Si escribimos Black Hat o White Hat en el buscador, no sólo se nos presentan resultados sobre las últimas ofertas en sombreros. Estos términos también están relacionados con la seguridad de la información y la piratería informática. Pero, ¿qué tienen que ver los sombreros con la piratería informática? ¿Y qué es un "hacker ético"? Estas son las preguntas a las que responderemos en el siguiente artículo del blog.
En primer lugar, ¿qué es exactamente el hacking? Probablemente haya leído artículos sobre los "10 mejores trucos de acampada", que explican cómo hacer palomitas en una hoguera, o haya oído hablar de "trucos de vida", que pueden facilitar la vida cotidiana de forma creativa. "Hackers", por tanto, son por definición personas que utilizan sus conocimientos y creatividad, a menudo relacionados con la tecnología, para entender, mejorar y cambiar los sistemas existentes. Desde los años 80, sin embargo, el término ha sufrido una transformación negativa y se ha reducido al ámbito de la seguridad informática1. Hoy en día, en el habla cotidiana, se llama hacker a alguien que penetra en los sistemas informáticos de otras personas.
Los hackers son casi exclusivamente las personas dudosas con capucha, aporreando teclados en una habitación oscura frente a varias pantallas. Esto también es evidente en los medios de comunicación, tanto en las noticias como en las películas. Ahí queda claro: la palabra "hacker " suele tener connotaciones negativas. Quizá por eso se necesitan otras descripciones para distinguir a los hackers: cada vez se habla más de hackers de sombrero negro y hackers de sombrero blanco. Pero, ¿en qué se diferencian?
Los términos tienen su origen en las antiguas películas del Oeste. Allí, los personajes buenos con sombreros blancos se distinguían de sus homólogos malvados que llevaban sombreros negros. Y es precisamente en este sentido en el que volvemos a encontrar los "sombreros negros" y los "sombreros blancos" en el mundo del hacking. Para distinguir entre el bien y el mal en los hackers, tenemos que fijarnos sobre todo en dos factores: su motivación y la legitimidad de su trabajo.
Los sombreros negros encuentran motivación en su propio beneficio económico, pero también en el ciberespionaje, las protestas o por pura emoción. Intentan robar, cifrar o destruir datos personales, información financiera o datos de acceso, causando así daños a quienes atacan. Actúan sin el conocimiento de las personas o empresas a las que atacan y, por tanto, se exponen a ser procesados.
Los "sombreros blancos", por su parte, utilizan sus habilidades por una buena causa. Su enfoque es similar al de los hackers de sombrero negro, con la diferencia de que no actúan ilegalmente. Trabajan para empresas u organizaciones como especialistas en TI y ayudan a descubrir y cerrar brechas de seguridad mediante la piratería informática. Su motivación es mejorar y asegurar los sistemas técnicos. Cada vez más empresas recurren a estos servicios para evitar ciberataques malintencionados.
La distinción entre blanco y negro, el bien y el mal, es, como en todas partes, demasiado miope en el mundo de la informática. Por eso existe un tercer grupo: los "sombreros grises". Se sitúan entre los dos anteriores. Detectan las vulnerabilidades de seguridad sin el consentimiento o el conocimiento de los propietarios del sistema, pero luego informan de los problemas a los afectados. A continuación, piden una recompensa económica por su trabajo o/y dan a las empresas un plazo para solucionar los problemas y luego hacen públicas las vulnerabilidades. No persiguen sus objetivos con mala intención. Su motivación es dar a conocer el problema y disfrutar del propio pirateo. Este tipo de pirateo se encuentra en el límite de la ilegalidad, ya que trabajan sin el permiso de los propietarios del sistema y a menudo obtienen información sobre datos sensibles. El hecho de que los límites entre los hackers de sombrero blanco y los de sombrero negro son cada vez más difusos ya quedó demostrado en un estudio de 2018 de Osterman Research.2
A los hackers de sombrero blanco y gris también se les llama "hackers éticos". Este término describe un enfoque responsable de las propias habilidades y resultados de hacking. Existen incluso cursos, conferencias y certificados para hackers éticos que quieran ofrecer su trabajo de forma oficial. Y es que, además de una actitud ética adecuada, los hackers éticos deben cumplir otros requisitos: gran destreza técnica, capacidad para ponerse en la piel de los atacantes y comprensión del valor de los datos y sistemas que deben proteger.3
En este contexto, quizá recuerdes un caso destacado en los medios de comunicación en mayo de 2021. La hacker Lilith Wittmann descubrió vulnerabilidades de seguridad en la aplicación de la campaña electoral de la CDU. Informó entonces al partido, a la Oficina Federal de Seguridad de la Información y a los comisarios de protección de datos de Berlín4, ofreciéndoles la oportunidad de solucionar el problema. No publicó su trabajo hasta que la aplicación estuvo fuera de línea. Este enfoque también se denomina "revelación responsable" y muestra un ejemplo de hacking ético. Sin embargo, el caso también muestra lo difícil que puede ser evaluar este tipo de trabajo con arreglo a la ley. En este caso, la CDU presentó una denuncia penal contra Wittmann, lo que no sólo aumentó la vergüenza pública para el partido, sino que también dio lugar a la declaración oficial del Chaos Computer Club (CCC) de que ya no señalarían vulnerabilidades de seguridad al partido en el futuro. El caso se archivó porque los datos eran de acceso público, y la situación legal sólo penaliza el espionaje o la interceptación de datos de acceso protegido.5
Este ejemplo demuestra una vez más que el trabajo de los hackers éticos es importante: sin ellos, habría más brechas de seguridad abiertas, que a su vez podrían ser explotadas por hackers de sombrero negro.
Por cierto, la paleta de colores de los hackers se amplía. Por ejemplo, también se puede leer sobre Red Hats, Blue Hats, Purple y Green Hats. Sin embargo, las definiciones de estos son a veces muy distantes, así que lo dejaremos así por el momento.
En nuestro vídeo de YouTube también encontrará una aterradora descripción de algunos de los métodos utilizados por los ciberdelincuentes: "Historias aterradoras de los cibermonstruos"..
1 Sobre el pirateo - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime (Sombrero blanco, sombrero negro y el surgimiento del sombrero gris: los verdaderos costes del cibercrimen). (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3 Guía deciberseguridad . (2021, 20. Oktober). Cómo convertirse en un hacker ético | Guía para 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC|CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4. Abril). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5 Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. Noviembre 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/