Con la creciente amenaza de los ciberdelincuentes y del hacking, la gente busca formas de defender sus redes y sistemas. Sin embargo, hay muchos mitos que rodean el aprendizaje del hacking ético. Mientras que algunas personas creen que es fácil, otras piensan que requiere conocimientos técnicos profundos.
La importancia de aprender hacking ético de los expertos
Cuando se trata de seguridad informática, la mayoría de los que la practican saben que lo que hacen no sólo es ético, sino también legal. Sin embargo, no todo el mundo lo sabe y mucha gente debate sobre este asunto.
La idea principal del hacking ético es que hay que atenerse siempre a las mismas reglas y limitaciones cuando se prueba un sistema. Desde un punto de vista ético, cualquier acción que realices en un sistema objetivo para probar la seguridad debe ser aplicable en situaciones del mundo real. No hay otra forma de hacerlo. Su oportunidad de dominar el hacking ético esta aquí.
No dejar rastro
Esta es una de las cosas más importantes que hay que aprender
Los hackers éticos tienen que aprender a no dejar ninguna evidencia después de haber completado sus pruebas, para que no haya ninguna duda de que el hacker estuvo involucrado. Por eso, saber cómo eliminar completamente sus huellas de una máquina es esencial.
Una de las mejores cosas del hacking ético es que puede ser una educación para todo su equipo. No importa cuánto pague a sus consultores externos o cuántos expertos en seguridad tenga en plantilla: si no aprenden a proteger su negocio de los malos, todos estarán en problemas.
Los encargados de las pruebas deben entender los fundamentos de la seguridad, como por ejemplo dónde encontrar los puntos más vulnerables de un sistema y cómo explotarlos.
También tienen que saber qué aspecto tiene un sistema explotado, para poder identificar los incidentes cuando se produzcan.
Pero la seguridad es mucho más que saber cómo hackear un sistema. A los hackers éticos se les enseña no sólo cómo entrar en los sistemas y luego cubrir sus huellas, sino también cómo asegurar una red contra futuros ataques.
Esta es una de las cosas más importantes que hay que aprender porque le ayudará a mantener sus sistemas seguros en el futuro. No tienes tiempo para arreglar los fallos de tu sistema una vez que alguien lo ha pirateado, sino que quieres arreglar esos fallos antes de que alguien sepa que existen.
No dañes nada
Recuerda que estás tratando de probar ordenadores y redes en busca de vulnerabilidades, no de destrucción
Estás buscando formas de ayudar a las organizaciones a mejorar sus sistemas y hacerlos más seguros, evitando en última instancia daños o pérdidas de datos, dinero, etc. Por lo tanto, nunca debes intentar hacer caer un sistema o causarle daños de ninguna manera.
La mayoría de las personas tienen una idea bastante clara de lo que es la piratería informática, pero no saben la diferencia entre los hackers de sombrero negro y los de sombrero blanco. Los hackers de sombrero negro son delincuentes que irrumpen en los sistemas para robar números de tarjetas de crédito, asaltar cuentas bancarias y destruir datos.
Los hackers de sombrero blanco utilizan sus conocimientos para ayudar a las organizaciones a descubrir las vulnerabilidades de sus sistemas y solucionarlas antes de que ocurra algo malo.
La piratería informática no consiste únicamente en romper las medidas de seguridad o en obtener acceso a información que se supone que no se puede ver.
También consiste en ser capaz de pensar como un hacker y entender cómo entran y salen de los diferentes sistemas para poder defenderse de ellos. Como hacker ético, tu trabajo consiste en ayudar a las empresas y a los profesionales de la informática a entender cómo trabajan estos delincuentes para que puedan evitar que causen daños.
Tu objetivo es infiltrarte en la red o el sistema informático de una empresa sin ser detectado y encontrar vulnerabilidades que puedan ser explotadas por un hacker malicioso. A continuación, informa de los problemas al propietario del sistema para que los solucione antes de que se produzca un daño real.
Observar las leyes y reglamentos aplicables
Parte de ser un hacker ético es comprender que las pruebas de seguridad realizadas sin autorización a veces pueden ser ilegales.
Todos los que practican el hacking deben asegurarse de conocer la ley antes de comenzar su trabajo, para no infringir accidentalmente ninguna ley o reglamento al entrar en la red informática de otra persona o acceder a algo que sería ilegal que vieran o accedieran.
Ser un hacker ético es algo más que no entrar en un sistema en el que no se está autorizado a estar. Parte de ser un hacker ético es entender que las pruebas de seguridad no autorizadas pueden ser a veces ilegales.
La Ley de Fraude y Abuso Informático de Estados Unidos (CFAA, por sus siglas en inglés) hace que sea ilegal que alguien acceda a una red informática o a un ordenador en el que no esté autorizado a estar, por cualquier motivo, incluso con el propósito de hacer un poco de hacking ligero. Esto se aplica incluso si la red ha sido abandonada, por lo que es un delito hurgar en su interior en busca de fallos.
También podrías infringir la normativa de tu estado, dependiendo del tipo de equipo que intentes hackear y de los derechos que el propietario del equipo te haya otorgado por escrito. Incluso si estás legalmente autorizado a hacer una investigación de seguridad en el sistema de alguien, puede que no quieran que lo hagas.
Algunas empresas hacen que sus abogados envíen cartas de cese y desistimiento o incluso amenazan con emprender acciones legales contra las personas que intentan hacer este tipo de trabajo sin permiso.
Si pueden demostrar que no tenías autorización para probar sus sistemas y que sufrieron pérdidas como resultado (por ejemplo, si los malos utilizaron tu información para entrar), podrían demandarte por daños y perjuicios en virtud de la CFAA.
Conclusión
Hay varias cosas que hay que tener en cuenta cuando se piensa en hackear una red. En primer lugar, ayuda saber que lo haces por una buena causa. Si no puedes hackear éticamente, entonces no deberías hacerlo. Siempre se anima a hackear en aras de la seguridad.
Si un sistema necesita ser mejorado, hay que encontrar formas de mejorarlo e informar de los problemas al administrador del sistema.
El hacking ético también hace uso de software de inteligencia de código abierto como nmap y burp suite porque pueden ser utilizados legítimamente. Encontrar vulnerabilidades es una cosa, pero encontrar puntos débiles que puedan ser explotados sin meterse en problemas es algo totalmente distinto.