Sombrero gris

Tipo de hacker informático

Un sombrero gris ( greyhat o gray hat ) es un hacker informático o experto en seguridad informática que en ocasiones puede violar leyes o estándares éticos típicos , pero que normalmente no tiene la intención maliciosa típica de un hacker de sombrero negro .

El término se empezó a utilizar a finales de los años 90 y se deriva de los conceptos de hackers de " sombrero blanco " y de "sombrero negro". ^[1] Cuando un hacker de sombrero blanco descubre una vulnerabilidad , la explotará solo con permiso y no divulgará su existencia hasta que se haya solucionado, mientras que el hacker de sombrero negro la explotará ilegalmente y/o le dirá a otros cómo hacerlo. El hacker de sombrero gris no la explotará ilegalmente ni le dirá a otros cómo hacerlo. ^[2]

Otra diferencia entre estos tipos de hackers radica en sus métodos para descubrir vulnerabilidades. El hacker de sombrero blanco entra en sistemas y redes a petición de su empleador o con permiso explícito con el fin de determinar su nivel de seguridad frente a los hackers, mientras que el hacker de sombrero negro entra en cualquier sistema o red para descubrir información confidencial para su propio beneficio. El hacker de sombrero gris generalmente tiene las habilidades y las intenciones del hacker de sombrero blanco, pero puede entrar en cualquier sistema o red sin permiso. ^{[3] [4]}

Según una definición de hacker de sombrero gris, cuando descubren una vulnerabilidad, en lugar de decirle al vendedor cómo funciona la vulnerabilidad, pueden ofrecer repararla por una pequeña tarifa. Cuando alguien obtiene acceso ilegal a un sistema o red, puede sugerir al administrador del sistema que contrate a uno de sus amigos para solucionar el problema; sin embargo, esta práctica ha ido disminuyendo debido a la creciente disposición de las empresas a iniciar acciones legales. Otra definición de hacker de sombrero gris sostiene que los hackers de sombrero gris solo violan la ley en un esfuerzo por investigar y mejorar la seguridad: la legalidad se establece de acuerdo con las ramificaciones particulares de cualquier ataque en el que participen. ^[5]

En la comunidad de optimización de motores de búsqueda (SEO), los hackers de sombrero gris son aquellos que manipulan las clasificaciones de los motores de búsqueda de los sitios web utilizando medios inapropiados o poco éticos, pero que no se consideran spam de motores de búsqueda . ^[6]

Un estudio de investigación de 2021 analizó las características psicológicas de las personas que participan en la piratería informática en el lugar de trabajo. Los hallazgos indican que los hackers de sombrero gris suelen ir en contra de la autoridad, los hackers de sombrero negro tienen una fuerte tendencia a la búsqueda de emociones fuertes y los hackers de sombrero blanco suelen exhibir rasgos narcisistas . ^[7]

Historia

La frase " sombrero gris" se utilizó por primera vez en público en el contexto de la seguridad informática cuando DEF CON anunció las primeras reuniones informativas Black Hat programadas en 1996, aunque es posible que la hayan utilizado grupos más pequeños antes de esa fecha. ^{[1] [8]} Además, en esta conferencia se realizó una presentación en la que Mudge, un miembro clave del grupo de hackers L0pht , habló sobre su intención como hackers de sombrero gris de proporcionar a Microsoft descubrimientos de vulnerabilidades para proteger a la gran cantidad de usuarios de su sistema operativo. ^[9] Finalmente, Mike Nash, director del grupo de servidores de Microsoft, afirmó que los hackers de sombrero gris son muy parecidos a los técnicos de la industria del software independiente en el sentido de que "son valiosos para darnos retroalimentación para mejorar nuestros productos". ^[10]

La frase “sombrero gris” fue utilizada por el grupo de hackers L0pht en una entrevista de 1999 con The New York Times ^[11] para describir sus actividades de piratería.

La frase se utilizó para describir a los piratas informáticos que apoyan la notificación ética de vulnerabilidades directamente al proveedor de software en contraste con las prácticas de divulgación completa que prevalecían en la comunidad de sombrero blanco según las cuales las vulnerabilidades no debían divulgarse fuera de su grupo. ^[2]

Sin embargo, en 2002, la comunidad Anti-Sec publicó el uso del término para referirse a las personas que trabajan en la industria de la seguridad durante el día, pero se involucran en actividades de sombrero negro durante la noche. ^[12] La ironía fue que para los sombreros negros, esta interpretación fue vista como un término despectivo; mientras que entre los sombreros blancos era un término que daba una sensación de notoriedad popular.

Tras el ascenso y posterior declive de la "era dorada" de la divulgación total frente a la antiseguridad (y el consiguiente crecimiento de una filosofía de "piratería ética"), el término " sombrero gris" comenzó a adoptar todo tipo de significados diversos. El procesamiento en los EE. UU. de Dmitry Sklyarov por actividades que eran legales en su país natal cambió las actitudes de muchos investigadores de seguridad. A medida que Internet se empezó a utilizar para funciones más críticas y crecían las preocupaciones sobre el terrorismo, el término "sombrero blanco" comenzó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación total. ^[13]

En 2008, la EFF definió a los investigadores de seguridad ética como aquellos que, inadvertidamente o de manera discutible, violan la ley en un esfuerzo por investigar y mejorar la seguridad. Abogan por leyes sobre delitos informáticos más claras y más precisas. ^[14]

Ejemplos

En abril de 2000, los piratas informáticos conocidos como "{}" y "Hardbeat" obtuvieron acceso no autorizado a Apache.org . ^[15] Decidieron alertar al personal de Apache sobre los problemas en lugar de intentar dañar los servidores de Apache.org. ^[16]

En junio de 2010, un grupo de expertos informáticos conocido como Goatse Security expuso una falla en la seguridad de AT&T que permitía revelar las direcciones de correo electrónico de los usuarios de iPad . ^[17] El grupo reveló la falla de seguridad a los medios poco después de notificar a AT&T. Desde entonces, el FBI abrió una investigación sobre el incidente y allanó la casa de weev , el miembro más destacado del nuevo grupo. ^[18]

En abril de 2011, un grupo de expertos descubrió que el iPhone de Apple y los iPads 3G estaban "registrando los lugares que visitaba el usuario". Apple publicó un comunicado en el que afirmaba que el iPad y el iPhone solo estaban registrando las torres a las que el teléfono podía acceder. ^[19] Se han publicado numerosos artículos sobre el tema y se ha considerado un problema de seguridad menor. Este caso se clasificaría como "de sombrero gris" porque, aunque los expertos podrían haberlo utilizado con intenciones maliciosas, el problema se informó de todos modos. ^[20]

En agosto de 2013, Khalil Shreateh, un investigador de seguridad informática desempleado, hackeó la página de Facebook de Mark Zuckerberg para obligarlo a tomar medidas para corregir un error que descubrió y que le permitía publicar en la página de cualquier usuario sin su consentimiento. Había intentado informar a Facebook repetidamente sobre este error, pero Facebook le dijo que el problema no era un error. Después de este incidente, Facebook corrigió esta vulnerabilidad que podría haber sido un arma poderosa en manos de los spammers profesionales . Shreateh no fue compensado por el programa White Hat de Facebook porque violó sus políticas, lo que lo convirtió en un incidente de sombrero gris. ^[21]

Véase también

• Anónimo (grupo de hackers)
• Delito cibernético
• Guerra cibernética
• Hacktivismo
• Riesgo de TI
• Metasploit
• Travesura
• Prueba de penetración

Referencias

1. De, Chu (2002). "¿Sombrero blanco? ¿Sombrero negro? ¿Sombrero gris?". ddth.com . Jelsoft Enterprises . Consultado el 19 de febrero de 2015 .
2. Regalado; et al. (2015). Hacking de sombrero gris: Manual del hacker ético (4.ª ed.). Nueva York: McGraw-Hill Education. pág. 18.
3. Fuller, Johnray; Ha, John; Fox, Tammy (2003). "Guía de seguridad de Red Hat Enterprise Linux 3". Documentación del producto . Red Hat. Sección (2.1.1). Archivado desde el original el 29 de julio de 2012 . Consultado el 16 de febrero de 2015 .
4. Cliff, A. "Terminología de detección de sistemas de intrusión, primera parte: AH". Symantec Connect . Symantec. Archivado desde el original el 8 de junio de 2011 . Consultado el 16 de febrero de 2015 .
5. Moore, Robert (2011). Ciberdelito: investigación de delitos informáticos de alta tecnología (2.ª ed.). Burlington, MA: Anderson Publishing. pág. 25.
6. AE (2014). SEO de sombrero gris 2014: las técnicas más efectivas y seguras de 10 desarrolladores web. Secretos para lograr un alto ranking, incluidas las recuperaciones de penalizaciones más rápidas. Research & Co. ASIN  B0C83N8B8B.
7. "Rasgos oscuros y potencial de piratería". Revista de Psicología Organizacional . 21 (3). 9 de julio de 2021. doi :10.33423/jop.v21i3.4307. ISSN  2158-3609.
8. "Def Con Communications presenta las reuniones informativas de Black Hat". blackhat.com . blackhat.com. 1996.
9. Lange, Larry (15 de julio de 1997). "Microsoft abre el diálogo con los hackers de NT". blackhat.com . Consultado el 31 de marzo de 2015 .
10. Lange, Larry (22 de septiembre de 1997). "The Rise of the Underground Engineer". blackhat.com . Consultado el 31 de marzo de 2015 .
11. "HacK, CounterHaCk". New York Times Magazine . 3 de octubre de 1999. Consultado el 6 de enero de 2011 .
12. Digitalsec.net Archivado el 26 de diciembre de 2017 en Wayback Machine . #Phrack High Council. 20 de agosto de 2002. "La lista de los que son greyhat y los que son whitehat"
13. "La delgada línea gris". CNET News . 23 de septiembre de 2002 . Consultado el 6 de enero de 2011 .
14. EFF.org Electronic Frontier Foundation (EFF). 20 de agosto de 2008. "Una guía para los que usan sombreros grises"
15. Michelle Finley (28 de marzo de 2013). "Wired.com". Wired . Wired.com . Consultado el 1 de noviembre de 2013 .
16. "Textfiles.com" . Consultado el 1 de noviembre de 2013 .
17. El FBI abre investigación sobre violación de datos del iPad Wall Street Journal, Spencer Ante y Ben Worthen. 11 de junio de 2010.
18. Tate, Ryan (9 de junio de 2010). "La peor vulneración de seguridad de Apple: 114.000 propietarios de iPad expuestos". Gawker.com . Gawker Media . Archivado desde el original el 12 de junio de 2010 . Consultado el 13 de junio de 2010 .
19. Harrison, Natalie; Kerris, Natalie (27 de abril de 2011). "Preguntas y respuestas de Apple sobre los datos de ubicación". Información de prensa de Apple . Apple, Inc.
20. "¿Apple te está rastreando?". hackfile.org . Archivado desde el original el 23 de marzo de 2012.
21. Gross, Doug (20 de agosto de 2013). «Hackean la página de Facebook de Zuckerberg para demostrar una falla de seguridad». CNN . Consultado el 4 de abril de 2015 .

Lectura adicional

• AE (2014). SEO de sombrero gris 2014: las técnicas más efectivas y seguras de 10 desarrolladores web. Secretos para posicionarse en los primeros puestos, incluidas las recuperaciones de penalizaciones más rápidas. Research & Co. ASIN  B0C83N8B8B.
• Archer Esser (2023). El SEO de sombrero gris al descubierto. Make It Work Publishing. ISBN 9798398304732.