Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com
Hacking ético… curiosas palabras que en el contexto coloquial se traduciría como piratear
sistemas de forma legal, aunque hacker, pirata y delincuente informático no son la misma
figura. (Ver el atacante informático capítulo 1 = http://www.itforensic-la.com/revistas/El-
Atacante-Informatico-Cp1.pdf
CONFIDENCIAL
THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com
Este es el dilema del hacking ético desde el punto de vista de la empresa, puesto que cada uno
tenemos una opinión al respecto, que en muchas ocasiones se ve influenciada por factores
externos: fabricantes de software, organismos, stakeholders,.. Para que nos entendamos, las
preguntas básicas que se hace un directivo ante la circunstancia son: ¿Qué es mejor para el
negocio? ¿Denunciar a SuperHacker, contratarlo o tapar el hecho?
Ahora, vamos a mirar el hacking ético desde el punto de vista del hacker. No existe un único
perfil de hacker de sombrero blanco, puede ser un estudiante, un camarero, un profesional del
sector,…., cualquiera, puede ser la persona menos pensada que tenemos a nuestro lado, lo
único que tienen en común es la pasión por la informática y ganas de compartir los
conocimientos adquiridos tras incontables horas de método empírico. Si SuperHacker no
muestra a la empresa cuales son las vulnerabilidades de su sistema, el malvado
BlackSuperHacker podría usar dichas vulnerabilidades para su propio beneficio y causar
CONFIDENCIAL
THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com
enormes daños en la empresa. Menuda situación para SuperHacker si encima recibe por su
aportación una denuncia…
Esta es la realidad del hacking ético, obviamente, la solución jurídica o moral a este dilema
tienen que decidirla las partes implicadas: empresa, reguladores y hackers, algo bastante
complicado cuando la tercera de las partes no tiene un órgano de representación debido a su
propia naturaleza.
En el artículo anterior veíamos una introducción al concepto del hacking ético, sus figuras y el
dilema que causa en las empresas. En este artículo vamos a ver cómo operan.
El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que
aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los
hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en
una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de
sombrero blanco o un hacker de sombrero negro.
Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se
corresponden con unos protocolos estándar:
Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un
margen de 45 días, durante los cuales se le dará tiempo al fabricante del software de
generar un parche que solucione el problema. La vulnerabilidad es publicada aunque no
se haya generado el parche.
Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La
colaboración del hacker con el fabricante del software para elaborar una solución es
opcional, el hacker no está obligado. El autor del hallazgo debe ser paciente con el
fabricante del software, y se espera que este recompense al hacker por identificar el
problema.
Organización para la seguridad en internet (OIS). OIS es un conglomerado de varios
investigadores y empresas importantes con presencia en internet. Solamente personal
próximo a OIS tienen acceso a información confidencial. Establece toda una serie de
pasos: descubrimiento, notificación, validación e investigación, con sus aspectos
concretos.
CONFIDENCIAL
THD SECURITY GROUP S.A.S
NIT.900.923.967-2
Carrera 14 N 12 A 35
Sedes: Colombia – Ecuador – Panamá - Bolivia
Telefax: (096) 8804020, Celular 3116865526
www.thdsecurity.com
www.itforensic-la.com.com
thd@thdsecurity.com
Tal es el caso de Utilizar a un tercero que lo que hace es “vender” la vulnerabilidad reportada,
uno de los ejemplos es ZDI, creo que es la más famosa para vender vulnerabilidades. Ellos te
pagan por la vulnerabilidad y se ponen en contacto con el fabricante.
Otro proyecto tiene que ver con https://hackerone.com/ , una plataforma que facilita la
comunicación entre el equipo de seguridad de una empresa con profesionales o con
principiantes en la seguridad informática también llamados hackers.
Los profesionales de la seguridad informática opinan que si los hackers de sombrero negro ya
conocen la vulnerabilidad, ¿Por qué no publicarla? En caso contrario, estaríamos restringiendo
el conocimiento a unos pocos y los sistemas de millones de empresas o personas podrían estar
en peligro.
Además, si los chicos malos no conocen la vulnerabilidad, tarde o temprano la descubrirían sin
que se haya publicado ninguna notificación oficial, así pues conocer los detalles ayuda más a
los hackers éticos que a los hackers de sombrero negro. Esta es una premisa fundamental
derivada de que una seguridad efectiva no se puede basar en el oscurantismo, sino en la
concienciación.
Por otro lado, tenemos la opinión de los fabricantes de software, que ven la divulgación
completa de los hallazgos desde un prisma completamente diferente, ya que el conocimiento
público de vulnerabilidades podría peligrar las ventas de sus productos, por lo que propone que
solamente los investigadores necesitan conocer los detalles de una determinada vulnerabilidad.
Además, opinan que la divulgación completa solamente abre la puerta a mayores abusos y
actos legales.
En su contexto ambas partes tienen la razón, pero lo que sí es cierto es que la concienciación
de la seguridad es la mejor arma con la que se puede combatir, y para ello el oscurantismo no
puede existir. Desde el punto de vista de la auditoria de seguridad informática, la identificación
y comunicación de vulnerabilidades debe ser realizada a todas las partes implicadas, siendo el
primer paso para establecer una correcta política de seguridad informática.
CONFIDENCIAL