Si una persona te dice que es hacker, quizá automáticamente te hagas una idea preconcebida sobre ella. Es posible que te venga la imagen de una figura misteriosa sentada en una habitación oscura, con el rostro iluminado únicamente por el resplandor de una pantalla de ordenador. Y puede que sea así, pero no necesariamente. Es posible que la persona que te lo cuenta, lo haga con orgullo, porque su actividad como hacker no solo es legal, sino extremadamente importante. Puede que sea una hacker de sombrero blanco.
¿Qué significa ser hacker de sombrero blanco?
Los hackers de sombrero blanco trabajan cuestiones de seguridad, conforme a la ley y de forma ética (de hecho, a veces también se les llama "hackers éticos") y su labor la solicitan tanto empresas como gobiernos para identificar fallos de seguridad y vulnerabilidades en redes o software.
Los hackers de sombrero blanco solo hackean para detectar estas vulnerabilidades cuando tienen una autorización oficial para hacerlo. Esto se llama a veces "pruebas de penetración" y se hace con el conocimiento y la aprobación de la organización (de hecho, le pagan explícitamente para que los hackee).
Frecuentemente, los hackers de sombrero blanco fueron en su día "tipos malos", los llamados hackers de sombrero negro, y hackeaban al margen de la ley con intenciones maliciosas. Es precisamente en ese contexto que muchos de ellos desarrollaron sus habilidades únicas y su comprensión de las redes informáticas. Su talento está ahora tan demandado que muchos gobiernos están dispuestos a ofrecerles una amnistía por su actividad ilegal si se unen al bando de "los buenos".
¿En qué se diferencia los hackers de sombrero blanco, gris o negro?
Los mencionados hackers de sombrero negro -los malos- están en el extremo opuesto del espectro y son quienes reflejan mejor la imagen estereotipada que imaginaste en un principio. Su actividad de hackeo se realiza al margen de la ley, a menudo con intenciones maliciosas. Pueden tratar de perturbar las redes, robar datos o colapsar sitios web de empresas o agencias.
Los de sombrero gris se sitúan entre los blancos y los negros: trabajan para identificar y mostrar las vulnerabilidades de las redes, el hardware y el software, al igual que los blancos y los negros. Como los sombreros negros, a menudo trabajan sin una autoridad legal clara, por lo tanto, su trabajo suele implicar una violación de la ley. Sin embargo, a diferencia de estos, no hackean por razones maliciosas; la mayoría de las veces, su intención de hecho es llamar la atención de sus propietarios sobre los puntos débiles de un sistema o red, con el objetivo de mejorarlos.
Sin embargo, los sombreros grises no son sombreros blancos. Mientras que los hackers de sombrero blanco trabajan explícitamente para aquellos a quienes hackean y alertan únicamente a sus empleadores de las posibles vulnerabilidades, los de sombrero gris a menudo carecen de esta relación comercial formal e informan de sus hallazgos de manera distinta. Los hackers de sombrero gris exponen las vulnerabilidades y fallos que encuentran no solo a la empresa u otro "objetivo", sino también al público en general, y por tanto a los hackers de sombrero negro. Es bastante común considerar que la intención de un sombrero gris es mostrar sus habilidades y ganar notoriedad y aprecio.
Entonces, ¿de dónde vienen todos estos colores de sombreros? Hay que agradecérselo al cine americano, y en particular a las películas del Oeste, en las que los heroicos vaqueros solían llevar sombreros blancos, mientras que los vaqueros villanos llevaban sombreros negros.
¿Cuáles son los principios fundamentales del hackeo de sombrero blanco?
Los hackers de sombrero blanco ayudan a las empresas, agencias gubernamentales u otras organizaciones a asegurarse de que sus redes cibernéticas y sistemas informáticos sean lo más seguros posible, garantizándonos la mayor seguridada a todos. Nuestros datos personales pueden ser almacenados por múltiples empresas, por lo que es importante que se guarden de forma segura y no sean vulnerables a los hackers de sombrero negro.
Por eso, el trabajo de los hackers de sombrero blanco es sumamente importante. ¿Cómo lo hacen? Analizan las redes en busca de malware y se hacen pasar por hackers de sombrero negro utilizando los mismos métodos para fingir que atacan los sistemas, incluso lanzando ataques de phishing a personal desprevenido para ver si son víctimas de un ataque real, por ejemplo, haciendo clic en un enlace de un correo electrónico.
Los hackers de sombrero blanco son una de las principales razones por las que las grandes organizaciones y entidades gubernamentales sufren menos problemas con sus sitios web o incidencias de seguridad. Asimismo, frecuentemente también ponen a disposición su profundo conocimiento sobre las operaciones de hackeo de sombrero negro, ya que muchos fueron ellos mismos sombreros negros.
Uno de los conceptos clave de su trabajo es que siempre sigue ciertas "reglas de compromiso": nunca hackearán más allá de lo necesario para hacer su trabajo y siempre lo harán de una manera previamente acordada con la organización a la que están hackeando éticamente. También es importante la forma en que informan: revelarán sus hallazgos, incluidas las posibles vulnerabilidades de la red, únicamente a la entidad que están hackeando y no al público. Esto evita que sus resultados sean conocidos por los sombreros negros.
¿Cómo funciona el hackeo ético?
Al margen del color de su sombrero, para realizar determinadas acciones de hackeo, como las pruebas de penetración, todos los hackers utilizan las mismas técnicas. Aunque, como sabemos, los hackers de sombrero blanco lo hacen para ayudar a una organización a mejorar su seguridad. ¿Cuáles son las técnicas más comunes que se utilizan?
Pruebas de penetración: Los hackers de sombrero blanco utilizan sus habilidades para identificar posibles puntos de entrada al sistema y vulnerabilidades y luego intentan penetrar en la red de la organización o en el sistema expuesto.
Phising o suplantación de identidad por correo electrónico: los hackers de sombrero blanco realizan campañas para prevenir la suplantación de identidad e identificar posibles problemas en la red de una organización antes de que se produzca un ataque real. El phishing por correo electrónico es una técnica para engañar a los destinatarios del correo electrónico y que proporcionen información personal confidencial o abran un archivo o enlace malicioso.
Ataque de denegación de servicio (DoS): Los ataques de denegación de servicio interrumpen o debilitan temporalmente el rendimiento de un sistema o una red, a menudo provocando su desconexión o su inaccesibilidad. Frecuentemente, se contrata a hackers de sombrero blanco para simular ataques de denegación de servicio con el fin de ayudar a una empresa a crear una respuesta fija en caso de que se produzca un ataque de este tipo.
Ingeniería social: Los ataques de ingeniería social se aprovechan de la naturaleza humana y de la confianza para engañar a los empleados para que rompan los protocolos de seguridad o faciliten información sensible. Para combatir este tipo de ataques, los hackers de sombrero blanco pueden utilizar técnicas de conducta para probar el nivel de seguridad de los sistemas de una empresa.
Escaneo de vulnerabilidades: Los hackers de sombrero blanco desarrollan formas de automatizar el proceso de búsqueda de vulnerabilidades.
¿Qué problemas conlleva el hackeo de sombrero blanco?
Aunque el trabajo de los hackers de sombrero blanco es esencial para lograr un sistema de seguridad informática sólido y eficaz, su labor no está exenta de dificultades. A menudo se les imponen restricciones para su trabajo que merman su eficacia. Por otra parte, sus pruebas y ataques simulados pueden causar caídas del sistema o violaciones de datos, lo que podría costarle a las empresas tanto pérdidas como clientes.
El trabajo de los hackers de sombrero blanco también puede ser cuestionado cuando se confunde con el hacking ético -pero no de sombrero blanco-. Pongamos que eres hacker -hacker ético, al menos desde tu punto de vista- y una mañana quieres ver si hay alguna vulnerabilidad en tu sistema bancario online. Si descubres alguna, se lo notificarás a tu banco (y solo a tu banco) para que puedan solucionarlo. ¡Sombrero blanco al rescate! Muchos dirían que no. Aunque tus intenciones eran nobles (a diferencia de un sombrero negro) y no alertarías a nadie más que al banco sobre tus descubrimientos (como suele hacer un sombrero gris), el hackeo no se hizo siguiendo las instrucciones del banco. No estabas contratado para hacerlo y por lo tanto no era estrictamente legal.
Un ejemplo parecido ocurrió de hecho recientemente en Alemania. En agosto de 2021, un hacker alertó al partido Unión Demócrata Cristiana (CDU) de que había una vulnerabilidad de seguridad en la aplicación de su campaña electoral. ¿Cómo respondió el CDU? Presentó cargos contra el hacker. El hacker hizo todo lo que haría un hacker de sombrero blanco: su intención era noble, su hackeo fue estaba centrado en determinar un objetivo, y solamente alertó al propietario y a los desarrolladores de la aplicación. Pero como no existía ningún contrato de trabajo formal ni relación profesional de ningún tipo entre el hacker y el CDU, algunas personas lo consideraron malicioso y poco ético.
Evaluar estos actos desde la perspectiva de los derechos humanos puede resultar difícil. Creemos firmemente que la ley debe cumplirse a menos que haya una muy buena razón para no cumplirla, pero en ocasiones se dan esas razones. Y aunque hackear sin permiso vaya en contra de la ley, si puedes demostrar que tus actos no eran peligrosos para la sociedad y te motivaba un interés común, es muy probable que te absuelvan.
Este tipo de cuestiones pueden hacer que el trabajo de los "hackers éticos" sea polémico. Pero a pesar de ello, está bastante claro que los hackers de sombrero blanco prestan un importante servicio no solo a las organizaciones para las que trabajan, sino también a la población en general. Gran parte de nuestras vidas son ahora en línea, por lo que necesitamos que nuestras libertades y valores democráticos se respeten también en ese espacio.