Si teclea «hacker ético», «sombrero negro» o «sombrero blanco» en un motor de búsqueda, no sólo encontrará resultados sobre las últimas ofertas en sombreros. Estos términos están profundamente relacionados con la seguridad de la información y el pirateo de sistemas informáticos. Pero, ¿qué tienen que ver los sombreros con la piratería informática? ¿Y qué constituye un hacker ético? Estas son las preguntas a las que responderemos en el siguiente artículo del blog.

En primer lugar, ¿qué es exactamente la piratería informática?

Probablemente haya leído artículos sobre los «10 mejores hacks para acampar», que explican cómo hacer palomitas de maíz en una hoguera, o haya oído hablar de los «life hacks», que pueden facilitar la vida cotidiana de forma creativa. «Hackers», por tanto, son por definición personas que utilizan sus conocimientos y creatividad, a menudo relacionados con la tecnología, para comprender, mejorar y cambiar los sistemas existentes. Sin embargo, desde la década de 1980, el término ha sufrido una transformación negativa y se ha reducido al ámbito de la seguridad informática. Hoy en día, en el habla cotidiana, a alguien que penetra en los sistemas informáticos de otras personas se le llama hacker.

Sombrero negro, sombrero blanco y hacker ético: ¿cuál es la diferencia?

Los piratas informáticos son casi exclusivamente gente sospechosa con capucha, aporreando teclados en una habitación oscura frente a varias pantallas. Esto también es evidente en los medios de comunicación, tanto en las noticias como en los largometrajes. Ahí queda claro: la palabra «hacker » suele tener connotaciones negativas. Quizá por eso se necesitan otras descripciones para distinguir a los hackers: cada vez se habla más de hackers de sombrero negro y hackers de sombrero blanco. Pero, ¿en qué se diferencian?

Los términos tienen su origen en las antiguas películas del Oeste. Allí, los personajes buenos con sombreros blancos se distinguían de sus homólogos malvados que llevaban sombreros negros. Y es precisamente en este sentido en el que volvemos a encontrar los «sombreros negros» y los «sombreros blancos» en el mundo del hacking. Para distinguir entre el bien y el mal en los hackers, tenemos que fijarnos sobre todo en dos factores: su motivación y la legitimidad de su trabajo.

Los sombreros negros encuentran su motivación en su propio beneficio económico, pero también en el ciberespionaje, las protestas o por pura emoción. Intentan robar, encriptar o destruir datos personales, información financiera o datos de acceso y causar así daño a quienes atacan. Actúan sin el conocimiento de las personas o empresas atacadas y, por lo tanto, se hacen responsables ante la justicia.

Más información: ¿Cómo se descubre y desenmascara a los piratas informáticos?

Los «sombreros blancos», por su parte, utilizan sus habilidades por una buena causa. Su enfoque es similar al de los hackers de sombrero negro, con la diferencia de que no actúan ilegalmente. Trabajan para empresas u organizaciones como especialistas en TI y ayudan a descubrir y cerrar brechas de seguridad mediante la piratería informática. Su motivación es mejorar y asegurar los sistemas técnicos. Cada vez son más las empresas que recurren a estos servicios para evitar ciberataques malintencionados.

La distinción entre blanco y negro, el bien y el mal, es, como en todas partes, demasiado miope en el mundo de las TI. Por eso existe un tercer grupo: los «sombreros grises». Éstos se sitúan entre los dos mencionados anteriormente. Detectan vulnerabilidades de seguridad sin el consentimiento ni el conocimiento de los propietarios del sistema, pero luego informan de los problemas a los afectados. A continuación, piden una recompensa económica por su trabajo o/y dan a las empresas un plazo para solucionar los problemas y luego hacen públicas las vulnerabilidades. No persiguen sus objetivos con mala intención. Su motivación es concienciar sobre el problema y disfrutar del propio pirateo. Este tipo de pirateo está en el límite de la ilegalidad, ya que trabajan sin el permiso de los propietarios del sistema y a menudo obtienen información sobre datos sensibles. El hecho de que los límites entre los hackers de sombrero blanco y los de sombrero negro son cada vez más difusos ya quedó demostrado en un estudio de 2018 de Osterman Research.

Comprender el papel de un hacker ético

A los hackers de sombrero blanco y gris también se les llama «hackers éticos». Este término describe un enfoque responsable de las propias habilidades y resultados como hacker. Existen incluso cursos, conferencias y certificados para los hackers éticos que quieran ofrecer su trabajo de forma oficial. Y es que, además de una actitud ética adecuada, los hackers éticos deben cumplir otros requisitos: una gran destreza técnica, la capacidad de ponerse en la piel de los atacantes y la comprensión del valor de los datos y sistemas que deben proteger.

En este contexto, quizá recuerde un caso destacado en los medios de comunicación en mayo de 2021. La hacker Lilith Wittmann descubrió vulnerabilidades de seguridad en la aplicación de la campaña electoral de la CDU. Entonces informó al partido, a la Oficina Federal de Seguridad de la Información y a los comisarios de protección de datos de Berlín, ofreciéndoles la oportunidad de solucionar el problema. Sólo cuando la aplicación estuvo fuera de línea publicó su trabajo. Este enfoque también se denomina «revelación responsable» y muestra un ejemplo de hacking ético. Sin embargo, el caso también muestra lo difícil que puede ser evaluar este tipo de trabajo con arreglo a la ley. En este caso, la CDU presentó una denuncia penal contra Wittmann, lo que no sólo aumentó la vergüenza pública para el partido, sino que también dio lugar a la declaración oficial del Chaos Computer Club (CCC) de que ya no señalaría vulnerabilidades de seguridad al partido en el futuro. El caso se archivó porque los datos eran de acceso público y la situación legal sólo penaliza el espionaje o la interceptación de datos de acceso protegido.

Este ejemplo demuestra una vez más que el trabajo de los hackers éticos es importante: sin ellos, habría más brechas de seguridad abiertas, que a su vez podrían ser explotadas por hackers de sombrero negro.

Por cierto, la paleta de colores de los hackers se amplía. Por ejemplo, también puede leer sobre los Sombreros Rojos, Sombreros Azules, Sombreros Morados y Sombreros Verdes. Sin embargo, las definiciones de éstos a veces están muy alejadas, así que lo dejaremos así por el momento.

Leer más: ¿Cómo detener a los piratas informáticos en Facebook? Consejos prácticos