Los hacker de sombrero negro, mejor conocidos como Black Hat, tienen
la cualidad de explotar vulnerabilidades en los sistemas con la finalidad
de demostrarse que lo pudieron hacer burlando la seguridad del mismo.Ejemplo de ello lo tenemos en el caso acontecido en febrero del 2008, cuando la página web oficial de la Presidencia de la República fue afectada por un atacante que se hacía llamar H4t3 M3; logró dejar como recordatorio una imagen de lo más elocuente gracias a que esa página web tenía una vulnerabilidad.
Por su parte, los hackers de sombrero blanco o White Hat, también conocidos como hackers éticos, pentesters y expertos en seguridad; tienen la finalidad de realizar pruebas de intrusión en organizaciones que así lo pidan, para posteriormente rendirles un informe, en el que se detallan todos aquellos puntos vulnerables encontrados para que, posteriormente, la empresa los mitigue a la brevedad posible.
Cuando en 1997, la cultura de la seguridad informática comenzó a tomar fuerza, se pensó que los hackers éticos podían ofrecer sus servicios a las empresas para ayudarlas a ser menos vulnerables, y en 2001 arrancaron en forma este tipo de asesorías.
Convencer a las compañías de contratar un hacker, por mucho que se llame ético, y conseguir el permiso para que ingrese y juegue con sus sistemas no ha sido fácil. No puedes llegar y simplemente decir te ofrezco un hackeo ético, debes explicar muy bien qué es esto y cuáles son los objetivos, comenta Luis Alberto Cortés, consultor en seguridad y hackeo ético.
Así, el término poco a poco se ha ido aceptando, ahora los hackers éticos empiezan a ser conocidos y buscan sus servicios. Por otra parte, grandes empresas de seguridad, como Ernest & Young o PriceWaterhouse, han empezado a ofrecer servicios de hackeo ético, lo cual ayuda a generar mayor confianza en este tipo de asesorías.
Así mismo, se ha desarrollado, alrededor de estas prácticas, una especie de código de honor y contratos especiales, que se firman entre los hackers éticos y las compañías usuarias, para mayor protección de estas últimas. En dicho contrato, se conviene que la empresa da permiso para realizar la intrusión, marca un lapso de duración, dispone las fechas para hacerlo y cómo se entregarán los resultados, generalmente un reporte, donde se enumeran las vulnerabilidades y fallas encontradas, así como las recomendaciones para mitigarlas.
Generalmente, esos contratos incluyen una cláusula de confidencialidad, donde se estipula que toda información encontrada a raíz de las pruebas de penetración, no podrá ser divulgada por el hacker a otra entidad que no sea la compañía que contrató sus servicios, ni tampoco podrá quedarse con una copia del reporte final generado para la empresa, esto con la finalidad de evitar sea revelado a terceros. De no cumplir con ello, se haría acreedor a una demanda.
Fuente: http://www.gitsinformatica.com/hackers.html
No hay comentarios:
Publicar un comentario