Si escribe "Ethical Hacker", "Black Hat" o "White Hat" en un motor de búsqueda, no sólo encontrará resultados sobre las últimas ofertas en sombreros. Estos términos están profundamente relacionados con la seguridad de la información y el pirateo de sistemas informáticos. Pero, ¿qué tienen que ver los sombreros con la piratería informática? ¿Y qué es un hacker ético? Estas son las preguntas a las que responderemos en el siguiente artículo del blog.
Ethical hacker: en primer lugar, ¿qué es exactamente el pirateo informático?
Probablemente haya leído artículos sobre los "10 mejores hacks de camping", que explican cómo hacer palomitas de maíz en una hoguera, o haya oído hablar de los "life hacks", que pueden facilitar la vida cotidiana de forma creativa. "Hackers", por tanto, son por definición personas que utilizan sus conocimientos y creatividad, a menudo relacionados con la tecnología, para entender, mejorar y cambiar los sistemas existentes. Desde los años 80, sin embargo, el término ha sufrido una transformación negativa y se ha reducido al ámbito de la seguridad informática. Hoy en día, en el habla cotidiana, se llama hacker a alguien que penetra en los sistemas informáticos ajenos.
Black hat, white hat y hacker ético: ¿cuál es la diferencia?
Los piratas informáticos son casi exclusivamente gente sospechosa con capucha, aporreando teclados en una habitación oscura frente a varias pantallas. Esto también es evidente en los medios de comunicación, tanto en las noticias como en las películas. Ahí queda claro: la palabra "hacker " suele tener connotaciones negativas. Quizá por eso se necesitan otras descripciones para distinguir a los hackers: cada vez se habla más de hackers de sombrero negro y hackers de sombrero blanco. Pero, ¿en qué se diferencian?
Los términos tienen su origen en las antiguas películas del Oeste. Allí, los personajes buenos con sombreros blancos se distinguían de sus homólogos malvados que llevaban sombreros negros. Y es precisamente en este sentido en el que volvemos a encontrar los "sombreros negros" y los "sombreros blancos" en el mundo del hacking. Para distinguir entre el bien y el mal en los hackers, tenemos que fijarnos sobre todo en dos factores: su motivación y la legitimidad de su trabajo.
Los sombreros negros encuentran motivación en su propio beneficio económico, pero también en el ciberespionaje, las protestas o por pura emoción. Intentan robar, cifrar o destruir datos personales, información financiera o datos de acceso, causando así daños a quienes atacan. Actúan sin el conocimiento de las personas o empresas a las que atacan y, por tanto, se exponen a ser procesados.
Más información: ¿Cómo se descubre y desenmascara a los piratas informáticos?
Los "sombreros blancos", por su parte, utilizan sus habilidades por una buena causa. Su enfoque es similar al de los hackers de sombrero negro, con la diferencia de que no actúan ilegalmente. Trabajan para empresas u organizaciones como especialistas en TI y ayudan a descubrir y cerrar brechas de seguridad mediante la piratería informática. Su motivación es mejorar y asegurar los sistemas técnicos. Cada vez más empresas recurren a estos servicios para evitar ciberataques malintencionados.
La distinción entre blanco y negro, el bien y el mal, es, como en todas partes, demasiado miope en el mundo de la informática. Por eso existe un tercer grupo: los "sombreros grises". Se sitúan entre los dos anteriores. Detectan las vulnerabilidades de seguridad sin el consentimiento o el conocimiento de los propietarios del sistema, pero luego informan de los problemas a los afectados. A continuación, piden una recompensa económica por su trabajo o/y dan a las empresas un plazo para solucionar los problemas y luego hacen públicas las vulnerabilidades. No persiguen sus objetivos con mala intención. Su motivación es dar a conocer el problema y disfrutar del propio pirateo. Este tipo de piratería se encuentra al borde de la ilegalidad, ya que los black hat trabajan sin el permiso de los propietarios del sistema y suelen acceder a información confidencial. Un estudio de 2018 de Osterman Research demostró que los límites entre los white hat y black hat son cada vez más difusos.
Comprender el papel de un hacker ético
A los hackers de sombrero blanco y gris también se les llama "hackers éticos". Este término describe un enfoque responsable de las propias habilidades y resultados de hacking. Existen incluso cursos, conferencias y certificados para hackers éticos que quieran ofrecer su trabajo de forma oficial. Y es que, además de una actitud ética adecuada, los hackers éticos deben cumplir otros requisitos: gran destreza técnica, capacidad para ponerse en la piel de los atacantes y comprensión del valor de los datos y sistemas que deben proteger.
En este contexto, quizá recuerdes un caso destacado en los medios de comunicación en mayo de 2021. La hacker Lilith Wittmann descubrió vulnerabilidades de seguridad en la aplicación de la campaña electoral de la CDU. Entonces informó al partido, a la Oficina Federal de Seguridad de la Información y a los comisarios de protección de datos de Berlín, ofreciéndoles la oportunidad de solucionar el problema. No publicó su trabajo hasta que la aplicación estuvo fuera de línea. Este enfoque también se denomina "revelación responsable" y es un ejemplo de hacking ético. Sin embargo, el caso también muestra lo difícil que puede ser evaluar este tipo de trabajo con arreglo a la ley. En este caso, la CDU presentó una denuncia penal contra Wittmann, lo que no sólo aumentó la vergüenza pública para el partido, sino que también dio lugar a la declaración oficial del Chaos Computer Club (CCC) de que ya no señalarían vulnerabilidades de seguridad al partido en el futuro. El caso se archivó porque los datos eran de acceso público, y la situación legal sólo penaliza el espionaje o la interceptación de datos de acceso protegido.
Este ejemplo demuestra una vez más que el trabajo de los hackers éticos es importante: sin ellos, habría más brechas de seguridad abiertas, que a su vez podrían ser explotadas por hackers de sombrero negro.
Por cierto, la paleta de colores de los hackers se amplía. Por ejemplo, también se puede leer sobre Red Hats, Blue Hats, Purple y Green Hats. Sin embargo, las definiciones de estos son a veces muy distantes, así que lo dejaremos así por el momento.
Más información: ¿Cómo detener a los hackers en Facebook? Consejos prácticos