Qué es hacking ético
Un hacker ético («hacker de sombrero blanco») es un profesional de la seguridad de la información que tiene las mismas habilidades y utiliza las mismas tecnologías que un hacker malicioso («hacker de sombrero negro») para descubrir vulnerabilidades y debilidades en los sistemas de una organización.
Un hacker de sombrero negro opera sin el consentimiento de las víctimas, con el objetivo de obtener ganancias financieras, causar daño o ganar fama. Un hacker de sombrero blanco o hacker ético es invitado por las organizaciones para ayudarlos a hackearse a sí mismos, por así decirlo, identificar brechas de seguridad antes que los hackers de sombrero negro y remediarlas.
La evolución del hacking de sombrero blanco
Los primeros intentos de hackear sistemas informáticos se hicieron en la década de 1960. En la década de 1970, los gobiernos y las empresas crearon «equipos tigre» cuya tarea era descubrir vulnerabilidades en los sistemas de telecomunicaciones y computación, los primeros hackers éticos.
En las décadas de 1980 y 1990, a medida que las computadoras personales se generalizaban, la piratería informática se convirtió en un fenómeno global. Gradualmente surgió la distinción entre hackers de» sombrero negro «y» sombrero blanco». En 1995, John Patrick de IBM acuñó el término «hacking ético», y en los años siguientes, el hacking ético surgió como una profesión legítima.
Certificación de hacker ético certificado (CRH)
La certificación es crucial en la profesión de hacker ético, porque hay una fina línea entre hackear un sistema legalmente, para mejorar la ciberseguridad, y hackearlo ilegalmente. Las organizaciones que emplean hackers éticos deben asegurarse de que tienen conocimientos técnicos y utilizan sus habilidades para mejorar la seguridad y no introducir riesgos ni causar daños.
El Consejo de Comercio Electrónico (EC-Council), una organización sin fines de lucro con sede en Nuevo México, definió una certificación estándar para el Hacker Ético Certificado en campo (CEH). La certificación CEH o certificación de hacking ético permite a los profesionales de la seguridad de la información convertirse en hackers éticos reconocidos y legítimos.
La certificación CEH es muy exigente: cubre una amplia gama de conceptos de seguridad, herramientas y vectores de ataque, que los estudiantes deben comprender en profundidad. Está acreditado por el Departamento de Defensa de los Estados Unidos (que hizo obligatoria la certificación CEH para los proveedores de servicios bajo el Programa de Defensores Cibernéticos de los Estados Unidos), la Agencia de Seguridad Nacional (NSA) y otras organizaciones de seguridad.
El proceso de certificación
Los candidatos deben aprobar el examen CEH para convertirse en hackers certificados. Para ayudar a prepararse para el examen:
- EC-Council ofrece un Programa de capacitación CEH, con 20 módulos de capacitación que cubren 340 tecnologías de ataque y 2200 herramientas de hacking de uso común. Hay tres Centros de Capacitación Acreditados (ATC): EC-Council, Pearson Vue Testing Center y Affinity IT Security.
- El sitio web del Consejo de la CE ofrece un Manual de CEH y un plan de examen de CEH con preguntas de práctica.
- Muchas organizaciones, incluido el Instituto Infosec, ofrecen cursos de preparación para el examen CEH.
- Se anima a los candidatos a tomar exámenes de práctica, a través de la Evaluación CEH en línea del EC-Council, o el servicio de exámenes de práctica del Instituto InfoSec, SkillSet.
Para ser elegible para el examen, los candidatos deben completar el programa de capacitación del EC-Council y mostrar experiencia en al menos 3 de los 5 dominios de seguridad cubiertos en el examen. De lo contrario, los candidatos deben demostrar dos años de experiencia en seguridad de la información, entre otros criterios de elegibilidad.
El examen CEH tiene 125 preguntas de opción múltiple con un límite de tiempo de 4 horas. El examen se administra a través de una computadora en un Centro de Capacitación Acreditado por el EC-Council. Los miembros deben ser recertificados cada tres años para mantener el estatus de CEH.
Muestra de un certificado CEH
Vea cómo Imperva Web Application Firewall puede ayudarlo con la seguridad del sitio web.
Hacking de sombrero blanco y seguridad de aplicaciones web
La seguridad de aplicaciones web es un enfoque central en la ciberseguridad actual. Las aplicaciones web son un objetivo atractivo para los atacantes, y son especialmente vulnerables, porque tienen una arquitectura compleja de varios niveles, tienden a almacenar datos privados confidenciales y son de fácil acceso desde fuera de una organización.
Los hackers certificados, con su comprensión integral de los sistemas de software modernos, vectores de amenazas y tecnologías de ataque, pueden ser un activo de seguridad importante. Pueden ayudar a las organizaciones a comprender la postura de seguridad de sus aplicaciones web, la gravedad de las diferentes amenazas y dónde invertir para mejorar de manera efectiva sus defensas.
Las pruebas de penetración están adquiriendo cada vez más importancia como medida proactiva utilizada contra las amenazas cibernéticas, en particular para aplicaciones web de misión crítica. Una prueba de penetración es un ciberataque simulado contra un sistema informático, con el objetivo de descubrir vulnerabilidades y sugerir mejoras de seguridad. Las pruebas de penetración pueden ser realizadas por profesionales de seguridad de la información, o por evaluadores o personal de TI dentro de una organización, incluso si no tienen una certificación CEH.
Sin embargo, realizar pruebas de penetración con un hacker ético certificado tiene ventajas importantes. Un CEH puede tener una visión más amplia de los sistemas de una organización y las amenazas a las que se enfrenta, diseñar pruebas más completas y aprovechar la capacitación de CEH para proporcionar informes más detallados de las vulnerabilidades descubiertas y las implicaciones de seguridad.