Cuando hablamos de hacking ético, muchas personas ajenas al mundo de la ciberseguridad consideran que son términos contrapuestos. Para ellos es imposible que un hacker pueda ser ético, pero los expertos en ciberseguridad sabemos que no todo es blanco o negro, siempre hay matices y es imprescindible conocerlos para saber siempre la solidez del suelo que pisamos.

Si atendemos a la terminología, hacker hace referencia a cualquier persona con unos conocimientos muy avanzados de todos los procedimientos informáticos y el funcionamiento de los sistemas de información, independientemente del uso que haga de esos conocimientos. Los crackers, sin embargo, son los hackers maliciosos, aquellos que esconden oscuras intenciones en cada una de sus actividades en la red. La ética para ellos no existe y suelen trabajar por libre o para organizaciones criminales que pueden comerciar con los datos confidenciales conseguidos, o extorsionar a la víctima si quiere volver a la normalidad.

En el caso de los hackers que, en principio, no tienen malas intenciones, suelen darse casos de hacking ético en el sentido de penetrar deliberadamente en las redes de una organización para detectar sus debilidades y así poder aumentar la seguridad en esos puntos y evitar posibles ciberataques en el futuro. Su objetivo es convertirse en consultor de ciberseguridad de la empresa y emplean esos procedimientos. Pero ante este caso, cada vez más frecuente en las empresas, ¿cómo debe reaccionar el empresario? ¿Aceptando las recomendaciones del hacker? ¿Contratando sus servicios para que depure sus sistemas? ¿O llamando a la policía por una posible extorsión?

En este caso, la ley ampara al empresario, ya que el individuo que lleve a cabo actividades relacionadas con el hacking ético en un sistema de información ajeno, practique auditorías de seguridad o pruebas de penetración, debe disponer de un documento firmado por el empresario que le autorice a disponer de sus redes para este tipo de procedimientos. Por tanto, los hackers éticos deben ser muy prudentes con sus habilidades informáticas y conocer perfectamente la normativa vigente en caso de hacer un mal uso de ellas.

En general, los ciberdelitos se pueden clasificar en dos categorías. Por un lado los delitos cometidos por medio de ordenadores y los delitos donde el objetivo es el ordenador en sí. EE.UU fue el país pionero en aprobar leyes contra el hacking, ya sea ético o malicioso, de tal forma que cualquier hacker puede ser procesado incluso a cadena perpetua en caso de poner en peligro la vida de los demás o crear situaciones de peligro en sus ataques por la red a sectores sensibles como los sistemas de transporte, servicios públicos, o empresas de energía, entre otros.

Como siempre, desde Secure&IT consideramos que la legislación debe ir siempre de la mano de la ciberseguridad y se debe guardar un equilibrio entre cualquier procedimiento de seguridad como es el caso del hacking ético, con el cumplimiento de la legalidad vigente y detener a los infractores para evitar prácticas abusivas.

by