fbpx

¿Qué es el Hacking Ético y qué objetivos persigue?

¿Qué es el Hacking Ético y qué objetivos persigue?
11 Mar

¿Qué es el Hacking Ético y qué objetivos persigue?

Bienvenidos a un fascinante recorrido por el mundo del Hacking Ético, una disciplina que va más allá de la percepción común del término "hacker". En este artículo, exploraremos qué significa realmente el hacking ético, desmitificando estereotipos y revelando el propósito fundamental que impulsa a aquellos que se embarcan en esta apasionante travesía cibernética.

El hacking ético no es un juego de sombras en la oscuridad digital, sino una práctica legítima y crucial destinada a salvaguardar la integridad de sistemas y datos. Acompáñanos mientras desentrañamos los misterios de esta disciplina, descubriendo sus objetivos y la valiosa contribución que ofrece al mundo de la ciberseguridad. ¡Prepárate para explorar el lado ético de la tecnología y descubrir cómo el hacking puede ser una fuerza positiva para el bien!

¿Qué es el Hacking Ético y qué objetivos persigue? Por...

¿Qué es el Hacking Ético?

Cuando hablamos de Hacking nos referimos al intento de acceder a un sistema informático utilizando un conjunto de técnicas que permiten vulnerar las medidas de seguridad establecidas por la organización. 

El hacking ético, también es conocido como "penetration testing" o "pruebas de penetración", y como comentábamos anteriormente, es una disciplina especializada en la ciberseguridad que implica la evaluación proactiva de sistemas informáticos para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por actores malintencionados.

¿Qué elementos conforman el Hacking Ético? 

  • Acceso: supone la intrusión, penetración, allanamiento.

  • Ilícito: implica la carencia de autorización o justificación para ese acceso y ya fuere una carencia absoluta como si se excediere la que se posea.

  • Sistema informático: debe entenderse en sentido amplio, es decir, comprensivo de equipo, elemento componente o redes de comunicación.

>Por lo general, cuando se habla de hacking se suele hacer alusión a un acceso ilícito; pero el hacking es independendiente de la finalidad con la cual se realice, ya que también puede ser lícito y solicitado.

A este tipo de hacking, lícito y solicitado, es al que se le denomina Hacking Ético, una disciplina dentro del ámbito de la Seguridad Informática que permite evaluar tanto el grado de exposición a vulnerabilidades conocidas como el riesgo que asumimos por el mero hecho de utilizar la tecnología en nuestros procesos productivos

Los profesionales de la seguridad deben entender cuál es el lugar que ocupa el hacking ético en la seguridad informática, el uso adecuado de las herramientas que facilitan el hacking, los diferentes tipos de técnicas y la ética que rodea a todas esas cuestiones

Atendiendo a lo anterior, podemos decir que el Hacking Ético y la Seguridad Ofensiva van de la mano.

Pentest es un término en ingles, que viene de la fusión de las palabras "penetration" y "test" y en español suele traducirse como test de intrusión

¿Cuáles son los objetivos del Hacking Ético?

El principal objetivo del Hacking Ético es el de realizar una serie de pruebas, previo consenso con la organización que vamos a “auditar”, que nos permitan identificar fallas de seguridad en cualquiera de los ámbitos que hemos comentado (físico, personal y/o digital), investigando y explotando aquellas vulnerabilidades que encontremos, con el objeto de identificar el riesgo que la organización está asumiendo y valorando si este está en el los márgenes de riesgo aceptable que asume la organización/p>

A estas pruebas que miden el riesgo al que se se encuentra expuesta una organización se las denominan test de intrusión o pentest, y deben realizarse de de forma periódica. Recordad la “mejora continua” que exigen los Sistemas de Gestión de Seguridad de la Información (SGSI).">Para ello, utilizamos técnicas similares a las que podría utilizar un atacante.

¿Qué es el Pentest y por qué se le relaciona con el Hacking Ético?

Pentest es un término inglés que viene de la fusión de las palabras "Penetration" y "Test" y que, en español, suele traducirse como test de intrusión.

En general, este término se usa para referirse a las pruebas y técnicas que se realizan para identificar vulnerabilidades en los sistemas y explotarlas bajo circunstancias controladas, con el objetivo de tomar control de dichos sistemas, de manera que se pueda determinar el riesgo y el impacto potencial real del entorno analizado. Es decir, el objetivo del pentesting es medir el riesgo real al que está sometido el entorno analizado.

En muchos casos se confunde pentesting con análisis de vulnerabilidades, pero realmente son enfoques diferentes.

¿Qué diferencias existen entre Pentesting y Análisis de vulnerabilidades?

Mientras que el análisis de vulnerabilidades se centra en identificar y listar vulnerabilidades; el pentesting va más allá, pudiendo llegar a explotar algunas de las vulnerabilidades identificadas para tratar de acceder a los activos de la organización.

Esto es importante tenerlo en cuenta, porque dependiendo del tipo de proyecto a realizar (análisis de vulnerabilidades o test de intrusión), el objetivo del mismo será identificar tantas vulnerabilidades como sea posible (en el primer caso) o dejar esto como objetivo secundario mientras se trata de llegar lo más lejos posible explotando alguna de esas vulnerabilidades.

>Por ejemplo, durante un análisis de vulnerabilidad a una aplicación web, el auditor deberá identificar el mayor número de vulnerabilidades posibles que afecten a la aplicación, desde las de mayor riesgo a las meramente informativas

Sin embargo, durante un test de intrusión a la misma aplicación, el auditor es probable que no haga caso, o que incluso no llegue a realizar las pruebas para detectar vulnerabilidades de carácter informativo y se centre en buscar y explotar vulnerabilidades que le puedan permitir comprometer el sistema. Así, podrían ignorarse los XSS durante un pentest si no pudieran ser utilizados para conseguir acceso al servidor, mientras que otras vulnerabilidades como inyecciones de código puedan consumir más dedicación por parte del auditor.

Es importante tener esto en cuenta de cara a entender las limitaciones de los test de intrusión.

La realidad es que se ha dervirtuado la idea original de tal forma que la mayoría identifica a un hacker con un cibercriminal

En el siguiente vídeo, Juanjo Salvador, Director Académico del Campus Internacional de Ciberseguridad, nos cuenta cuáles son los enfoques y las fases del Pentesting dentro de la Seguridad Ofensiva.

¿Cuál es el papel de los Hackers en la Seguridad Ofensiva?

Probablemente todos hemos oído hablar de los hackers como ciberdelincuentes o personas que con propósitos maliciosos intentan acceder a los sistemas Informáticos de las organizaciones.

La expresión se suele atribuir al periodista Steven Levy en su ensayo Hackers: Heroes of the Computer Revolution, publicado en 1984, donde describe y enuncia con detalle los principios morales que surgieron a finales de los años cincuenta en el Instituto Tecnológico de Massachusetts (MIT) y, en general, en la cultura de los aficionados a la informática de los años sesenta y setenta.

Los principios clave pueden resumirse en el acceso libre a la información y en que la informática puede mejorar la calidad de vida de las personas, identificando como hacker a aquellos “expertos en el uso de los ordenadordes, con muy buenas habilidades en programación y que hace uso de estas habilidades para ganar conocimiento junto a otros. Un hacker, en principio, no entra en sistemas ajenos con propósito malicioso o para beneficio personal”.

La realidad es que, sobre todo las películas, han desvirtuado la idea original de tal forma que la mayoría identifica al hacker con un cibercriminal. Tal ha sido esto que el Diccionario de la Real Academia de la Lengua Española (RAE) agregó en 2014 la palabra el término y lo definió como “pirata informático

Ese tono peyorativo, llevó a Chema Alonso a liderar un movimiento para que se modficara esta definición, a través de change.org. Desde hace tiempo los hackers han sido investigadores que han ayudado al progreso de la sociedad tecnológica de nuestro tiempo. El utilizar la definición como "pirata informático" para la palabra hacker es una criminalización del término y una degradación a ciberdelincuente de un grupo de personas que gracias a su pasión por buscar los límites de las tecnologías han mejorado nuestro tiempo.

Gracias a esta petición, la RAE modificó en 2018 su definición de hacker para incluir, como segunda acepción, "la persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora"

Por otro lado, teniendo en cuenta cuáles son los intereses que motivian al hacker se pueden clasificar de diferentes formas, como ya vimos en el artículo del Blog "¿Qué tipos de hackers existen?".

Si te interesa formarte como hacker ético, e iniciarte en la seguridad ofensiva, desde el Campus internacional de Ciberseguridad te ofrecemos dos formaciones:

  • Un Experto Universitario en Hacking Ético de 5 meses, en el que además te prepararemos para que en el módulo final puedas certificarte con la EJPT2, una de las certificaciones de entrada más reconocidas.

  • Un Máster en Seguridad Ofensiva de un año en el que además te prepararemos para que a la finalización realices la formación PEN-200 de la Offensive Security y puedas certificarte con la OSCP, una de las certificaciones de especialización profesional más reconocidas.

 

 

 
Visto 1466 veces Modificado por última vez en Miércoles, 24 Abril 2024 12:45
Inicia sesión para enviar comentarios

Suscripción al Boletín:

Introduce tu e-mail y pulsa Enter para suscribirte
Apúntate y recibe mensualmente tips, noticias, eventos, recomendaciones...
  • Campus Internacional de Ciberseguridad
    Calle Campo de Gomara, 4.
    47008, Valladolid. España.
  • Tel.: +34 983 390 716 
  • E-mail: info@campusciberseguridad.com

SÍGUENOS EN: