ANÁLISIS EN PROFUNDIDAD

Hacking ético, la cara «buena» de los ataques ciber que combaten la vulnerabilidad de las empresas

Un conjunto de prácticas que pretenden descubrir cualquier amenaza y vulnerabilidades que puedan tener el software de las organizaciones, evaluar los riesgos de ciberseguridad y en ocasiones colaborar en la corrección de estos fallos respectando, así, la sensibilidad de los datos

07 Nov 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

Hacking ético

Estamos viviendo en un escenario caracterizado por un constante aumento de ataques ciber. De hecho, la seguridad cibernética es cada día más fundamental para contrastar los hackers que operan en la red y pueden infligir daños potencialmente devastadores. Sin embargo, hay también hackers que están del lado de los «buenos», i.e. los así llamados hackers éticos que dirigen las armas cibernéticas a su disposición e identifican vulnerabilidades en aplicaciones web, redes y sistemas de empresas antes de que los piratas informáticos tengan éxito.

Hacking ético: qué es y en que consiste

El hacking ético consiste en obtener el acceso autorizado a un sistema informático, aplicación o datos de una organización con el intento de identificar vulnerabilidades de seguridad que luego pueden resolverse antes de que un atacante malintencionado tenga la oportunidad de explotarlas.

Los expertos en hacking siguen cuatro conceptos clave de protocolo:

  1. Mantenerse legal, i.e. obtener la aprobación adecuada antes de acceder y realizar una evaluación de seguridad.
  2. Definir el ámbito, i.e. determinar el alcance de la evaluación para que el trabajo del hacker ético permanezca legal y dentro de los límites aprobados por la organización.
  3. Informar de vulnerabilidades, i.e. notificar a la organización todas las vulnerabilidades descubiertas durante la evaluación y, al mismo tiempo, proporcionar consejos de corrección para resolverlas.
  4. Respetar la sensibilidad de los datos, i.e., los hackers éticos, según la sensibilidad de los datos, pueden tener que aceptar un acuerdo de no divulgación, además de otros términos y condiciones requeridos por la organización evaluada.

Hacker ético y diferencia con otros tipos de hacker

Cabe decir que no todos los hackers son iguales. Hay tres tipologías de hacker: los de sombrero negro (Black Hat), los de sombrero blanco (White Hat) y los de sombrero gris (Gray Hat). Un hacker se ubica en uno u otro bando en función de sus motivaciones y de la legalidad de sus actos, y precisamente:

  • Hacker de sombrero blanco (White Hat) o Hacker ético – antagonista del llamado sobrero negro (Black Hat) – es un hacker “malicioso” que pone sus habilidades a disposición de las empresas que deben defenderse de acciones hostiles destinadas a dañar la confidencialidad, integridad y disponibilidad de los datos almacenados o procesados por los sistemas informáticos. La definición de hacker ético proviene del hecho de que la acción es ética, ya que existe una aprobación previa del cliente o de la «víctima» para la detección de fallas /vulnerabilidades.
  • Hacker de sombrero negro (Black Hat) es un delincuente que se introduce en redes informáticas ilícitamente para introducir ataques malévolos o se dedica a robar contraseñas, números de tarjetas de crédito y otras clases de información confidencial, a tomar sistemas de rehén o a propagar malware diseñados para borrar archivos.
  • Hacker de sombrero gris (Grey Hat) está en el medio, combinando las características de los otros dos tipos. De hecho, el hacker de sombrero gris busca vulnerabilidades, sin permiso de la empresa y, cuando encuentra un problema, se lo hace saber y, a veces, también se ofrece a corregir el inconveniente por un pequeño pago. Estos tipos de hacker desean, sobre todo, hacer alarde de sus conocimientos y obtener reconocimiento (o agradecimientos) por sus contribuciones a la ciberseguridad.

¿Qué hace un hacker ético? Listado de tareas, habilidades, tecnología y herramientas

Las tareas de un hacker ético son:

  • Realizar pruebas de penetración en infraestructuras de IT y aplicaciones web.
  • Realizar y simular ataques cibernéticos.
  • Verificar la seguridad de los sistemas de IT para contrarrestar las amenazas.
  • Detectar e investigar vulnerabilidades.
  • Elaborar un informe de seguridad para documentar las actividades realizadas.
  • Supervisar las anomalías del sistema y reconocer los intentos de acceso no autorizados.

Las habilidades técnicas y skill más requeridas para trabajar como hacker ético son:

  • Conocimiento profundo en el campo de TI y seguridad de TI.
  • Experiencia en la realización de pruebas de penetración y evaluaciones de vulnerabilidad.
  • Conocimiento de las principales amenazas y tipos comunes de ataques a sistemas informáticos.
  • Experiencia en el uso de herramientas de hacking e ingeniería inversa.
  • Conocimiento de las mejores prácticas de ciberseguridad.
  • Conocimiento de la legislación sobre privacidad y procesamiento de datos.
  • Inventiva y flexibilidad.
  • Capacidad para trabajar en equipo.
  • Compromiso ético.
  • Fiabilidad y discreción.

¿Qué estudios y certificaciones existen para convertirse en un hacker ético?

Cabe decir que no existe un perfil único de hacker ético. Aunque no hay rutas de estudio específicas, para convertirse en un hacker ético se requiere:

  • Tener un título en Ciencias de la Computación o Ingeniería Informática, pero también en Física o Matemáticas.
  • Haber asistido a cursos de especialización en Seguridad Cibernética.
  • Haber concluido trayectorias profesionales.

Cabe decir que la formación académica es ciertamente muy útil, aunque las habilidades necesarias para trabajar como hacker ético se adquieren sobre todo con la experiencia en el campo.

Las ofertas de trabajo para hacker ético requieren, muy a menudo, la posesión de certificaciones en el campo de la seguridad cibernética como un requisito preferencial que garantiza tanto las habilidades técnicas como la comprensión de las responsabilidades éticas relacionadas con la profesión. En este respecto existen certificaciones internacionales como Certified Ethical Hacker (C|EH) que es una credencial del International Council of Electronic Commerce Consultants (EC-Council). Se trata de la certificación integral de piratería ética más exigente que capacita a un individuo en metodologías de piratería no convencionales y comprueba su compromiso con el lado ético. Hay también un nivel superior de certificación de piratería ética altamente práctica i.e. C|EH (Practical) basada en 20 desafíos de la vida real para validar las habilidades esenciales para el dominio de piratería ética.

Las dos certificaciones permiten obtener la credencial C|EH Master que facilita el acceso a una amplia gama de puestos de trabajo de alto nivel que requieren habilidades de CEH y, precisamente: analista de seguridad de la información, especialista en seguridad nacional, analista forense informático, analista de ciberseguridad, ingeniero de seguridad, probador de penetración, auditor de seguridad, gerente de seguridad de la información, probador de vulnerabilidades, consultor de seguridad, analista de seguridad de redes y analista de detección de intrusos.

Se señalan también otras certificaciones reconocidas a nivel internacional y, precisamente: OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert), GPEN (GIAC Penetration Tester), ECSA (EC-Council Certified Security Analyst).

¿Dónde es empleado un hacking ético y cuánto gana?

Los hackers éticos pueden trabajar como consultor de ciberseguridad (para empresas de consultoría IT o como autónomo), o como empleado del departamento de IT de diversos tipos de empresas, reportando al responsable de seguridad IT. También hay oportunidades de trabajo en la Administración Pública. Cabe señalar que asistimos a una demanda de hackers éticos en constante crecimiento a frente del digital Far West en acto.

El salario típico de un hacker ético depende de sus conocimientos y comprensión de la ciberseguridad, de la programación informática, de las redes de ordenadores, etc. Las certificaciones y la experiencia pueden aumentar su salario.

Según los últimos informes, un hacker ético de nivel de entrada (con menos de 3 años de experiencia laboral) puede esperar un salario promedio total de alrededor de € 60,000 brutos por año. Un hacker ético de mitad de carrera, con 4-9 años de experiencia, puede tener un salario promedio de alrededor de € 80,000, mientras que un hacker ético senior con 10 años de experiencia gana un promedio de € 110,000. Un hacker ético al final de su carrera con más de 20 años de experiencia puede esperar un salario medio de más de €120,000.

@RESERVADOS TODOS LOS DERECHOS
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant

En posesión de la certificación de Continuidad de Negocio - AMBCI BCI, UK y CBCP DRI, USA, Risk Management FERMA Rimap, consultor de Business Continuity & Risk Management, realiza actividades de difusión y desarrollo de la cultura de resiliencia en diversas instituciones y universidades

Temas principales

Especificaciones

A
Ataques en la web
C
Ciberseguridad
H
hackers

Nota 1 de 5