.png)
1. Introducción al Hackeo Ético
Los sistemas de información presentes en las grandes compañías han sido concebidos para automatizar la información de una organización, optimizando además el análisis y la toma de decisiones. No obstante, aunque estos sistemas ofrecen grandes beneficios para las empresas, también son vulnerables a posibles amenazas o ataques. Por este motivo, es importante que las organizaciones se preocupen en mostrar interés por salvaguardar dichos sistemas, así como tratar de mantener su información oculta.
Por tanto, la seguridad informática es prácticamente un arte y por este motivo el hacking ético juega un papel muy importante, hasta tal punto de ser considerado una disciplina o una modalidad dentro de este apasionante mundo del hacking. En pocas palabras, el hacking ético es el lado más beneficioso y legal del hacking, ya que el hacker está testeando la seguridad de un sistema ajeno por el fin de ayudar a la parte afectada a encontrar una solución a dichas vulnerabilidades o defectos de seguridad que las causan. La ingeniería social es un recurso utilizado tanto en el hacking ético como en el hacking no ético. Ser ingeniero social es aquel que es capaz de obtener información sensible utilizando la "psicología" de la otra parte. Sin embargo, la ingeniería social de por sí no es peligrosa, simplemente es un recurso del que disponen los hackers, que pueden usarlo para bien o para mal.
1.1. Definición y Conceptos Básicos
Con el término "hacker" hay que tener especial cuidado, dado que el mismo sufrió un gran desgaste semántico desde sus orígenes. La Real Academia Española define a "hacker" como el experto en informática que se dedica a superar sistemas de seguridad, pero dependiendo de la letra que antecede a Hackers, su significado cambia rotundamente: a) si por delante se pone "c" (Cracker) se denomina a quien introduce ilegalmente sistemas ajenos, como hizo el grupo Nomina 13 y/o New Security; b) si es con "p" (Phreaker) se refiere a quien copa la red telefónica, como cuando en los 60 se les conoció como El Cartel del Dalí; c) "l" (Lammer) tiene que ver con un novato (o no) en la materia informática, como los que se dedican a hacer escaneos de puertos; d) "e" (Merluzo) refiere al estafador que se hace pasar por alguien de confianza para hacerse con un acceso, normalmente obtención de contraseñas a través de engaños, ya sea mediante el envío masivo de correos electrónicos o bien mediante web falsificadas de lo que parece ser un correo-dominio del agrado/complaciente del objetivo.
Como se puede ver el hackeo, dependiendo del ámbito en que nos queramos adentrar, puede tener una connotación negativa o estar liderado por motivos éticos. Es por ello que Boswell (2007) recuerda que el Código de Hammurabi ya regulaba el comportamiento de las personas para con terceros e instituciones. De hecho, a la Informática no le iba a pasar desapercibido esta necesidad: la Association for Computing Machinery (ACM) y después, la Institute of Electrics and Electronic Engineers (IEEE), en sus manuales de ética, recuerdan que la actitud profesional del informático debe ser responsable y debe tender al bienestar general.
1.2. Historia y Evolución
El "hacking" es indudablemente un arte que ha existido desde los primeros tiempos de los ordenadores y se ha desarrollado junto con las emergentes tecnologías. Durante esos tiempos, varios estudiantes de instituciones reconocidas se proveían ilegalmente de los códigos para poder acceder y ejecutar aplicaciones individuales, lo que dio origen al primer grupo de hackers, denominado los "Home hackers". A finales de la década del 50, los miembros del Instituto Tecnológico de Massachusetts (MIT) desarrollaron la programación con el fin de estudiarla y poseer profundos conocimientos de los sistemas operativos, fundando así los "Tech hackers".
En 1966, las distintas universidades de los Estados Unidos tenían un número limitado de comunicaciones entre sí a través de la red telefónica, evadiendo el costo. Una sola tarjeta podía permitirle al "phreaker" viajar gratuitamente por el país. De este último término es que se origina la palabra "hacker", palabra que por entonces tenía una connotación positiva para designar a aquellas personas que se mostraban más habilidosas que el promedio con los sistemas computarizados. Sin embargo, en 1980, la palabra "hacker" toma por primera vez una connotación negativa debido al rápido crecimiento de Internet y su influencia entre la población del MIT y del Politécnico de Nueva York. El fácil acercamiento entre los distintos "profesionales" causó que un empleado de la empresa de servicios informáticos Bell, Ken Thomson, creara uno de los primeros y más peligrosos troyanos, lo que generó una serie de problemas para las dos entidades. El cambio definitivo en el significado de "hacker" se produjo al año siguiente, 1981, con la publicación de un artículo en la revista de seguridad informática 2600, por parte de su fundador.
2. Principios Éticos en el Hackeo
1) Practicar principios sociales y humanos que van desde el respeto a la privacidad de los individuos hasta el correcto comportamiento ante todas las partes implicadas. Un hacker debe ser consciente de los principios anteriores y hasta dónde estaría justificado "hackear", así como también las posibles consecuencias.
2) Actuar de forma no destructiva: Una vez que somos conscientes de este objetivo, se puede comprender que el hackeo ético tiene que ser no destructivo. No debería aprovechar ningún fallo para ocasionar trabajos que deben ser corregidos o para destrozar logs o datos.
3) Comunicar lo encontrado: Todos los detalles de la intrusión deben ser recopilados de forma que se pueda tener constancia de cómo, cuándo y a través de qué vía se ha vulnerado el sistema. Además, es fundamental notificar a la empresa afectada, probablemente mejore la relación con la misma.
4) Asumir la responsabilidad: Colaborar tanto como sea posible en la persecución del objetivo deseado, asentir en la responsabilidad de los hechos y ser consciente de los posibles riesgos que están asociados a este tipo de actividad.
Una política de "hacking ético" supone un reconocimiento de esta realidad y un intento de minimizar estos riesgos, junto a un compromiso de mantener en secreto cualquier información confidencial que se pueda obtener por parte de los participantes. La implicación ética beneficia tanto a las industrias de tecnologías de la información y la comunicación, dado que al fomentar un uso más responsable de las TIC por parte de los profesionales TI, se minimizan los riesgos asociados y se incrementa la confianza que las organizaciones en general depositan en las actividades dirigidas a incrementar su competitividad y crecimiento vía el uso y explotación de las TIC.
2.1. Respeto por la Propiedad Intelectual
El hackeo ético protege la propiedad del ingenio, en la medida en que los hackers tienen que seguir las normas de la propiedad intelectual. Esto implica que los hackeos legalmente aceptables no pueden incluir robos en la red. Es importante crear una definición clara de los límites que un pentester no debe cruzar. Es decir, no pueden acceder a privados si no tienen un permiso y, en cualquier caso, deben detener sus maniobras cosechas de información que ponga en peligro la empresa.
A menudo los términos ético y correcto son utilizados como sinónimo, aunque ambos conceptos no significan lo mismo. Un acto ético es el que cumple con los valores que rigen la sociedad a la que un agente pertenece, mientras que correcto suele usarse para referirse a actos acordes con las leyes establecidas. Una conducta ética es aquella que permite respetar y fomentar los valores e intereses consensuados socialmente, incluso cuando los propios intereses individuales y grupales sean distintos. Dicho de otro modo, realizar una tarea con ética significa hacerla no utilizando únicamente el conocimiento adquirido, sino también teniendo en cuenta los valores no escritos por los que se rige la sociedad en la que el técnico desarrolla su labor. Así, la labor de pentester ético va más allá del simple análisis técnico y llega al campo de los aspectos legales y personales, valorando si las técnicas empleadas y el entorno en que se utilizan son los más apropiados.
2.2. Consentimiento Informado
Cuando un investigador realiza un estudio vicariante con seres humanos, debe obtener el consentimiento informado de los participantes del estudio respectivo, que éstos tengan suficiente información al respecto y de que expresen su voluntad libremente, con el fin de garantizar el respeto a la autonomía individual bajo un principio ético, jurídico y que oriente a las políticas de revisión de bienestar animal y humano. Tomando como base los artículos 5, fracción VI, 24, 25 y 26 de la Ley General de Salud, y el 18, 20, 22, 23, 24, 25 y 26 del Reglamento de la Ley General de Salud en Materia de Investigación para la Salud, referente a la materia de consentimiento informado al participante de un estudio. Donde el artículo 5, fracción VI de la Ley General de Salud dispone que toda persona tiene derecho a decidir en forma libre, informada y voluntaria sobre su participación en la investigación, debiendo constar su decisión por escrito.
El artículo 18 del Reglamento de la Ley esclarece que el investigador in-vicariante deberá obtener por escrito el consentimiento del participante o, en su caso, el de su familia o su representante legal y quedarse con la certeza jurídica de que el participante ha comprendido los beneficios y los riesgos que conlleva su participación en la investigación. El consentimiento del participante deberá, en términos de lo dispuesto en el artículo 23, en los estudios en que se utilicen técnicas de grabación o filmación, que la persona o sus representantes legales omitan la naturaleza de tales técnicas y las ventajas de su utilización, o el investigador deberá ofrecer al participante o a sus representantes la posibilidad de decidir qué parte de la sesión no podrá grabarse si él o ellos así lo desean, y que en caso de recibir en alguno de sus receptores, mediante técnicas de inmersión, alguna forma de descarga mecánica, química, eléctrica, magnética o electromagnética nociva, podrá decidir qué procedimientos se seguirán para reducir o suprimir dicha recepción. De tal manera, si alguna afinación o modificación en el plan de trabajo, con relación al método detallado a seguir o a cualquier procedimiento de los propuestos, es incorrecta o inadecuada, en lugar del método consignado, el investigador debe seguir el o los métodos que informe a los participantes que utilizará conductas o procedimientos en vez del plan detallado, que él juzgue de importancia.
3. Herramientas y Técnicas Utilizadas en el Hackeo Ético
Para encontrar vulnerabilidades, se empieza analizando el rango IP del servidor que se va a auditar. A continuación, se explora manualmente o con la ayuda de scripts los servidores situados en el rango IP para encontrar posibles targets de ataque. Se audita el sistema operativo, las versiones y las actualizaciones aplicadas, así como los servicios disponibles y sus versiones. Cada sistema/programa/servicio gestionado tiene sus propios archivos de registro, como el inicio/cese del servicio, la modificación de archivos y la información del sistema operativo/propietario, y el registro del sistema. En general, por defecto, dependerá del tipo de configuración de nuestro entorno la cantidad de información útil que nos aporten estos archivos de información depurada, si necesitamos archivos con más logs o menos logs o más información.
En cuanto a la auditoría de aplicaciones, es un servicio que se encuentra auditando a los clientes. El phishing es el envío masivo y focalizado de mensajes a gran escala que consiguen engañar a personas y las llevan a una web que imita a la real relacionada con una empresa conocida. SET es una herramienta que nos ayuda a realizar varios ataques de ingeniería social creando páginas que simulan ser un servicio real para obtener datos como el nombre, apellidos, teléfono, etc. Rdesktop es la herramienta que utilizaremos para aprovechar el servicio de Terminal Server de Windows si encontramos que está habilitado o que es vulnerable al BlueKeep. Esto ofrece una ventaja mucho mayor que realizar el escaneo de escritorio con un NMAP por defecto. Ophcrack es una herramienta que utilizamos con varios propósitos. Sin embargo, el principal es la obtención del "churrasquillo", también conocido como password en modo de texto claro. Complementamos siempre la obtención del "churrasco" en caso de que sea posible conseguirlo. Algunas de las otras clases de ventanas emergentes son intersticiales, pop-under y pop-up.
3.1. Escaneo de Vulnerabilidades
El escaneo de vulnerabilidades (vulnerability scanning) es una técnica que se utiliza para buscar fallos conocidos en hardware, software, redes o sistemas, como puertas traseras conocidas, malas configuraciones de servidores y clientes, o errores de software que se han cubierto y actualizado. Hay dos formas de escanear vulnerabilidades: interna y externamente. El escaneo interno se realiza desde dentro de la red y necesita un punto de acceso remoto y una conexión a la red, lo que nos hace necesitar un punto de acceso o una caché de red para una precisa localización. Este tipo de escaneo es muy preciso pero también engañoso. Una empresa puede tener una política de seguridad muy laxa para su propia red y los equipos que la componen, lo que podría aportar un falso sentido de seguridad. Por otro lado, el escaneo externo es más preciso y valioso, es el que se realiza desde fuera de la red con la ventaja de poder trazar todo el flujo de tráfico. En muchas ocasiones se necesita utilizar un punto de acceso remoto dentro de la red para comprobar los datos salientes que indiquen la existencia de un fallo.
El escaneo externo nos indicará los servicios o equipos que están emitiendo algún tipo de información si existe un firewall con enmascaramiento (o DNAT): router o balanceador de cargas. Al escanear un orificio negro interno o puerto se llegará al router y deducirá que hay actividad. Por ejemplo, cuando se recibe una petición de servicios en una interfaz del router, este redirige los paquetes entrantes a otra interfaz para que sean procesados por el servidor (Versión de NAT mostrada). Además, las direcciones que están entre el router y los rangos que se redirigen a servicios no salen de la red porque se trata de una red privada (Private address) y no tienen posibilidades de estar en Internet.
3.2. Ingeniería Social
La ingeniería social es una técnica basada en la manipulación psicológica. El atacante pretende comunicarse de algún modo identificándose con alguna de las partes del sistema. Esta es una génesis más abducida a la estafa. Algunas técnicas empleadas y ejemplos reales serían las siguientes:
- Robar la identidad física:
Consiste en utilizar a alguna persona con autorización para la manipulación de un sistema para conseguir información acerca de la propia identidad del propietario de la información y así usarla para conseguir sus fines. Esta técnica se basa en la clemencia del legítimo propietario, a menudo un usuario de la información, para colaborar en el intento del atacante para solventar algún supuesto problema de acceso que el atacante no puede solventar. Pero al colaborar, se está cediendo la identidad digital al atacante. Se utilizaban fotografías extraídas de carnets de estudiantes americanos con facultades para el acceso a los diferentes envites y retos, pero de dificultad predecible. Una vez con la foto del estudiante en estudiante, en un único intento por estudiante, se utilizaba el carnet para entrar.
- El Acoso telefónico:
Pretende que el posible agredido facilite pares de usuario y password. Telefónicamente se le aborda intentando convencerle de que se le llama desde el departamento de sistemas para comprobar posibles irregularidades. El presunto agresor se aprovecha de un cuadro de grabación de contraseñas deficientemente informado, un par de spituser, password, suelen llevar marcos referenciales acordes con el entorno del sistema al que proporcionan el servicio. Envuelven telefónicamente a las operadoras y empleadas con numerosas preguntas y luego piden que les pasen con una máquina de plantas superiores, la empleada no duda en traspasar la llamada. Al colgar ya tienen superusuario en esa máquina y luego es solo cuestión de escalar privilegios a medida que van consiguiendo la información corporativa.
4. Áreas de Aplicación del Hackeo Ético
Empresas:
El hackeo ético es una excelente herramienta que pueden tomar en cuenta las empresas al momento de fortalecer el respeto a sus sistemas de información. Este proceso les puede permitir anticiparse y prevenir futuros incidentes e inminentes de seguridad y permanecer conforme a la ley de Ecuador (Decreto Ejecutivo No. 739 - Art. 24). Además, se considera un proceso indispensable al momento de realizar auditorías informáticas.
Estado:
En este caso se les permite realizar hackeos éticos, por medio de un permiso escrito y firmado por el representante legal responsable del sector en el cual se realizará la prueba, ya que en su gran mayoría incumple con la ley orgánica de telecomunicaciones y la ley y funciones que desempeñan los organismos que resguardan uno de los entes de información más importantes del país, por seguridad y resguardo de los datos de los ciudadanos. Quiero recalcar que en este caso solo se está aplicando hackeo ético con la finalidad de identificar vulnerabilidades y prevenir futuros ataques (Ley Orgánica de Telecomunicaciones, 2019).
4.1. Seguridad Informática
La seguridad informática tiene como objetivo proteger los recursos informáticos, tanto del hardware como del software, de cualquier intento de modificación que provenga de servicios o agentes no autorizados o de accesos no permitidos por los propios interesados. Los fundamentos de la seguridad informática (SI) se pueden resumir en tres áreas: disponibilidad, confidencialidad e integridad. Por el concepto de "seguridad informática" puede que se llegue a pensar de manera inmediata en un "aparato" o un "programa" que se encargue de proteger datos, pero nada más allá de la realidad. Toda empresa y también gran parte de la población en general, se siente desconfiada con respecto a la SI para tal situación.
El usuario debe tener en cuenta la SI como una actitud que obliga a preservar el sistema. A pesar de las contramedidas, los servicios de sistemas se encuentran limitados por la seguridad de los sistemas y los datos. El usuario debe disponer de los equipos necesarios para la seguridad del acceso de quien debe acceder a los sistemas. También para ello se debe fomentar que todos los interesados impartan la formación necesaria en este aspecto. Otro punto importante a tener en cuenta por el usuario es que debe mantener el conocimiento continuado de las medidas y recomendaciones que promuevan que le permitimos. El SI debe ser una actitud continuada. Por una parte, todos los usuarios tienen que ser cada día más conscientes de la fragilidad que, en materia de seguridad, comparte la red de comunicaciones de la UPV. Acción de externalizarnos a sus usuarios la mayor parte de la manipulación de la información diaria.
4.2. Pruebas de Penetración
Las pruebas de penetración (también conocidas como "pruebas pen") y resumidas como "pentesting" surgen de la idea fundamental de que cualquier sistema, ya sea de software o de hardware, es en esencia vulnerable a un ataque. De hecho, existen muchas formas de poder vulnerar una aplicación, desde la simple escalada de permisos a través de permisos que sean demasiado elevados de forma predeterminada, hasta el uso de técnicas de inyección de dependencias o desbordamientos de enteros. Aunque si bien es cierto que un buen software debe implementarse aplicando conceptos de seguridad, la seguridad de un servidor o aplicación nunca será al 100%. De ahí la necesidad de que en muchas organizaciones haya profesionales capaces de evaluar la seguridad de sus sistemas y aplicaciones.
En el ámbito informático es especialmente grave una fuga o filtración de archivos, ya que muchos de estos pueden contener información personal de clientes, proveedores o propios de la empresa. Los datos personales tratados en una actividad de carácter privado necesitan de la aplicación del principio de calificación y protección de datos y de la observancia del deber de confidencialidad. Los profesionales técnicos con acceso a la información deben cumplir con la normativa en la materia y observar estrictamente el resultado de su trabajo. Este profesional debe asegurarse de que no deja ningún recurso "como antes", por lo que debe probar a analizar cada servicio o equipo al cual ha tenido acceso por última vez, donde a la par parece que hubo algún acceso no legítimo: su puesto de trabajo anterior. Los equipos afectados pueden ser: aplicaciones, sistemas de archivos, servidores de impresión, limitación de puertos habilitados, políticas para uso de claves de recursos, seguridad de información almacenada y confidencialidad de datos, antivirus, y la configuración de las consolas de SQL Server y del SQL Admin.
5. Beneficios del Hackeo Ético
Los beneficios de una auditoría consistente, que ponga al acceso del cliente resultados exhaustivos serían:
- Identificar riesgos.
- Hacer frente a las complicaciones de ser atacado por hackers.
- Aprender tanto los responsables de la compañía como los técnicos que asesoran en referencia a la seguridad de los sistemas tecnológicos.
- Regularizar y normalizar la implantación de sistemas de seguridad, tanto por parte de los que ofrecen acceso (clientes, en mayoría de los casos), y que de los que ofrecen servicio (empresas proveedoras), puesto que la información que presente el proveedor será clara y lo suficientemente exhaustiva y verídica como para poder valorar la seguridad que se le ofrece, siendo consciente el cliente de ello. En el caso de los proveedores, les pondrá en competencia proporcionar ese nivel de seguridad basado en un estudio riguroso y verídico de penetrabilidad a través de auditorías con resultados proporcionados, consiguiendo con ello que las soluciones sean efectivas y no obsoletas casi desde su implantación.
Como clientes te obliga adquirir más confianza con tu proveedor/asesor ya que presentará y será capaz de defender los resultados ofrecidos, y que serán exhaustivos en base a la información proporcionada previamente. Resultará más fácil justificar al cliente interno una solución elaborada por el proveedor y con el consiguiente coste que puede suponer si tiene la suficiente información y seguridad. Posiciones mucho mejor a la compañía frente a la competencia siendo uno de los beneficios tangibles ya que dejan constancia de esa ventaja a través de un 'sello de seguridad'. Posibilita a la empresa presentar información relativa a su seguridad en sus ofertas, licitaciones.
5.1. Mejora de la Seguridad Informática
Minimiza el costo que implica una brecha de seguridad adicional al permitir solucionar vulnerabilidades previamente a un potencial ataque que afecte a los servicios prestados. Sitúa en posición de ventaja respecto a la competencia, ya que quienes no la realizan quedan a merced de los supuestos hackers éticos externos. Aunque varía en función de la actividad desempeñada por la empresa y el volumen de la información sensible de la que disponga, el costo puede llegar a ascender.
Los auténticos ciberdelincuentes disponen cada vez de métodos más desarrollados de perpetrar acciones nocivas, como ransomware o el empleo de la técnica del phishing, para no ser detectados. Y tal vez la subida en un primer momento, si no se lleva a cabo la realización de pruebas de intrusión, a la larga cueste más dinero y genere perjuicio a la imagen o confianza del usuario en los servicios que éste presta.
Los servicios de intrusión ética proporcionan resultados documentados y cómo han sido alcanzados: IPs, puertos abiertos, comandos que han ejecutado en los servicios, explotaciones de vulnerabilidades, cómo ha sido alcanzada la explotación, cómo ha estado el comportamiento de defensa por parte del sistema, información utilizada para defenderlo. Los clientes que lo han evaluado son bastante positivos con este servicio, que revela carencias en las pruebas de penetración interna, ofreciendo un conocimiento fiable y profesional del estado actual respecto a las vulnerabilidades de los sistemas de información corporativos. Y pudiendo realizar mejoras en los sistemas desarrollados por las empresas de explotación de vulnerabilidades de sistemas de información una vez que se han corregido las mismas.
5.2. Identificación de Vulnerabilidades
Análisis estático. Técnicas manuales.
Técnicas automatizadas: Utiliza herramientas automatizadas para intentar localizar vulnerabilidades en el sistema. Se realiza un análisis externo con máquinas que intentan encontrar agujeros ejecutando gran cantidad de comprobaciones de diversos aspectos como la configuración de los sistemas, puertos abiertos, software instalado, servicios en ejecución, etc. Tipos de técnicas de testeo Black-Box: Realizadas en entornos nombrados "blindados" (normalmente de producción). Desde la perspectiva del hacker, el blanco ideal son los servidores o sistemas a los que se pueda acceder desde el exterior, si además es un sistema con errores conocidos o que ejecute servicios conocidos especialmente vulnerables, tanto mejor. Las principales debilidades de este modelo son el tiempo necesario para probar completamente las posibles combinaciones y opciones posibles con los métodos habituales, además de que requieren el acceso completo al sistema sabiendo los vectores de ataque y el método de explotación de las vulnerabilidades, conllevando probabilidad de destrucción de los datos. Testeo white-box: Se realiza un análisis de código combinado con el conocimiento previo de los componentes del sistema. Los puntos fuertes de estas pruebas son la capacidad de probar todo el rango de valores para cada variable de entrada, el hecho de que se conocen todas las opciones posibles con respecto a la ejecución del error, y el hecho de que, siendo una especificación completa, no requiere el acceso físico al hardware en su caso, por lo que se pueden realizar pruebas in-house con éxito. Aunque también existen limitaciones, en general todo el test debe ser desarrollado a mano, y todas sus posibles rutas deben ser probadas de forma independiente, lo cual requiere un tiempo enorme si el software es medianamente complejo.
6. Legislación y Ética en el Hackeo Ético
6.1. Legalidad del Hacking: España
España se considera un país punitivo con el hacking e ilegal en general. El Código Penal lo castiga en el 'título XIX', dedicado a los 'delitos informáticos', y en 'el capítulo II', que se centra en los ataques a sistemas de información. En España existen cuatro actuaciones sancionables básicas: descubrir, vulnerar, elaborar y propagar. Cada una de ellas tiene su sanción aplicable con carácter general, aparte de un baremo cuantitativo por si se obtiene un beneficio económico del perjuicio causado. Al igual que con 'la Internet Profunda', se pudiera echar en falta al denominado 'hacking de sombrero gris' o el conocido por todos pero no debatido de forma generalizada, en el que un profesional de la ciberseguridad o 'hacker' (en este caso ya de la informática, el clásico de sombrero negro o 'cracker'), es contratado por el propio atacado para comprobar la solidez de sus sistemas, y seguidamente ponerle remedio.
6.2. Legalidad del Hacking: EEUU
En EEUU, donde "todo lo que no está expreso y específicamente permitido, está prohibido", el hacking que hasta hace poco se consideraba tanto 'bueno' o ético con negro, está ahora sometido a ciertos estándares. Uno de los mayores productores de hardware del mundo como Cisco Systems, tiene su política de Responsabilidad Colectiva Empresa Segura ('SRR'), para que cualquiera que ataque un equipo fácil de 'hackear' con pobres mecanismos de defensa que sean fácilmente friccionables, no sea juzgado penalmente por ello. Finalmente, la Administración estadounidense bajo el Reglamento Federal de Exportación revisa la actualización de los controles legales existentes en materia de exportación, y en 2013 chequeó que su 'Lista de Mercancías Controladas' no afectase a ningún software de 'hackeo'.
6.1. Normativas y Marco Legal
Marvel ha sido un modelo que ha labrado un camino regulando las ofertas de su foro. Se exige la participación de países miembros y, desde la modificación del Comité Asesor Profesional, comparten aportaciones bibliográficas. Su complejidad requiere la capacidad de trabajar en el Servicio de Orientación para la Secretaría. Constituye una continuación y medio que contribuye a la cubierta legal de gobiernos locales en las reuniones regionales. Es un diálogo entre otras organizaciones, entre otros los estadounidenses vuelven a estudiar una redacción de costumbres.
Puesto que se ha dado la oportunidad de que se obtuvieron en los lineamientos de operación firmados por Syndial, Empresa de Desarrollo Social, el disponible realización de intensas de documentación para su presentación. Y en los Comités de Plaguicidas y de Contaminantes de Tendinitis Andrómetas, respectivamente. Grupo Intergubernamental para la percepción que tenga que hacer una serie de acciones urgentes, tanto en el mismo incluido decir a usted y Marruecos proyectos de eficacia de la única especificación científica para el R, de transparencia y de Compilador, CSPE - bdp, Revit. Por Comun puta del Trípadium y dictamen Colegio de tramificación por supuesto distribución valor transaccional suspendido Tribunal que incluso en asuntos que soportan provechosamente.
6.2. Responsabilidad y Transparencia
El hacker ético asumirá una responsabilidad en la confidencialidad de la información obtenida y en su manejo mientras el hackeo se encuentre en curso. Actuará como si se tratase de su propia información, por lo tanto, tratará de evitar que los demás ingenieros del sistema se den cuenta de su trabajo. Una vez que el sistema ha sido hackeado, el hacker deberá comunicar a las autoridades responsables sobre las vulnerabilidades presentes en el sistema, así como las posibles soluciones que se pueden adoptar para una futura prevención de esos agujeros de seguridad. Además de comunicarlas, el hacker debe ayudar a las autoridades a encontrar una solución que posteriormente implementarán ellos.
En cuanto a la "transparencia", el hacking debe ser transparente y no comprometer los legítimos intereses de terceros. El hackeo no debe ser subrepticio; debe ser realizado de una manera que cumpla con los dos anteriores principios, por lo que se debe comunicar a los afectados cada hackeo que se vaya a efectuar, en la misma proporción, con excepciones para situaciones donde sea necesario mantener el sigilo. Bajo ninguna circunstancia una cuenta, alias, dirección electrónica u otro recurso personal perteneciente a un tercero será usado por un hacker ético, a menos que las propias políticas de seguridad lo establezcan y den el consentimiento los dueños legítimos, por lo que el hackeo sólo será efectuado a los recursos legítimamente cedidos o aquellos por los que se haya obtenido autorización previa del titular.
7. Conclusión y Futuro del Hackeo Ético
Contactar con hackers para que revisen y prueben la seguridad de las empresas, identificar las vulnerabilidades informáticas, reportar los resultados para que puedan reforzar sus sistemas. Pero los laboratorios de SEO, los creadores de antivirus o los gobiernos de todo el mundo contratan hackers para realizar labores de 'hackeo ético'. Se trata de localizar aquello que puede debilitar la seguridad del sistema a través de conductas "maliciosas". "El término 'hacker' tiene connotaciones negativas porque puede estar realizando ese tipo de conducta, pero, por el contrario, puede ser 'una genial persona, un consultor que le asignará la información gratuitamente, que comparte todo y que cumple con la normativa jurídica", apunta la abogada Pilar García Arocas.
Al respecto, también hace referencia a los términos "pentest" y "auditorías de seguridad técnica". El primero se emplea para diseño, información e ingeniería social y también va más allá de una u otra. Preguntada en qué se diferencia una auditoría de seguridad, describe ambas como "procesos de búsqueda activa de problemas que podamos tener y que ya estén utilizándose para algo, un mal uso".
El éxito del 'hackeo' ético radica en que el ataque del hacker que quisiera aprovecharse de esa vulnerabilidad ofrecida de forma responsable no será efectivo y que sí podría servir a la empresa para recibir la información pertinente que le evite males mayores. En suma, para la abogada y consultora de seguridad y privacidad, ésta sería la labor del hacker ético: "ofrecer información sobre esas debilidades para poder mejorar". Entonces, ¿qué falta que hagan organismos impulsados por el gobierno, compañías o creadores de antivirus para mantener a salvo a los y las víctimas del 'hacktivismo', de las distintas estafas vinculadas al 'phishing' o de otros tipos de ataques más clásicos? "Factor humano" y "gestión de riesgos" son las respuestas de Pilar García Arocas, quien explica la necesidad de acometer auditorías de la seguridad de las aplicaciones en varias capas, pues, como la misma define en otro momento siguiendo la norma ISO/IEC 27001:2007, no hay seguridad total.
