Conforme aumenta relevancia global de la ciberseguridad y se multiplica la ciberdelincuencia en el mundo, la demanda de hackers éticos crece mes tras mes. De hecho, hoy es la quinta profesión con más crecimiento en España, donde faltan ‘ciberexpertos’ cualificados. La palabra hacker siempre ha tenido un sentido peyorativo, incluso despectivo, no solo en español, sino en el resto del mundo. Cuando la oímos o leemos, solemos imaginar a un informático encapuchado haciendo maldades con un ordenador o un teléfono móvil. Los medios con frecuencia tratan indistintamente a los ‘hackers malos‘ y a los ‘hackers buenos‘, probablemente por una confusión en torno a un término que no acaba de conocerse bien.
La palabra ‘hacker’ nació en una cuadra de caballos
La palabra en sí procede al parecer de un prado británico llamado Hackney, hoy integrado en la ciudad de Londres como uno de los barrios más cotizados de la ciudad. En este lugar se criaba una raza de caballos que dio nombre a un tipo de coche de alquiler. Cuando la dehesa se urbanizó, los caballos que tiraban de aquellos carros (antecedentes de los taxis) conservaron el nombre de hack. Por extensión, en el siglo XVIII un escritor que trabajaba por encargo, es decir, que alquilaba sus servicios, se llamaba hack. Estos mercenarios de la palabra a menudo firmaban con seudónimo o con el nombre de quien les había contratado. La palabra se hizo muy popular y se empleó durante años con el sentido de juntaletras o plumilla clandestino. Derivado de este oficio creativo algo transgresor, un tecnócrata de la MIT en 1959 incluyó en un glosario los términos hack y hacker para definir «el uso no convencional o no ortodoxo de la tecnología«.
España: ¿jáquer o hacker?
En 2017 el Diccionario de la Real Academia actualizó por fin la definición de la palabra (cuya grafía ya estaba españolizada a un jáquer apenas usado). En todo caso, el hacker seguía siendo un «pirata informático» en la primera acepción del DRAE, pero en la segunda pasaba a ser una «persona con grandes habilidades en el manejo de computadoras y que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora«.
Por qué se llama ‘hacking ético’ al bando de los buenos
El término hacking ético lo usó por primera vez John Patrick, entonces presidente de IBM. Pero la actividad en sí no solo es muy anterior, sino que la mayoría de los informáticos aspirarían a practicarla casi desde los inicios de la computación moderna, allá por la década de 1970. Pero ¿qué es el hacking ético? Podría definirse como la tarea puntual que hace por encargo un experto en ciberseguridad para evaluar la seguridad de un sistema informático. La labor proactiva que llevan a cabo sirve para garantizar la inviolabilidad de la estructura digital de un organismo, una empresa o un individuo particular. Dado que el hacker ético debe contar con permiso previo del dueño del sistema al que accede, la misión del ‘hacker ético’ es la opuesta a la del ciberdelincuente. Un hacker ‘bueno’ recibe hoy el nombre de hacker ético, por contraposición con el ciberdelincuente, también llamado cracker.
Breve historia de la ciberdelincuencia
En las décadas de 1980 y 1990, el término hacker empezó a relacionarse casi exclusivamente con la práctica de actividades delictivas en el ámbito informático. La aparición del ordenador personal como herramienta de trabajo, individual y empresarial, trajo consigo el hasta entonces desconocido soporte digital, que permitía almacenar grandes cantidades de datos sin ocupar apenas un espacio físico. Los ‘piratas informáticos’ tardaron poco en vislumbrar la posibilidad de robar información empresarial para venderla o para chantajear a sus dueños con otros fines.
‘Sombrero blanco’ versus ‘Sombrero negro’
Se atribuye al físico y programador estadounidense Richard Stallman el empleo de la simbología de las ‘películas del oeste‘ para distinguir los tipos de hacker. En el género western los vaqueros ‘buenos’ llevaban sombrero blanco y los ‘malos‘ llevaban sombrero negro. Posteriormente se introdujo el término ‘sombrero gris’ para definir al experto cibernético que trabaja como un hacker ético, pero puede llegar a saltarse la ley si las circunstancias lo requieren. En este terreno poco definido estarían las empresas de inteligencia digital como Cellebrite, que emplean el ciberataque para ‘hacer el bien’ en cooperación con las fuerzas del orden. Un ‘hacker bueno’ recibe hoy el nombre de sombrero blanco, que representa lo opuesto al ‘hacker malo’ o sombrero negro. (Una serie de grupos políticos han exigido en años recientes que se retiren todos estos términos, por considerar que tienen connotaciones raciales, aunque de momento se mantienen vigentes, por su popularidad, pese a la presión de la corrección política.)
Las 4 reglas de oro del hacking ético
Respetar la ley, no trabajando jamás sin obtener el necesario permiso de la empresa u organismo cuyos sistemas va a revisar.
Definir los términos de la evaluación para mantenerse dentro de los límites establecidos.
Informar de todas las vulnerabilidades descubiertas durante la evaluación, proponiendo soluciones para remediarlas.
Cumplir el acuerdo de confidencialidad sobre los datos revisados y cualquier otro término o condición exigido por la empresa u organismo
¿Qué capacidad y qué nivel informático debe tener un ‘hacker ético’?
El abanico de capacidades tecnológicas de un hacker ético es muy extenso. Con frecuencia se especializan en un área específica dentro de su campo. Los cuatro requisitos imprescindibles son:
Dominio de los lenguajes de programación
Soltura en el manejo de sistemas operativos
Conocimiento profundo de Internet
Fundamentos de los principios de seguridad de la información
La entrada Hacking ético: ¿Qué tipo de talento necesitas para practicarlo? se publicó primero en Redseguridad.
