Los hacker éticos: trabajando en beneficio de la seguridad
Según el Estudio Anual de Redes Sociales en España, de más reciente elaboración, más de 25 millones y medio de personas usan, con una frecuencia diaria, las redes sociales. Es decir, más de la mitad de la población española. Estamos hablando, por lo tanto, de decenas de millones de personas que dedican una parte importante de su tiempo a navegar por páginas de contacto, en las que suelen almacenar datos de gran relevancia sobre su propia vida. Una mina de oro para toda clase de delincuentes informáticos, que pueden sacar un gran beneficio de esta situación, aprovechándose de la facilidad con la que, como indica ahackear.com, se pueden burlar las medidas de seguridad de muchas páginas. De esta forma, pueden realizarse, sin ningún problema, tareas como espiar una cuenta de Whatsapp o piratear otra de Netflix.
Un verdadero ataque a la intimidad de una persona, en muchos casos, motivado por razones de lucro económico, es decir, obtener un inmerecido beneficio personal, utilizando los datos de otra persona. Puede estar relacionado con la información bancaria que dicha persona posee, pero también, por ejemplo, con otros aspectos de menor cuantía, aunque también muy poco éticos, como robar su wifi, es decir, su contraseña, para utilizar esa otra conexión, que no se ha contratado y por lo que no se ha pagado ni un solo céntimo.
Y es que son muchos los tipos de estafa económica que se pueden cometer, debido a fallos de seguridad informática. Pero no siempre es cuestión de dinero. En muchas otras ocasiones, se decide, por ejemplo, hackear un Instagram, para acceder, de esta forma, en primera persona, a las conversaciones que la persona titular de esa cuenta mantiene con su red de amigos. Normalmente, estos actos son protagonizados por motivos amorosos, especialmente de celos, constituyendo una situación no menos común que otras similares. Un panorama, como puede observarse, muy inquietante.
Es en este ámbito, donde entran en acción los hacker éticos, ese selecto grupo de personas que, valiéndose de su amplios conocimientos en materia de informática, deciden utilizar sus múltiples habilidades no en provecho propio o para amargarle la vida a otras personas, sino para encontrar las vulnerabilidades que tiene el sistema de software en cuestión, incluyendo cualquier página web, para comunicarlas a la organización interesada y que esta adopte, en consecuencia, las medidas necesarias para corregir dicho error y sustituirlo por una mayor seguridad en la red virtual. Pero, ¿cómo llevan a cabo su tarea los hacker éticos? Normalmente, en estos casos, se sigue una estrategia de Test de penetración.
Los Test de penetración o Pen testing
Los Test de penetración, también denominados Pen testing, son una táctica de actuación informática, que tiene como principal propósito poner a prueba un sistema informático, ya sea en conjunto o partes concretas del mismo, como una aplicación web. De esta forma, se pueden encontrar los diferentes puntos débiles, que permitirían a un delincuente informático entrar en acción con impunidad.
En cuanto a su enfoque, las pruebas de penetración se pueden llevar a cabo de un modo automático, recurriendo a los servicios de aplicaciones de software diseñadas a tal efecto, o de un modo manual. De cualquier forma, los objetivos se centran en recopilar una serie de datos con carácter previo al reconocimiento, identificar cada uno de los posibles puntos de entrada, anticipar los intentos de entrar, independientemente de que estos puedan ser virtuales o reales, y, por supuesto, reportar los resultados que se hayan conseguido. Por otro lado, en la mayoría de los casos, se pueden enumerar hasta cuatro tipos diferentes de Tests de penetración, en función del aspecto concreto del sistema en que decidan focalizar su investigación, dando lugar a:
- Test de penetración en la red, que identifica los problemas de seguridad en la infraestructura de la red. Este test implica escanear la red y los servicios inalámbricos, para así poder asegurar que el diseño de la misma y sus componentes individuales están óptimamente definidos y programados.
- Test de penetración de la aplicación, para detectar los problemas de seguridad en un sitio o aplicación web. En este caso, resulta fundamental, para que la operación de prueba sea un éxito, vigilar los puntos de acceso a los sistemas, para impedir la entrada de los hackers a los mismos.
- Test de penetración inalámbrica, que tiene como principal propósito descubrir los puntos de acceso y los dispositivos no fiables, analizar sus configuraciones y probar sus vulnerabilidades. Además de estudiar de una forma minuciosa la red, es muy recomendable identificar el estado de sus parches y versiones.
- Test de suplantación de identidad simulada, que proporciona una evaluación independiente de la suplantación de identidad o phising. De esta manera, se puede descubrir la sensibilización y concienciación que los empleados tienen sobre este tema.