Cada vez son más las empresas que contratan los servicios de un hacker ético para probar si sus sitios webs, servicios o productos digitales tienen riesgos y/o vulnerabilidades.
Cuando se habla de ataques cibernéticos, la figura del atacante es conocida como “hacker”, asignación que trae adjunta una atribución de una serie de aspectos negativos. Sin embargo, hoy en día diversas empresas que ofrecen servicios de ciberseguridad ponen a disposición personas con las mismas capacidades que un atacante cibernético, pero que usa sus habilidades para el bien. Estamos hablando del hacker ético.
El hacker ético, o conocido coloquialmente como White Hat, son personas que se entrenan, aprenden y realizan hacking de manera profesional, basados siempre en las directrices del cliente que necesita de sus servicios. Ellos tratan de romper la seguridad de sistemas TI con el objetivo de presentar un resultado de sus hallazgos poniendo énfasis sobre los riesgos y vulnerabilidades, proponiendo medidas y controles para mejorar la ciberseguridad de la empresa.
“A diferencia de otras pruebas de seguridad, los hackers éticos analizan las aplicaciones en formato 360, simulando un hackeo real, con todas las herramientas, procedimientos y ataques que podrían ser usados por un atacante malicioso en un ambiente real. Estas pruebas pueden ser externas o internas a la organización, a sitios webs, a aplicaciones de escritorio, aplicaciones móviles, sistemas industriales, entre otras. Se puede hasta simular ataques de ingeniería social y phishing”, afirma Rodrigo González, subgerente de ciberseguridad de la empresa Compunet.
Legalidad del Ethical Hacking
Aunque la figura del hacker ético no existe propiamente tal en la legislación chilena, cuando una empresa de ciberseguridad realiza un proceso de Ethical Hacking se acuerdan algunos puntos con los solicitantes. Uno de ellos, según explica González, es que se firma un acuerdo de confidencialidad y no divulgación (NDA) que tiene carácter legal y reservado, pudiendo existir sanciones si estos acuerdos no son respetados. Esta figura permite las revisiones de seguridad sin incurrir en un delito informático.
Por otro lado, se define un alcance acotado con el cliente, en donde se consideran “target”, horarios y alcances de las revisiones de seguridad. “Este es un punto importante, ya que generalmente un hacker ético puede tener la capacidad de botar un sistema o aplicación, perjudicando así la producción y explotación de las empresas”, comenta el experto en ciberseguridad.
La certificación es seguridad
Un hacker ético debe estar debidamente autorizado y certificado por instituciones internacionales. Una de ellas es EC-Council quienes poseen distintos niveles de certificaciones para los profesionales del ámbito de la ciberseguridad. “Contar con un proceso de ciberseguridad en donde se considere a un hacker ético permite aumentar la confianza que muchas personas tienen en las empresas o entidades. Por ello, existen normativas regulatorias, como el ISO 27001 y PCI DSS, que exigen contar con un programa de ciberseguridad en donde se incorporen tareas de Ethical Hacking”, agrega el experto.
Actualmente, el personal que realiza las tareas de Ethical Hacking en Compunet están certificados a través de EC-Council, mediante la certificación C|EH (Certified Ethical Hacker) y además, cuentan con la certificación en ISO 27001:2013 de todos sus procesos de gestión y evaluación de seguridad. “Nos enfocamos en detectar hallazgos de seguridad que no sólo son debilidades propias del sistema o la aplicación, sino que fuerzan las reglas de negocio que estos deben cumplir para detectar fallas de seguridad en la forma en que funcionan y se comportan”, indica el subgerente de ciberseguridad de Compunet (ww2.compunet.cl).
“Detectamos hallazgos y vulnerabilidades desde el día cero en distintas plataformas y equipamientos de seguridad, las que informamos al cliente de manera que puedan mitigar y reparar dichas falencias. Muchos de nuestros servicios de ciberseguridad alimentan retroactivamente fuentes de ciberseguridad públicas, las cuales son utilizadas por distintos centros de seguridad alrededor del mundo y aquí en Chile, como por ejemplo, el CSIRT del Ministerio del Interior”, concluye González.
