Historia Hacking Ético

historia-del-ethical-hacking
Historia Hacking Ético
Califica Este Post

El pirateo informático forma parte de la informática desde hace casi cinco décadas y es una disciplina muy amplia, que abarca una amplia gama de temas. El primer evento conocido de piratería informática se había producido en 1960 en el MIT y al mismo tiempo, se originó el término “Hacker”.

La piratería informática es el acto de encontrar los posibles puntos de entrada que existen en un sistema informático o una red informática para ingresar en ellos. La piratería informática se hace generalmente para obtener acceso no autorizado a un sistema informático o a una red de ordenadores, ya sea para dañar los sistemas o para robar información confidencial disponible en el ordenador.

La piratería informática suele ser legal siempre y cuando se esté haciendo para encontrar puntos débiles en un sistema informático o de red con fines de prueba. Este tipo de piratería informática es lo que se llama “Hacking Ético”.

Un experto en informática que hace el acto de piratear se llama “Hacker”. Los hackers son aquellos que buscan el conocimiento, para entender cómo funcionan los sistemas, cómo se diseñan y luego intentan jugar con estos sistemas.

Como nace el Ethical Hacking?

Cuando algunas de las organizaciones apenas comenzaban a incrementar los procesos informatizados dentro de su sistema de información, sus propios administradores y analistas técnicos eran los encargados de buscar claras falencias o brechas de seguridad en el escenario para solucionarlas como podían. En ese entonces, la mayoría no tenía una noción madura acerca de la seguridad de la información o de las intrusiones de terceros no autorizados en sus sistemas. A medida que pasó el tiempo, estas organizaciones se multiplicaron de manera notable y se informatizaron aún más, incluso tomando a Internet como plataforma de sus movimientos de información. De ese modo, se hicieron fluidas las comunicaciones interpersonales, intersucursales, transacciones o flujo digital de todo tipo y nivel de importancia, dejando, al mismo tiempo, muchos más datos expuestos a terceros, como nunca antes había sucedido.

nacimiento-de-los-hackers
Matthew Broderick y su compañera de reparto en War Games (1983).

Como resultado de ello y debido a que grandes casos de intrusión se dieron a conocer al público en general a través de los medios de prensa (aunque muchos no salen a la luz para salvaguardar una imagen institucional de organización confiable), se hizo evidente la falta de algún servicio
profesional que imitara esos ataques o capacitara a su personal con las mismas metodologías que utilizaba el intruso. De esa manera, se podían evaluar las reales condiciones de seguridad en las que se encontraba una organización y, de existir agujeros en el sistema o potenciales brechas, descubrirlos y solucionarlos de forma preventiva.

Los accesos no autorizados, junto a una gama de vulnerabilidades y todo tipo de amenazas relacionadas o dirigidas hacia la información, estaban a la orden del día. Desde algunos años antes, muchos especialistas ligados a la seguridad informática venían estudiando y practicando metodologías de intrusión en sus trabajos, laboratorios o casas. Así, comenzaron a brindar a las organizaciones un servicio a modo de proveedores externos o contratados y, para darle un nombre medianamente formal, lo llamaron ethical hacking. Este concepto incluye las denominaciones vulnerability scanning y penetration test, mejor denominado network security assessment.

Había una clara demanda de seguridad y, donde existe demanda, aparece una oferta. Por lo tanto, allí mismo nace un mercado. Apenas mediaban los años 90, ya asomaban las épocas de e-commerce, comenzaba la integración de las pequeñas y medianas empresas de todo el mundo a la red (e-organizaciones), a la que poco a poco se sumaba el público en general. Aparecía malware más sofisticado, se publicaban novedosas técnicas de intrusión o explotación de vulnerabilidades y no había demasiada conciencia sobre la administración segura de los servidores. Al mismo tiempo, jóvenes de todo el mundo se colaban en Internet engañando las centrales telefónicas (por una cuestión de gastos) de sus países para divertirse con los sistemas informáticos e intercambiar conocimientos con sus pares del otro lado del globo. De ese grupo de gente, saldría lo que en esos días serían algunos de los mejores profesionales de la seguridad, así como también hábiles intrusos.

Este fenóme no pudo ser posible gracias a la ausencia de una plata forma educativa formal sobre el tema, ya que los recursos de aprendizaje eran, y a menudo son (hoy más que nunca), compartidos. En aquel entonces, sobre seguridad no había educación formal más allá de un post grado en alguna universidad de EE.UU. o la que ofreciera una institución privada para sus empleados. En un ámbito más informal, recién en el año 1993, nació Bugtraq, una conocida lista de correo en la que se tratan temas de seguridad. No fue todo de un día para el otro, pero tuvo una marcada evolución.

Bug traq
Securityfocus. La me jor de fi ni ción de Bug traq (ac tual men te alo ja da en www .se cu rity fo cus .com) se en cuen tra en Wi ki pe dia, ya que in clu ye su his to ria com ple ta.

¿Por qué Ético?

Para emular la metodología de ataque de un intruso informático y no serlo,tiene que haber ética de por medio,más allá de todas las condiciones, términos y activos que haya al rededor del caso. Imaginemos que las autoridades de un banco contratan a alguien para que simule un robo (no a mano armada, claro está) y de ese modo se pruebe la eficiencia de su sistema de seguridad. Este supuesto ladrón profesional, luego de lograr su cometido, informa a sus dueños en detalle cómo pudo hacerlo y cómo ellos deberían mejorar su sistema de seguridad para que no volviera a pasar.Lógicamente, no se puede encargar de hacer esto una persona sinética, alguien inmoral. No entraremos en el terreno de lo ético como rama dentro de la filosofía práctica ni redactaremos un tratado sobre deontología profesional, no sólo por la cuestión de espacio, si no también por respeto a los griegos. Sí, en cambio, diremos que la ética implica que el trabajo y la intervención del profesional en seguridad informática o de la información no comprometen de ningún modo los activos de la organización, que son los valiosos datos con los que ella cuenta.

Entradas Relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *