¿QUÉ ES HACKING ÉTICO O ETHICAL HACKING?
Antes de dar una definición al término ethical hacking, podríamos definir el término hacking como: “el arte de explorar y llegar a conocer una tecnología o sistema de forma detallada, obteniendo la capacidad de manipularla, con el fin de obtener resultados, para los cuales el sistema o tecńologia no fue diseñado.
El hacking ha tenido una connotación muy negativa, de hecho, la mayoría utiliza el término hacker o hacking para referirse a los cibercriminales y a sus actividades delictivas; incluso personas muy influyentes en la industria, utilizan el término hacking de forma negativa y, es ahí, donde el término ético, reivindica de cierta manera la concepción de la palabra hacking, el término ético/ethical, contextualiza de forma positiva la labor de muchas personas que utilizan sus habilidades, técnicas y conocimientos, día a día, para ayudar a personas, empresas y organizaciones (privadas y públicas) a estar más seguras en un mundo donde se han acabado los valores.
El hacking ético es entonces la utilización de habilidades (skills) y técnicas desarrolladas en el contexto de los sistemas de información, con el fin de evaluar de forma proactiva los sistemas de información y el acceso a los mismos, buscando vulnerabilidades o fallos de seguridad que podrían ser utilizados por cibercriminales, para obtener acceso a la información crítica; dentro de un contexto legal y con el permiso del propietario del sistema, con el fin de mejorar la seguridad
¿Por qué es importante el ethical hacking dentro de una organización?
- Para hallar las vulnerabilidades y fallos de seguridad del sistema de forma proactiva, antes de que lo hagan los agentes maliciosos, los chicos malos o los black hat hackers.
- Tomar conciencia en la organización sobre las amenazas, los riesgos y la gestión de los mismos.
- Remediar vulnerabilidades y fallos de seguridad para reducir la superficie de ataque y anticiparse a la explotación de los mismos.
¿Qué tipos de hackers existen?
En el contexto de ciberseguridad se habla de 6 tipos de hacker: white hat hacker, blue hat hacker, green hat hacker, red hat hacker, grey hat hacker y black hat hacker. Cuando se habla de ethical hacking, se hace énfasis en los white hat hackers, gray hat hackers y black hat hackers
A continuación voy a describir los tres tipos de hackers
White Hat hackers:
Los hackers de sombrero blanco utilizan las habilidades que han adquirido en el contexto de los sistemas de información y el acceso a los mismos, con el fin de encontrar fallas de seguridad que podrían ser explotadas por cibercriminales para causar cualquier tipo de daño a una organización; las actividades que lleva a cabo el white hat hacker, han sido previamente acordadas con la organización y tienen una filosofía ética, proactiva y de mejora continua.
Algunos white hat hackers populares en la industria son: Charlie Miller, Dan Kaminsky, Greg Hoglound, Richard Stallman y, muchos otros ¿Quieres ser uno de ellos?
Grey Hat Hackers:
Los hackers de sombrero gris utilizan las habilidades que han adquirido en el contexto de los sistemas de información y el acceso a los mismos, con el fin de hallar fallas de seguridad en las organizaciones; en ocasiones, los hallazgos son difundidos en la comunidad, en otras ocasiones, a los responsables de las organizaciones.
De una forma u otra, a diferencia del white, los grey hat hacker no cuentan con la autorización expresa para realizar esas actividades y, así, en la mayoría de los casos sus intenciones sean buenas, podrían haber cruzado la delgada línea entre lo legal e ilegal y estarían presuntamente, cometiendo un delito.
Black Hat hackers
Son criminales que utilizan las habilidades desarrolladas en el contexto de los sistemas de información y acceso a los mismos, con el fin de ingresar de forma ilegal y sin ningún tipo de autorización a los sistemas de información de una compañía, con el objetivo de causar daño económico, reputacional, moral, entre otros.
Es importante tener en cuenta que hay personas que sin habilidades técnicas pueden causar daños, mediante la utilización de las herramientas disponibles en la web, se conocen como script kiddies
La motivación de los black hat hackers puede ser económica, política, “prestigio” o por una “diversión oscura”.
¿Cuáles son las fases del ethical hacking?
En el ethical hacking se tienen en cuenta las siguiente fases:
- Fase 1: Reconocimiento
- Fase 2: Escaneo
- Fase 3: Explotación
- Fase 4: Post explotación
- Fase 5: Reporte e informes
¿Es el ethical hacking lo mismo que el pentesting?
Los términos ethical hacking y pentesting son utilizados indistintamente, es decir, se tiende a creer que ethical hacking y pentesting es lo mismo; si bien es cierto que estos conceptos tienen muchas, muchísimas similitudes, tienen algunas diferencias, a continuación encontrará una tabla en la cual es contrastan ambos conceptos, en torno a cuatro aspectos:
Aspecto
Ethical Hacking
Pentesting
Propósito
Es de carácter holístico e involucra más metodologías
Es más enfocado
Alcance
Intenta dar cobertura a todo el sistema de información de la organización de forma periódica (proceso, de carácter contínuo),
Proceso que cubre solo algunas partes o áreas del sistema de información, su ejecución no es tan periódica. El ámbito es menor
Permisos requeridos
Al tener un carácter más holístico, se requiere permiso para efectuar pruebas en la
mayoría de elementos o áreas del sistema de información.
Debido a que se enfoca en un área particular, solo se requiere el permiso para testear dicha área
Conocimiento
Se requiere conocer sobre múltiples aspectos del sistema de información como: almacenamiento, virtualización, programación, hardware hacking
Se requiere un conocimiento más específico del área que se va a evaluar; ejemplo: si se va a probar una aplicación web, se debe conocer específicamente de esa temática.
En conclusión, no son lo mismo, tienen diferencias sutiles y se podría decir que el Pentesting hace parte del Ethical Hacking
¿Cómo convertirse en un hacker ético?
Para convertirse en un ethical hacker o hacker ético, el primer paso es aprender, dedicarse a estudiar temas esenciales como:
- Electrónica
- Conceptos de redes, modelo OSI , modelo TCP/IP, direccionamiento IPv4 e IPv6, servicios telemáticos, routing, switching, etc.
- Sistemas operativos como Linux, Windows, BSD.
- Sistemas de almacenamiento.
- Contenedores, serverless
- Virtualización y cloud computing
- Fundamentos de programación, leer e interpretar código fuente desarrollado por otros.
- Conocer los diferentes tipos de ataques, aprender de metodologías como OWASP, OSSTMM, OWISAM.
Entre otros.
¿Te gustó este post? por favor déjanos tus comentarios! Sé un buen HackerPro y comparte con tu comunidad! Suscríbete a Behackerpro
Fuentes:
https://encyclopedia.kaspersky.com/glossary/white-hat-ethical-hacker/
https://www.kaspersky.co.uk/resource-center/definitions/hacker-hat-types
https://www.eccouncil.org/ethical-hacking/
https://www.itgovernance.eu/blog/en/ethical-hacking-vs-penetration-testing-whats-the-difference
Originally published at https://behacker.pro on June 2, 2021.