No todos los hackers piratean los sistemas de seguridad y roban datos para perjudicar a las empresas y ganar dinero con ello. Hay hackers de sombrero blanco (white hat), o éticos, cuyo trabajo consiste en encontrar todas las vulnerabilidades de un sitio web o servicio en línea para para su posterior estudio.
Estos especialistas están muy solicitados y entre ellos hay quienes han conseguido ganar millones. Puedes consultar nuestro artículo ¿Cómo se Gana el Pan Gratis un Hacker Ético?.
Tabla de Contenido
- ¿Qué es el Hacking Ético?
- Qué hace un Hacker Ético
- Quién es Apto para ser un Hacker Ético
- Quién Realiza los Hacks Éticos
- Dónde Empezar a Aprender Hacking Ético
- Lo que Necesita Saber un Hacker Ético
- Qué Cursos se pueden hacer de Hacking Ético
- ¿Qué Libros hay sobre Hacking Ético?
- Consejos para los Aspirantes a Hackers Éticos
- ¿Qué es el Hacking Ético?
- Qué hace un Hacker Ético
- Quién es Apto para ser un Hacker Ético
- Quién Realiza los Hacks Éticos
- Dónde Empezar a Aprender Hacking Ético
- Lo que Necesita Saber un Hacker Ético
- Qué Cursos se pueden hacer de Hacking Ético
- ¿Qué Libros hay sobre Hacking Ético?
- Consejos para los Aspirantes a Hackers Éticos
¿Qué es el Hacking Ético?
Los sitios web y los servicios en línea están formados por grandes y complejas piezas de software, y no es imposible cometer errores. Las pequeñas, como un error de salida en lugar del contenido correcto de la página, no son un problema. Pero otros más grandes pueden llevar a un intruso a acceder a información sensible, a acceder a las cuentas de los usuarios o a exponer grandes cantidades de datos almacenados en el sitio.
Por mucho que los propietarios de los sitios se esfuercen, es difícil crear una protección absoluta para el código, y ocurre que vulnerabilidades importantes pasan desapercibidas. Por ejemplo, un formulario de inicio de sesión que permite adivinar infinitas contraseñas para acceder a una cuenta. O un problema más grave: una inyección de comandos o SQL en una interfaz que no maneja las comillas en la cadena de consulta, y el programa las califica como parte de un comando SQL o del sistema.
Probar un sitio web o un servicio en línea en busca de tales vulnerabilidades de seguridad para mejorarlo se llama hacking ético, o pruebas de penetración. Se trata de una búsqueda selectiva de errores en el código por parte de un profesional de la informática que trabaja en la investigación de la seguridad.
Qué hace un Hacker Ético
Los hackers éticos, también conocidos como sombrereros blancos o analistas de seguridad de la información, no roban datos ni causan daños. Detectan los problemas y los comunican al propietario del sitio para que pueda corregirlos. Muchas empresas contratan específicamente a personas para que realicen estas pruebas para mejorar la seguridad de su sitio.
El trabajo de un hacker ético es remunerado, y un profesional altamente cualificado puede ganarse la vida con ello. Según el análisis de Glassdoor, el salario medio anual de un hacker ético (en Estados Unidos) es de 100.000 dólares.
Pero también es posible que una empresa no tenga un gran presupuesto y se pague con su producto o publicando el nombre del analista en el tablón de honor del sitio en la sección de desarrolladores. No es lucrativo, pero es una buena forma de que un aspirante a informático se haga con una cartera de proyectos para conseguir un trabajo como probador.
Quién es Apto para ser un Hacker Ético
Un hacker ético debe tener varios rasgos de carácter. En primer lugar, paciencia, porque el trabajo es bastante monótono: uno puede estudiar el código y sus vulnerabilidades durante horas y días. Hay que estar interesado en una investigación larga y profunda.
En segundo lugar, hay que saber disfrutar de las pequeñas cosas: unas horas o días de trabajo pueden acabar en nada. La remuneración del trabajo no siempre es tan alta como la de un desarrollador o diseñador gráfico convencional. Hay que trabajar con entusiasmo, a veces para disfrutar de modestas recompensas y una sensación de logro, para no quemarse.
Y la flexibilidad mental y la curiosidad son igual de importantes. Hay que pensar como un potencial abusador o hacker black hat: ser capaz de ver formas de aprovechar un error para hackear el sistema, algunos puntos no contabilizados para ser aplicados de forma inapropiada. Por ejemplo, si un script de opción se lleva a cabo de una manera diferente, y esto conlleva a acceder a los datos.
Quién Realiza los Hacks Éticos
Esto lo hacen sobre todo los profesionales de la seguridad, de los que se espera que sepan exactamente dónde pueden aparecer las vulnerabilidades en un sistema o producto, o los desarrolladores con la correspondiente certificación de penetración. Es importante que sean contratistas de terceros y no los mismos que crearon el producto: estos últimos tienen el ojo lavado y pueden no encontrar las vulnerabilidades que dejaron.
El hacking ético consiste principalmente en querer ayudar al sitio, no en obtener un gran beneficio. Por lo tanto, todas las pruebas deben realizarse con el permiso del propietario del sitio, especialmente si pueden parecer un ataque de fuerza bruta o un ataque de denegación de servicio.
E incluso si se niega a hacer caso a los consejos o no arregla los simples fallos durante meses, aunque el problema sea muy importante y pueda dar lugar a un exploit (denegación de servicio del sistema informático), es aceptable dar a conocer públicamente sólo los detalles mínimos. Pero esto debería ser un último recurso, no una primera acción.
Antes de ofrecer sus servicios al propietario del sitio y cobrar un precio, vale la pena averiguar si hay alguna tarifa por buscar vulnerabilidades. Es inaceptable exigir dinero en el primer correo electrónico a cambio de encontrar los errores – deja que el propietario del sitio web verifique que el informe está reportando un problema real, y entonces espera a que te ofrezca una recompensa.
Si se ha hecho un buen trabajo y el sitio tiene un programa de recompensas (bug bounty), no es necesario pedir dinero. Y es inaceptable pedir una recompensa sin proporcionar información, esto es simplemente un chantaje.
Dónde Empezar a Aprender Hacking Ético
Independientemente del método de entrada en la profesión (cursos, libros, o autoaprendizaje a través de blogs de hacking), es importante que los hackers actualicen sus conocimientos: leer artículos sobre problemas comunes, hablar con compañeros en foros. Por ejemplo, un popular sitio web gestionado por la Fundación OWASP es utilizado por muchos hackers éticos como guía. Los hackers blancos pueden compartir los detalles de los problemas que descubren aquí, y se puede obtener mucha información valiosa.
Pero la lista OWASP no es axiomática: un problema de seguridad de la lista puede no ser crítico para un sitio en particular. Por ejemplo, hay páginas que dicen que revelar la marca del servidor o el número de versión del software es peligroso porque informa al atacante de los problemas que debe buscar. Pero un verdadero ataque de hackers utiliza todos los exploits posibles sin comprobar la marca del servidor o el número de versión del software.
Permiten realizar muchas comprobaciones rápidamente, pero su uso por sí solo no convierte a una persona en un buen analista. Todas las herramientas tienen limitaciones y los resultados que producen deben ser comprobados cuidadosamente.
Es un poco más difícil con las herramientas para examinar el código de las aplicaciones, porque un software no es igual a otro. Lo que se aprovecha en una aplicación puede ser irrelevante en otra. En este caso se puede utilizar el método de prueba por fases, en el que se introduce un flujo de datos no estándar en un programa para identificar posibles problemas en la ejecución del proceso.
Pero para utilizar las herramientas de este método, es necesario conocer a fondo su funcionamiento. Por lo tanto, suelen ser inadecuados para quienes se inician en el hacking.
Las herramientas suelen advertir de posibles problemas que sólo pueden aprovecharse en circunstancias muy concretas. Por ejemplo, un sitio puede no tener protección contra el clickjacking, pero no es peligroso a menos que el clickjacking pueda causar daños. Siempre debes comprobar la relevancia del problema antes de informar al propietario del sitio.
Aquí hay algunos enlaces útiles para los principiantes:
- Hackaday.com: un portal con consejos para hackear sistemas, noticias del mundo del pentesting y guías prácticas.
- Hack The Box: interfaz web para la formación en hacking.
- Defcon: la mayor conferencia de hackers celebrada desde 1993.
- Cybrary: cursos gratuitos en línea sobre seguridad de la información.
Lo que Necesita Saber un Hacker Ético
Las pruebas más sencillas no requieren grandes conocimientos y a menudo pueden realizarse con herramientas automatizadas. Los conocimientos de programación no son esenciales para un hacker ético, pero pueden ayudar a la profesión (hemos contestado a la pregunta ¿Necesito Programar para ser un PenTester?). Permitirá comprender los grupos de errores que pueden cometer los profesionales de la informática que desarrollan un sitio web.
Por ejemplo, algunos lenguajes de programación no tienen una forma estándar de codificar los caracteres especiales en los objetos HTML, por lo que se puede empezar a buscar lugares para inyectarlos con cadenas de consulta que puedan permitir el cross-site scripting.
El lenguaje PHP para bases de datos compatibles con MySQL generalmente utiliza interfaces estándar que envían cada consulta como un mensaje separado. Por lo tanto, incluso si el sitio no borra los parámetros de consulta SQL ingresados, es posible que no pueda usar símbolos de desglose de comandos para ejecutar código de terceros. Por cierto, hemos realizado una lista de los Mejores Lenguajes de Programación para Hacking.
La capacidad de entender los protocolos utilizados por el servicio también será una ventaja. Es posible que ya cuentes con las herramientas para verificar la protección de forzamiento de la contraseña (fuerza bruta) en el formulario de inicio de sesión HTML, pero si el sitio también ofrece acceso a través de POP3 y puedes revisar la documentación de ese protocolo, es posible que puedas programar tu propia herramienta para introducir una contraseña de inicio de sesión POP3. Se trata de un protocolo abierto, y aprender sobre él puede aportarle información útil.
Qué Cursos se pueden hacer de Hacking Ético
Para conseguir un éxito real en el hacking, merece la pena hacer cursos. Muchas grandes plataformas educativas las ofrecen hoy en día. Duran de seis meses a un año y dan una buena base en el campo de la ciberseguridad.
También es posible tomar cursos cortos en Udemy en varias áreas de hacking y seguridad de la información. Por ejemplo, el WiFi-pentesting (pruebas de penetración y vulnerabilidad de la red WiFi). Suelen ser un conjunto de videotutoriales con un mínimo de comentarios, pero a un precio muy asequible y con una duración de entre dos y 24 horas.
Se pueden encontrar en plataformas tanto en español como en inglés, incluso en otras muy especializadas como Cybrary.
¿Qué Libros hay sobre Hacking Ético?
Los libros no te ayudarán a encontrar información actualizada relacionada con los posibles exploits; sólo deben utilizarse como fuente de conocimiento general. La tecnología avanza rápidamente y los libros se quedan obsoletos antes de salir de la imprenta.
Es mucho más importante investigar continuamente: hacer más prácticas, hablar con compañeros del sector y estudiar los casos de otras personas.
Libros útiles para los hackers éticos:
- Roger A. Grimes, “Hackear al Hacker“;
- Karina Astudillo B., “Hacking Etico 101“;
- Karina Astudillo B., “Hacking Ético 3ª Edición. ¡Cómo convertirse en Hacker ético…!“;
- José Manuel Ortega Candel, “Hacking ético con herramientas Python“;
- Brian Walker, “Hacking Ético: Guía completa para principiantes“;
- Vv.Aa, “Seguridad informática. Hacking Ético“;
- Jon Erickson, “Hacking: The Art of Exploitation“;
- Patrick Engebretson, “The Basics of Hacking and Penetration Testing“;
- Peter Kim, “The Hacker Playbook“;
- Georgia Weidman, “Penetration Testing: A Hands-On Introduction to Hacking“;
- James Corley, “Hands-On Ethical Hacking and Network Defense“.
A medida que se desarrolla la digitalización, la demanda de profesionales de la ciberseguridad seguirá creciendo: las agencias de contratación dicen que hay escasez. Por lo tanto, los hackers éticos, que existen menos y cuestan menos, pero pueden ahorrar a los propietarios de los sitios web cientos de miles e incluso millones de rublos, también estarán en demanda.
Consejos para los Aspirantes a Hackers Éticos
- No confíes ciegamente en las herramientas: aunque encuentren algo, no significa que el problema concreto sea crítico. Analiza cada recomendación que te hagan.
- Evalúa sobriamente cada problema de seguridad, no todos son críticos. La posibilidad de aplicar un modelo equivocado a un sitio no es tan importante como el riesgo de poner en peligro los datos que almacena en el servidor.
- Ten en cuenta la privacidad: no hagas públicos los errores que encuentres y no los compartas con otros analistas. Negocia con el propietario del sitio qué canales utilizar para compartir los datos: sistema dedicado en el software, correo electrónico.
- No es necesario informar de los errores de software a un tercero, a menos que el propietario del sitio los ignore a propósito: con la próxima actualización las vulnerabilidades desaparecerán. Busca los problemas en el software de la empresa, no en un producto de terceros.
- Preparar informes de pruebas en forma de texto. Por ejemplo, en el caso del cross-site scripting, basta con enviar un enlace a la URL con la cadena de consulta correcta. Utiliza el vídeo en casos complejos en los que necesites supervisar las solicitudes de la red o ver las interacciones entre diferentes cuentas.
En resumen, los hackers éticos deben ser tratados como los valiosos activos que son. Sin ellos, el mundo no puede incorporar la seguridad a los sistemas antes de su despliegue, y todos tendríamos muchos problemas. Los hackers éticos son la mejor línea de defensa que tenemos contra los actores maliciosos. Y el hacking ético es un campo que crece cada año. Conoce Cómo Convertirse en un Hacker.
