2- Descripción General

Como recordatorio, el término hacker ético describe a una persona que actúa como atacante y evalúa la postura de seguridad de una red informática con el fin de minimizar el riesgo. El Centro de Recursos de Seguridad Informática del NIST (CSRC, por sus siglas en inglés) define a un hacker como un "usuario no autorizado que intenta o obtiene acceso a un sistema de información". Ahora bien, todos sabemos que el término hacker se ha utilizado de muchas maneras diferentes y tiene muchas definiciones diferentes. La mayoría de las personas en el campo de la tecnología informática se considerarían piratas informáticos por el simple hecho de que les gusta jugar. Obviamente, esto no es algo malicioso. Por lo tanto, el factor clave aquí para definir el hacking ético frente al no ético es que este último implica una intención maliciosa. ¡El permiso para atacar o el permiso para probar es crucial y lo que lo mantendrá fuera de problemas! Este permiso para atacar a menudo se denomina "el alcance" de la prueba (lo que se le permite y lo que no se le permite probar). Más sobre esto más adelante en este módulo.

Un investigador de seguridad que busca vulnerabilidades en productos, aplicaciones o servicios web se considera un hacker ético si revela responsablemente esas vulnerabilidades a los proveedores o propietarios de la investigación objetivo. Sin embargo, el mismo tipo de "investigación" realizada por alguien que luego utiliza la misma vulnerabilidad para obtener acceso no autorizado a una red/sistema objetivo se consideraría un hacker no ético. Incluso podríamos ir tan lejos como para decir que alguien que encuentra una vulnerabilidad y la divulga públicamente sin trabajar con un proveedor se considera un hacker no ético, porque esto podría llevar al compromiso de redes/sistemas por parte de otros que usan esta información de manera maliciosa.

La verdad es que, como hacker ético, utilizas las mismas herramientas para encontrar vulnerabilidades y explotar objetivos que los hackers no éticos. Sin embargo, como hacker ético, normalmente informaría de sus hallazgos al proveedor o cliente al que está ayudando a hacer que la red sea más segura. También trataría de evitar realizar pruebas o exploits que puedan ser de naturaleza destructiva.

El objetivo de un hacker ético es analizar la postura de seguridad de la infraestructura de una red o sistema en un esfuerzo por identificar y posiblemente explotar cualquier debilidad de seguridad encontrada y luego determinar si es posible un compromiso. Este proceso se denomina pruebas de penetración de seguridad o hacking ético.

PROPINA Hacking is NOT a Crime ( hackingisnotacrime.org ) es una organización sin fines de lucro que intenta crear conciencia sobre el uso peyorativo del término hacker. Históricamente, los piratas informáticos han sido retratados como malvados o ilegales. Por suerte, mucha gente ya sabe que los hackers son personas curiosas que quieren entender cómo funcionan las cosas y cómo hacerlas más seguras.