¡Hola a todos! La tercera y última publicación de la semana está aquí. En esta ocasión escribiré un poco sobre el hackeo, pero del lado de los buenos, del que todos deberían de practicar: el hacking ético. Este término no es muy conocido por la gente común, siempre asocian a los hackers con los que se muestran en las películas. Quiero que sepan que sí hay hackers decentes. A continuación veremos en qué consiste esta práctica tan común últimamente.
Hay dos tipos de hackers: los de sombrero blanco y los de sombrero negro. Los hackers de sombrero negro son la pesadilla de todas las empresas: son los que entran ilegalmente a donde se supone no tienen permitido, esto con fines ecónomicos o políticos. Mientras que los de sombrero blanco son las personas que hackean con consentimiento de la empresa, o sea, los hackers éticos, de los que estaremos hablando en este post.
¿Por qué una empresa dejaría que la hackeen? Este es el proceso simplificado: una determinada empresa contrata a un hacker o grupo de hackers para que los hackeen, esto con el fin de descubrir qué vulnerabilidades existen en sus sistemas, así se le entrega un reporte con las fallas a la empresa y la empresa trata de corregirlas, antes de que llegue un hacker «real», uno de sombrero negro. A este tipo de pruebas se les nombran pen-tests o pruebas de penetración.
Una definición más formal del hacking ético (gracias a este sitio por ella http://www.enter.co/guias/tecnoguias-para-empresas/que-es-el-hacking-etico-y-por-que-es-necesario/) es la siguiente: Es la utilización de los conocimientos de seguridad en informática para realizar pruebas en sistemas, redes o dispositivos electrónicos, buscando vulnerabilidades que explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema.
Ahora, la empresa debe realmente confiar en los hackers que está contratando, ya que si van a vulnerar sus sistemas, es demasiado probable que vean información confidencial. La empresa de hackeo debe estar certificada por una empresa de renombre que asegure que piensan como hackers de sombrero negro, pero no son tal, y que la información que ellos obtengan jamás será divulgada (si hay duda sobre certificaciones, ver mi post anterior).
Se recomienda que las empresas que manejan grandes cantidades de dinero hagan estas pruebas por lo menos una vez al año. Asimismo, si hay algún cambio, aunque sea mínimo, de software, hardware o incluso de personal, se tiene que volver a ejecutar este análisis para descartar cualquier nueva vulnerabilidad (incluso si el último análisis fue hace poco). Por supuesto, la mayoría de las empresas sí resguardan bien sus sistemas, por lo que muchas veces los hackers se van con presas más fáciles: el usuario común, así que es también altamente recomendable recurrir a los hackers de sombrero blanco si tienes en tu poder algo valioso.
En la actualidad, ya hay sistemas operativos que cuentan con herramientas para ejecutar los pen-tests. Uno es Kali Linux, lanzado en 2013.
Un ejemplo de empresa que pide ser hackeada para luego pagar y reparar sus errores es Google. Google cuando ha lanzado productos (como Google Chrome) reparte una gran suma de dinero a quienes logren hackear el producto. Aquí pueden leer la nota completa https://www.fayerwayer.com/2014/01/google-entregara-usd12-millones-al-que-logre-hackear-chrome-os/
Bueno, por mi parte esto es todo de hacking ético, si alguien quiere agregar más o tiene una duda, siempre son bienvenidos los comentarios. Los espero en mi próximo post.
Héctor H.F.
Héctor H.F. Blog 
En realidad Kali Linux existe desde antes de 2013 pero con el nombre de BackTrack
Me gustaLe gusta a 1 persona
Gracias por el dato, no sabía.
Me gustaMe gusta