HACKER ¿PROFESIONAL O CRIMINAL?

hacking

Los hackers usan técnicas y herramientas de hacking para obtener acceso no autorizado y evadir medidas de seguridad.

Esta afirmación cierta, puede sonar a una actividad ilegal o casi ilegal, si es que no se ve dentro del contexto apropiado.

El Ethical Hacker y el cibercriminal

Un hacker ético es un profesional de la ciberseguridad que emplea las mismas herramientas y técnicas que podría usar un ciberdelincuente, pero con un contrato por escrito, con aprobación y consentimiento para poder medir y evaluar la seguridad de los activos de información, redes o sistemas de un cliente.

Un cracker, también conocido como cibercriminal, aplica dichas herramientas y técnicas para beneficio personal, robo, fraude, extorsión o cualquier otra actividad maliciosa que perjudica los intereses del dueño de la tecnología bajo ataque. Suelen actuar por su cuenta o en agrupaciones delictivas o contratados por empresas o naciones.

La criminalización de la palabra hacker

En su concepción inicial la palabra hacker no implica ningún tipo de delito. Por el contrario, describe a un experto en una materia capaz de crear nuevos usos aplicables para una técnica o herramienta existente.

Sin embargo, los medios de comunicación y autoridades desinformadas, así como el uso coloquial del término, han desvirtuado con el tiempo este significado y le han otorgado este matiz ilegal y criminal, lo que ha llevado a la comunidad de la ciberseguridad a crear el término “ethical” hacker para poder diferenciarse de los cibercriminales.

La legalidad del ethical hacking

Resulta imperante recalcar lo siguiente, los ethical hackers empiezan su trabajo solo cuando ya cuentan con un contrato firmado que especifique claramente su alance en tiempo, objetivos bajo ataque y tipos de pruebas que tiene autorizado realizar.

La existencia de estos contratos asegura la legalidad del servicio y permiten proteger tanto al ethical hacker como a la empresa que recibe el servicio en casos de controversias, negligencias o algún otro evento no esperado que pueda afectar a alguna de las partes.

Otro aspecto indispensable es que los clientes suelen exigir la firma de un contrato de un acuerdo de confidencialidad o de no divulgación conocido como NDA para asegurarse que la información a la ethical hacker pueda acceder se mantenga confidencial.

Escenarios que limitan el alcance de un servicio de ethical hacking

Para finalizar me gustaría tocar de nuevo la importancia del alcance y mencionar unos cuantos escenarios en los cuales la definición exacta y especifica del mismo resulta relevante:

Escenario 1:

Un cliente le indica al ethical hacker que no desea probar determinado segmento de red debido a que allí existen servidores que almacenan los diseños de un nuevo producto en desarrollo y que no quieren arriesgarse a que sean divulgados.

Escenario 2:

Un cliente prohíbe tajantemente que el ethical hacker realice pruebas de denegación de servicio sobre los servidores web productivos dado que la naturaleza de su negocio requiere disponibilidad 24x7 y no desean arriesgarse a una caída.

Escenario 3:

El cliente establece que las pruebas deben iniciar y concluir en 2 semanas, ya que necesitan presentar el reporte de servicio a un regulador gubernamental. En este escenario, el ethical hacker y su equipo deben evaluar si es viable ejecutar el servicio en esos tiempos sin mermar la calidad de este.

Escrito por: Fernando Conislla, Cybersecurity Expert

https://www.linkedin.com/in/fernando-conislla-murguia/

Categories

All Categories cyber cybersecurity forense hacking infosec malware osint owasp phishing