Hacking ético: sus claroscuros, implicaciones y beneficios

Miércoles 25 de abril de 2012

“La práctica de “hackear” se ha convertido en un problema mundial. Los hackers (piratas informáticos) de hoy día pueden ser desde curiosos estudiantes de escuela, universitarios, hasta criminales profesionales. Entre las razones para “hackear” se encuentran: el que estos individuos puedan probar sus destrezas y habilidades técnicas así como también sus capacidades para cometer actos fraudulentos y dañinos. Así que, no es sorpresa que la defensa contra este tipo de personajes se haya convertido en un componente vital.”

Este es el comienzo del artículo escrito por Aury M. Curbelo, y cuánta razón tiene, especialmente cuando afirma que entre estudiantes de colegio y universitarios se encuentran los hackers más peligrosos, esto debido a la curiosidad y ganas de demostrar que simplemente pueden hacerlo.

Lo que sorprende bastante es el hecho de que en un país en el que el acceso a internet es uno de los más caros del continente, sin embargo ha crecido bastante el comercio informal de equipos y software que proporcionan las herramientas necesarias para un hacker.

“Asimismo, durante los últimos años el término “hacking ético” ha despertado innumerables puntos de vista a favor y en contra. Por definición el hacking ético es conocido como una prueba de intrusión o “pentest”, que se define esencialmente como el “arte” de comprobar la existencia de vulnerabilidades de seguridad en una organización, para posteriormente a través de un informe se señalen los errores de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas de información y ataques informáticos.”

“Pero este fenómeno trae como consecuencia, una pregunta incómoda para muchos y relevante para el tema: ¿cuál es la ética detrás del hacker ético?, ¿Acaso no, cuando capacitamos a un empleado para que actué y piense como un hacker malicioso no estamos arriesgando mucha de nuestra información y recursos? ¿Realmente estas capacitaciones nos están protegiendo o nos estamos arriesgando más?”

Posiblemente no hemos hecho estas preguntas varias veces, ya se al momento de contratar un Oficial de Seguridad para nuestras empresas o al contratar una empresa que realiza este tipo de trabajos. En todo caso la duda siempre está y dependerá de quien realice el trabajo de demostrar cuan ético es que tan confiable puede ser al confiarle el activo más importante. Es cierto que existen clausulas de confidencialidad en los contratos laborales y de servicios y también está la posibilidad de llegar a ámbitos legales si se vulnera la confianza depositada, sin embargo lo ideal es evitar esos desagradables momentos para ambas partes.

¿Cuál es la ética detrás del hacker ético?

“El objetivo fundamental del hacking ético consiste en:

• Explotar las vulnerabilidades existentes en el sistema de interés, valiéndose de una prueba de intrusión, verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etcétera.

• Con la intención de ganar acceso y “demostrar” las vulnerabilidades en el sistema. Esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados.

Bien dice que para atrapar a un intruso primero debes pensar como uno, sin embargo, en términos de los aspectos legales y éticos que involucra esta práctica el mantener la confidencialidad y privacidad de los datos de mi cliente es un aspecto crítico a considerar.”

Curbelo plantea 10 principios éticos, posiblemente no sean los únicos que se deberían considerar, sin embargo me parecen que engloban lo mínimo necesario como ética profesional de un Hacker Ético:

Código de Ética Profesional de Pen Testers: 10 Principios Éticos

1. Independencia.

2. Fidelidad empresarial.

3. Cuidado del cliente.

4. Profesionalismo y calidad en la operación.

5. Responsabilidad corporativa.

6. Imparcialidad, neutralidad y transparencia de procesos.

7. Evitar el conflicto de intereses.

8. Obediencia estricta a las leyes.

9. Respeto.

10. Dar los créditos correctos en el informe final.

Suele pasar que muchas veces, funcionarios resentidos por su desvinculación, deciden hacer uso de sus antiguos privilegios en desmedro de la entidad. Pero por que debería ocurrir esta situación, porque funcionarios que ya no prestan servicios en una entidad deberían continuar con sus privilegios activos?, para evitar esta situación se debe establecer claramente políticas de seguridad para protegerse y evitar brechas o ataques.

Es una opinión personal, que cuando el empleado tiene claras sus funciones y se capacita en aspectos éticos de su profesión muchas de estas situaciones se pueden prevenir o evitar. La política de control de accesos que recomienda la ISO 27000 deberá estar implementada ya que no está de más prevenir que lamentar.

Deberemos manejar entonces el concepto de Seguridad Preventiva antes que correctiva. Para ello cuán importante es diseñar un plan operativo anual o plan de actividades anual que se adecua a la realidad de cada entidad y sus funcionarios, ya que un punto importante a considerar en el desarrollo de estos documentos es el factor humano, que dicho sea de paso es el factor de mayor riesgo en seguridad de la información. No es suficiente con tener políticas, normas y procedimientos bien redactados e implementados, también es muy importante la concientización del personal.

En conclusión, las pruebas de “hacking ético” son una herramienta importante para determinar debilidades o vulnerabilidades en cuanto a la seguridad de la información de una entidad y poder mitigar los riesgos que estas conllevan, protegiendo de esta forma el activo más importante: “LA INFORMACION”

La doctora Aury M. Curbelo es consultora y conferenciante internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense. Además es profesora en el área de Sistemas computadorizados de Información. El artículo completo lo encuentras en:

http://www.bsecure.com.mx/featured/... (parte 1) y http://www.bsecure.com.mx/ultimosar... (parte 2).