Hacker Ético: ¿Qué hace contra los piratas informáticos? (parte II)

Hacker Ético: ¿Qué hace contra los piratas informáticos? (parte II)

10 Noviembre 2020

Quienes lo ejecutan y practican son empleados, contratados por las compañías de seguridad cibernética, dentro de los departamentos de seguridad de las organizaciones más grandes y para revisión y protección de las redes y sistemas. 

Paloma Mol-Albarrán >
authenticated user Corresponsal Corresponsal Invitado

Las organizaciones generalmente creen que el acto propio de autorizar a un hacker ético para probar las protecciones y defensas de la red de su compañía es suficiente protección legal, no solo para justificarse en ambos tipos de acciones.

Te puede interesar: Hacker Ético: ¿Qué hace contra los piratas informáticos? (parte I)

Es decir, creen que la acción de contratar un hacker ético y proporcionarle la carta abierta sobre la cobertura para las actividades cuestionables que pudieran surgir en su red es suficiente. Sin embargo hay una línea muy delgada entre lo ético y lo no ético: ¿Cómo controlar qué tan lejos esté dispuesto el hacker contratado a probar los sistemas y cómo evitar que este hacker pase de lo ético a generar tráfico de datos o de vulneraciones del sistema de quién lo contrata?

Considerando que la ingeniería social es la técnica que los piratas informáticos usan para engañar personas y sistemas para que dejen información confidencial alojada en la red, se entiende que cualquier hacker está capacitado y bien podría hacer lo mismo a favor o en contra de los usuarios de esa red o plataforma. Entendamos que esto significa que el hacker ético ingresa a los sistemas utilizando las credenciales de otra persona, obtenidas utilizando métodos ilícitos, para revisar la vulnerabilidad de un sistema y es justo en este punto en que transgrede las leyes, porque está teniendo acceso a información confidencial proporcionada bajo otros cánones. Esto se trata de información de clientes o empleados, por lo que estarían infringiendo las diversas legislaciones de protección de datos.

Otra fórmula para probar los sistemas y que es reprochable es a través del acceso a los socios comerciales de grandes organizaciones corporativas, las que cuentan con fuertes medidas de seguridad y es por lógica que el ataque va a centrarse en los elementos más débiles de la cadena de suministro, como los proveedores o clientes y en las compañías pequeñas que tienen protecciones limitadas, pero que tienen acceso privilegiado a los sistemas proporcionados por la gran empresa.

Entonces esta gran empresa contrata un hacker, que puede piratear en ambos sentidos, ya sea en los sistemas de un socio comercial y saltar al objetivo por esta puerta trasera privilegiada, a no ser que este socio comercial no esté incluido en el alcance de la prueba de penetración por el hacker ético, quien además, al final presenta un informe señalando las debilidades y recomendaciones asociadas. Es un tema que genera controversia.

Te puede interesar: Poesía Visual: Lo digital, el multiarte y sus potencialidades en el desarrollo de la cultura