El hacking ético es la práctica de emplear conocimientos sobre computadoras y redes para ayudar a las organizaciones a evaluar su seguridad en redes, por posibles agujeros o vulnerabilidades. Los hackers de sombrero blanco (también conocidos como analistas de seguridad o hackers éticos) son individuos o expertos quienes realizan hacking ético. En la actualidad muchas organizaciones (como empresas privadas, universidades, y organismos gubernamentales) están contratando Sombreros Blanco para les ayuden a mejorar su ciberseguridad. Realizan hacking de manera ética, con el permiso del propietario de la red o sistema, sin intención de causar daño. Los hackers éticos reportan todas las vulnerabilidades hacia el propietario del sistema y red para aplicar un remedio, incrementando por lo tanto la seguridad del sistema de información de la organización. El hacking ético involucra el uso de herramientas, trucos, y técnicas típicamente utilizadas por un atacante para verificar la existencia de vulnerabilidades explotables en la seguridad del sistema.
En la actualidad el término hacking está cercanamente asociado con actividades ilegales y no éticas. Existe un debate continuo sobre si el hacking puede ser ético o no, dado el hecho un acceso no autorizado hacia cualquier sistema constituye un crimen. Considerar las siguientes definiciones:
- El sustantivo "hacker" se refiere a una persona quien disfruta aprender detalles sobre los sistemas de cómputo y ampliar sus capacidades
- El verbo "hackear" describe el rápido desarrollo de nuevos programas o la ingeniería reversa de software existente, para hacerlo mejor o más eficiente de maneras nuevas e innovadoras.
- Los términos "cracker" y "atacante" se refieren a personas quienes emplean sus habilidades de hacking con propósitos ofensivos.
- El término "hacker ético" se refiere a profesionales en seguridad quienes emplean sus habilidades de hacking con propósitos defensivos.
Muchas compañías emplean profesionales de TI para auditar sus sistemas por vulnerabilidades conocidas. Aunque esta es una práctica beneficiosa, los crackers están usualmente más interesados en utilizar vulnerabilidades nuevas y menos conocidas, por lo cual estas auditorías a sistemas basadas en datos no son suficientes. Una compañía necesita a alguien quien piense como un cracker, quien se mantenga actualizado con las más recientes vulnerabilidades y exploits, además de poder reconocer potenciales vulnerabilidades donde otros no puedan. Este es el rol del hacker ético.
Los hackers éticos usualmente emplean las mismas herramientas y técnicas utilizadas por los hackers tradicionales, con la importante excepción de no dañan el sistema. Evalúan la seguridad del sistema, informan a los administradores sobre cualquier vulnerabilidad descubierta, y recomiendan procedimientos para parchar estas vulnerabilidades.
La importante distinción entre hackers éticos y crackers es el consentimiento. Los crackers intentan obtener acceso no autorizado hacia sistemas, mientras los hackers éticos son siempre completamente abiertos y transparentes sobre lo cual están haciendo y como lo están haciendo. El hacking ético por lo tanto siempre es legal.
Fuentes: