Un hacker de sombrero blanco (o un hacker de sombrero blanco , un whitehat ) es un hacker de seguridad ético . [1] [2] Hacking ético es un término que implica una categoría más amplia que las simples pruebas de penetración. [3] [4] Con el consentimiento del propietario, los piratas informáticos de sombrero blanco tienen como objetivo identificar cualquier vulnerabilidad o problema de seguridad que tenga el sistema actual. [5] El sombrero blanco se contrasta con el sombrero negro , un hacker malicioso; Esta dicotomía definitoria proviene de las películas occidentales , donde los vaqueros heroicos y antagónicos tradicionalmente podían usar un sombrero blanco y uno negro, respectivamente . [6] Existe un tercer tipo de hacker conocido como sombrero gris que piratea con buenas intenciones pero a veces sin permiso. [7]
Los hackers de sombrero blanco también pueden trabajar en equipos llamados " zapatillas y/o clubes de hackers ", [8] equipos rojos o equipos tigre . [9]
Uno de los primeros casos de hackeo ético fue una "evaluación de seguridad" realizada por la Fuerza Aérea de los Estados Unidos , en la que se probaron los sistemas operativos Multics para su "uso potencial como sistema de dos niveles (secreto/ultrasecreto). " La evaluación determinó que, si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en la seguridad del hardware, la seguridad del software y la seguridad de los procedimientos" que podían descubrirse con "un nivel de esfuerzo relativamente bajo". [10] Los autores realizaron sus pruebas bajo una pauta de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr potencialmente. Realizaron pruebas que implicaban ejercicios sencillos de recopilación de información, así como ataques directos al sistema que podrían dañar su integridad; ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora no clasificados que describen actividades de piratería ética dentro del ejército estadounidense .
En 1981, The New York Times describió las actividades de sombrero blanco como parte de una "tradición 'hacker' traviesa pero perversamente positiva". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas , que había utilizado en cuentas de clientes, la empresa lo reprendió no por haber escrito el software sino por no revelarlo antes. La carta de amonestación decía: "La empresa se da cuenta del beneficio para NCSS y alienta los esfuerzos de los empleados para identificar las debilidades de seguridad del vicepresidente, el directorio y otro software confidencial en los archivos". [11]
El 20 de octubre de 2016, el Departamento de Defensa (DOD) anunció "Hackear el Pentágono". [12] [13]
La idea de utilizar esta táctica de hacking ético para evaluar la seguridad de los sistemas y señalar vulnerabilidades fue formulada por Dan Farmer y Wietse Venema . Para elevar el nivel general de seguridad en Internet y las intranets , procedieron a describir cómo pudieron recopilar suficiente información sobre sus objetivos para poder comprometer la seguridad si así lo hubieran decidido. Proporcionaron varios ejemplos específicos de cómo se podría recopilar y explotar esta información para obtener el control del objetivo y cómo se podría prevenir un ataque de este tipo. Reunieron todas las herramientas que habían utilizado durante su trabajo, las empaquetaron en una única aplicación fácil de usar y se la regalaron a cualquiera que decidiera descargarla. Su programa llamado Herramienta de administrador de seguridad para el análisis de redes , o SATAN, recibió una gran atención de los medios de comunicación en todo el mundo en 1992. [9]
Si bien las pruebas de penetración se concentran en atacar software y sistemas informáticos desde el principio (escanear puertos, examinar defectos conocidos en protocolos y aplicaciones que se ejecutan en el sistema e instalaciones de parches, por ejemplo), el hacking ético puede incluir otras cosas. Un hackeo ético a gran escala podría incluir enviar correos electrónicos al personal para solicitar detalles de la contraseña y hurgar en los contenedores de basura de los ejecutivos, generalmente sin el conocimiento y el consentimiento de los objetivos. Sólo los propietarios, directores ejecutivos y miembros de la junta directiva (partes interesadas) que solicitaron una revisión de seguridad de esta magnitud lo saben. Para intentar replicar algunas de las técnicas destructivas que podría emplear un ataque real, los piratas informáticos éticos pueden clonar sistemas de prueba u organizar un ataque a altas horas de la noche, mientras los sistemas son menos críticos. [14] En los casos más recientes, estos ataques se perpetúan a largo plazo (días, si no semanas, de infiltración humana a largo plazo en una organización). Algunos ejemplos incluyen dejar unidades USB /llave flash con software de inicio automático oculto en un área pública como si alguien hubiera perdido el disco pequeño y un empleado desprevenido lo encontrara y se lo llevara.
Algunos otros métodos para llevarlos a cabo incluyen:
Estos métodos identifican vulnerabilidades de seguridad conocidas e intentan evadir la seguridad para ingresar a áreas seguras. Pueden hacerlo ocultando software y 'puertas traseras' del sistema que pueden usarse como enlace a información o acceso al que un hacker no ético, también conocido como 'sombrero negro' o 'sombrero gris', podría querer acceder.
Bélgica legalizó el hacking de sombrero blanco en febrero de 2023. [15]
En julio de 2021, el gobierno chino pasó de un sistema de presentación de informes voluntarios a uno que exige legalmente que todos los piratas informáticos de sombrero blanco informen primero de cualquier vulnerabilidad al gobierno antes de tomar medidas adicionales para abordar la vulnerabilidad o darla a conocer al público. [16] Los comentaristas describieron el cambio como la creación de un "doble propósito" en el que la actividad de sombrero blanco también sirve a las agencias de inteligencia del país. [dieciséis]
Struan Robertson, director legal de Pinsent Masons LLP y editor de OUT-LAW.com dice: "En términos generales, si el acceso a un sistema está autorizado, el pirateo es ético y legal. Si no lo está, existe un delito según la ley". Ley de uso indebido de computadoras . El delito de acceso no autorizado cubre todo, desde adivinar la contraseña hasta acceder a la cuenta de correo web de alguien o violar la seguridad de un banco. La pena máxima por acceso no autorizado a una computadora es de dos años de prisión y una multa. Hay penas más altas. – hasta 10 años de prisión – cuando el hacker también modifique datos". El acceso no autorizado, incluso para exponer vulnerabilidades en beneficio de muchos, no es legal, afirma Robertson. "No hay defensa en nuestras leyes de piratería informática de que su comportamiento sea por un bien mayor. Incluso si es lo que usted cree". [4]
La Agencia de Seguridad Nacional de los Estados Unidos ofrece certificaciones como la CNSS 4011. Dicha certificación cubre técnicas de piratería informática ordenadas y éticas y gestión de equipos. Los equipos agresores se denominan equipos "rojos". Los equipos defensores se denominan equipos "azules". [8] Cuando la agencia reclutó en DEF CON en 2020, prometió a los solicitantes que "si tiene algunas, digamos, indiscreciones en su pasado, no se alarme. No debe asumir automáticamente que no será contratado". [17]
Un buen "sombrero blanco" es un empleado hábil y competitivo para una empresa, ya que puede ser una contramedida para encontrar errores para proteger el entorno de red empresarial. Por lo tanto, un buen "sombrero blanco" podría aportar beneficios inesperados al reducir el riesgo en todos los sistemas, aplicaciones y puntos finales de una empresa. [18]
Investigaciones recientes han indicado que los hackers de sombrero blanco se están convirtiendo cada vez más en un aspecto importante de la protección de la seguridad de la red de una empresa. Más allá de las pruebas de penetración, los hackers de sombrero blanco están desarrollando y cambiando sus habilidades, ya que las amenazas también están cambiando. Sus habilidades ahora involucran ingeniería social , tecnología móvil y redes sociales . [19]
{{cite journal}}
: CS1 maint: multiple names: authors list (link){{cite web}}
: CS1 maint: multiple names: authors list (link){{cite web}}
: CS1 maint: multiple names: authors list (link)