diferencias distinguen a los hackers de sombrero blanco de los ciberdelincuentes.
Definición de hacker de sombrero blanco
En términos sencillos, un hacker de sombrero blanco es un pirata informático contratado legalmente por una organización -o persona- para hackear sus propias infraestructuras de información, con el fin de encontrar posibles puntos débiles. Aunque estas personas violan los sistemas de seguridad, lo hacen deliberadamente y con permiso de sus clientes, lo que las distingue de los otros hackers, incluidos los hacktivistas.
El término ‘sombrero blanco’ (white hat) hace referencia a las viejas películas del Oeste: los buenos solían llevar sombreros blancos y los malos sombreros negros. En el ámbito de la piratería informática, muchos de los sombreros blancos son, a menudo, antiguos hackers de sombrero negro que se pasaron a la piratería legal y ética por diversas razones.
A diferencia de otros ciberdelincuentes, los sombreros blancos ayudan a las organizaciones a realizar evaluaciones de vulnerabilidad y notifican cualquier punto débil a los responsables de crear parches. En lugar de piratear para obtener información y beneficios personales o políticos, se meten en los sistemas para aumentar la seguridad y reducir los ataques maliciosos.
Otros tipos de hackers
Además de los hackers de sombrero blanco y los hackers de sombrero negro existe una tercera categoría: los hackers de sombrero gris.
- Los hackers de sombrero negro se caracterizan porque utilizan su actividad para su propio beneficio personal o político. Además, venderán o explotarán cualquier vulnerabilidad de la infraestructura que encuentren, dejando a las organizaciones expuestas a ataques posteriores.
- Los hackers de sombrero gris, por su parte, se sitúan en un punto intermedio. Aunque es menos probable que causen daños a los sistemas que piratean, no suelen pedir permiso a las organizaciones antes de piratearlas. Creen que pueden cambiar las reglas en lo que respecta a la piratería ética y dan prioridad a su moral personal sobre la ley.
| Hackers de sombrero blanco | Hackers de sombrero gris | Hackers de sombrero negro |
|---|---|---|
| Contratado legalmente | No contratado legalmente | No contratado legalmente |
| Notifica a las organizaciones las vulnerabilidades | Hackea sin permiso, pero sin explotar los sistemas ni causar daños | Vende, utiliza o explota las vulnerabilidades |
| Expresa buenas intenciones | Expresa intenciones moralmente ambiguas | Expresa intenciones malas y perjudiciales |
| Prioriza la ley | Prioriza la moral personal | Prioriza el beneficio personal o político |
Técnicas de sombrero blanco
Los hackers de sombrero blanco y los hackers de sombrero negro utilizan las mismas herramientas y técnicas para violar los sistemas de seguridad. Sin embargo, en lugar de exponer a una organización al peligro, los de sombrero blanco ayudan a proteger su estado de seguridad. Por norma general, los de sombrero blanco utilizan técnicas como:
- Pruebas de penetración: una prueba de penetración ayuda a determinar los puntos débiles de una infraestructura y los posibles puntos de entrada. Después se comunican a la organización.
- Phishing por correo electrónico: las estafas legales de phishing -también conocidas como campañas antiphishing- se ponen en marcha para encontrar posibles vulnerabilidades. También se utilizan para enseñar a los usuarios de la empresa cómo puede llegar una verdadera estafa de phishing.
- Ataques DoS y DDoS: un ataque de denegación de servicio detiene o modifica el rendimiento de una red o sistema de seguridad. Los sombreros blancos reproducirán este tipo de ataques para que las organizaciones puedan adaptar sus planes de respuesta.
- Ingeniería social: los ataques que utilizan la ingeniería social manipulan la naturaleza y la respuesta humanas. Los sombreros blancos simularán estos ataques para poner a prueba la seguridad de una organización y educar a los usuarios en estrategias de ataque.
- Análisis de la seguridad: los hackers de sombrero blanco utilizarán también herramientas para escanear automáticamente aplicaciones web y sistemas de código abierto en busca de puntos débiles.
Consideraciones y limitaciones legales
Aunque los hackers de sombrero blanco tienen la ley de su parte, aún hay algunas consideraciones y limitaciones legales a tener en cuenta.
Consideraciones legales:
- Permiso por escrito: para poder piratear legalmente el sistema de una organización, deben recibir un permiso por escrito. Este permiso es lo que diferencia a un hacker de sombrero blanco de uno de sombrero gris o negro.
- Consentimiento empresarial secundario: si se pide a un hacker de sombrero blanco que penetre en el sistema de un socio comercial, esa otra empresa también debe dar su consentimiento. Si la empresa secundaria no da su consentimiento a ningún tipo de prueba de penetración, los hackers de sombrero blanco podrían ser legalmente responsables de los daños y de la actividad ilegal.
- Devolución de la información: si un sombrero blanco consigue penetrar en un sistema con información segura, debe informar inmediatamente de ello a la organización. El sombrero blanco ha tenido entonces acceso a información personal. Es importante tener esto en cuenta, ya que los clientes pueden no ser conscientes de que se ha accedido a su información.
Posibles limitaciones:
- Tiempo: los hackers de sombrero blanco están limitados a un lapso de tiempo determinado a la hora de vulnerar un sistema de seguridad. A diferencia de los hackers de sombrero gris y de sombrero negro, los de sombrero blanco no disponen de meses o años para probar diversas técnicas y herramientas de pirateo. La organización sólo les proporcionará una cantidad limitada de tiempo para encontrar y notificar vulnerabilidades.
- Alcance: a la mayoría de los hackers de sombrero blanco sólo se les permite realizar ciertas pruebas de penetración. En la cadena de objetivos cibernética (o kill chain), hay otros eslabones más allá de la penetración. Sin embargo, el alcance del hacking de sombrero blanco normalmente sólo incluye encontrar debilidades y llevar a cabo brechas de seguridad.
Aunque estas limitaciones y consideraciones legales pueden hacer del hacking de sombrero blanco una profesión más restringida, tiene sus ventajas:
- El hacking de sombrero blanco está permitido por la ley.
- Los hackers de sombrero blanco son remunerados y el trabajo es rentable.
- Las organizaciones están más protegidas.
- Las competencias en informática, codificación y fallos de seguridad son una profesión reconocida.
Cómo Convertirse en hacker de sombrero blanco
Convertirse en un hacker de sombrero blanco es como cualquier otra profesión; muchos estudian y reciben una certificación de hacker de sombrero blanco, reconocida por diferentes organizaciones públicas, como el Departamento de Defensa de EEUU y otras importantes agencias gubernamentales.
El Consejo de Comercio Electrónico (EC-Council) estableció una certificación estándar para hackers éticos. Estas certificaciones de hacker ético (CEH) pueden encontrarse ahora en varios lugares, como el programa del Global Tech Council. Las certificaciones CEH pueden ser exigentes y rigurosas, por lo que el consejo también fomenta el uso de otras herramientas de certificación.
Herramientas de certificación:
- Programa de formación EC-Council: este programa de formación CEH consta de 20 módulos que abarcan más de 300 ataques y 2.000 herramientas de hacking. Los tres centros de formación acreditados son EC-Council, Affinity IT Security y Pearson VUE.
- Manual y cuaderno de ejercicios del examen CEH: el manual y el cuaderno de ejercicios de EC-Council ofrecen preguntas de práctica para el examen CEH.
- Cursos de preparación: organizaciones como Infosec Institute ofrecen cursos de preparación para ayudar a preparar a los futuros hackers de sombrero blanco.
- Pruebas prácticas: se anima a los candidatos a realizar pruebas prácticas antes del examen oficial CEH. La evaluación en línea CEH de EC-Council y las evaluaciones de habilidades Infosec son los mejores tests prácticos.
Una vez obtenida la certificación, los hackers éticos pueden desempeñar diversos trabajos y carreras profesionales:
- Puestos de trabajo en el sector privado para instituciones financieras, empresas tecnológicas, instituciones educativas, empresas aeroespaciales, empresas sanitarias…
- Puestos gubernamentales en seguridad de datos, administración y seguridad de redes, ingeniería, evaluación de vulnerabilidades y más.
5 hackers de sombrero blanco famosos
A los hackers de sombrero blanco les suele gustar la programación, la adrenalina o simplemente averiguar cómo resolver el rompecabezas que representa un sistema de seguridad. Además, muchos hackers éticos se han convertido en poderosos e influyentes profesionales de la seguridad informática, que han decidido utilizar sus habilidades para el bien común, como estos cinco conocidos hackers de sombrero blanco:
-
Kevin Mitnick
Kevin Mitnick, el hacker más famoso del mundo, comenzó su carrera como hacker de sombrero negro en los años 80 y 90. Tras aparecer en la lista de los más buscados del FBI y cumplir condena por piratear grandes empresas, Mitnick se convirtió en especialista en pruebas de penetración de sombrero blanco. Ahora es escritor y consultor de ciberseguridad y ha contribuido a cambiar la forma en que las autoridades persiguen a los ciberdelincuentes.
-
Jeff Moss
También conocido como ‘The Dark Tangent’, Jeff Moss es el fundador de las conferencias de hackers Black Hat y DEF CON. Como profesional de la seguridad de sombrero blanco, Moss ha creado un espacio para que hackers y funcionarios gubernamentales se reúnan, hablen y aprendan unos de otros. Además, ha sido asesor del Departamento de Seguridad Nacional.
-
Richard Stallman
Richard Stallman es programador informático y defensor del software libre y abierto. Es el fundador del Proyecto GNU, un sistema operativo de código abierto que promueve proyectos de diversos creadores. Ha trabajado estrechamente con James Gosling (que desarrolló Java) y siempre ha apoyado la idea de que todo el código informático debe estar abierto a modificaciones y a ser compartido.
-
Steve Wozniak
Cofundador de Apple, también conocido como ‘The Woz’, Steve Wozniak es un empresario y filántropo que empezó como hacker de sombrero blanco. Ayudó a dar forma a la industria informática con sus diseños de Apple I y II. Ahora, Wozniak ha fundado la Electronic Frontier Foundation, ha recibido el premio Legacy for Children y ha fundado Woz U, que forma a personas en ingeniería de software y tecnología.
-
Tim Berners-Lee
Antes de fundar la World Wide Web en 1989, Tim Berners-Lee pirateaba zonas restringidas de la Universidad de Oxford. También es cofundador de Inrupt, que promueve el uso de Solid, una plataforma de código abierto que permite a los usuarios controlar sus datos. Además, Berners-Lee es Director del Consorcio World Wide Web.
Aunque existan hackers éticos, es importante recordar que los cibercriminales, como los hackers de sombrero negro, continúan buscando puntos débiles y vulnerabilidades para crear brechas de seguridad en los sistemas de información. Más de 30 millones de usuarios han apostado por los servicios Premium de Panda Security para protegerse mientras navegan por Internet en su hogar o almacenan datos personales en el trabajo.