Unir las palabras hacking y ética puede sonar a estravagancia cometida por alguien empeñado en juntar términos que no tienen nada que ver y que son, en cierto modo, contradictorios. Pero la realidad es que además del denominado Black Hat Hacking, del que todo hemos oído hablar alguna vez, y que se liga a la realización de actividades delictivas o de dudosa legalidad, existe el mucho más desconocido White Hat Hacking, o hacking ético, que lleva años ayudando a muchas empresas a mejorar la seguridad de sus datos y comunicaciones.
Los hackers éticos son expertos en seguridad con una formación que les permite ponerse en la piel de aquellos que se dedican a introducirse en sistemas informáticos de manera ilegal. Profesionales que utilizan las mismas técnicas de ataque digital que los delincuentes informáticos, con el fin de encontrar posibles vulnerabilidades y darles una solución, ayudando, de este modo, a que las empresas tomen la delantera a posibles intrusos y eviten que consigan lo que desean.
Para llevar a cabo su labor, los hackers éticos realizan auditorías de seguridad, conocidas como pentest o pruebas de penetración, en las que se analiza la red interna, Internet, aplicaciones expuestas, servidores y puertos y avenidas de acceso. Además, se hacen pruebas de contraseñas, se analiza la red inalámbrica y se revisa su configuración; se realizan ataques para penetrar en el sistema y romper el cifrado, se mide el nivel del respuesta a incidentes internos y se investiga si hay empleados que puede acceder a información a la que no tiene permitido el acceso.
De esta manera, el hacking ético se convierte en una herramienta imprescindible de prevención y protección de datos.
Pero dado que los sistemas informáticos se hayan en constante evolución, es importante que toda empresa que maneja sus sistemas de información por medio de internet, sin importar su tamaño, realice este tipo de auditorías de manera periódica, por lo menos una vez al año, y de manera especial cuando realiza cualquier cambio de software, hardware, infraestructura tecnológica o incluso de personal, independientemente del tiempo transcurrido desde la última prueba.
Por supuesto, a la hora de contratar con un experto en seguridad para que realice un pen test a los sistemas de una empresa, es fundamental recurrir a profesionales convenientemente formados y con los correspondientes certificados que acrediten su profesionalidad y su dominio de las técnicas necesarias para realizar este tipo de pruebas. Profesionales en los que se pueda confíar y que ofrezcan todas las garantías de confidencialidad.
En cualquier caso, cuando se poner en manos de alguien la seguridad de tu empresa y el manejo de información sensible, toda precaución es poca, por lo que desde CUSTOS messiun recomendamos que, antes de comenzar a realizar las pruebas, se suscriba un contrato con el profesional de seguridad en el que se le da permiso para realizar la intrusión, se marca el período de tiempo durante el que dispone de dicho permiso, las fechas en las que se realizarán las diferentes pruebas, cómo se entregarán los resultados y las recomendaciones para corregir las vulnerabilidades, en caso de que las haya, y se incluya una cláusula de confidencialidad.