¿Qué es ethical hacking?

Read in English. (Leer en inglés.)

El ethical hacking o hacking ético es la práctica de realizar evaluaciones de seguridad utilizando las mismas técnicas que emplean los hackers, pero con la debida aprobación y autorización de la organización a la que se está hackeando. El objetivo es utilizar las tácticas, técnicas y estrategias de los ciberdelincuentes para localizar posibles puntos débiles y reforzar la protección de una organización frente a las brechas de seguridad y de datos.

Cybersecurity Ventures predice que la ciberdelincuencia costará globalmente unos 10.5 mil millones de dólares estadounidenses anuales en daños para 2025 [1]. También predicen que sólo el ransomware costará a las víctimas 265 mil millones de dólares estadounidenses cada año para 2031.

La amenaza actual de la ciberdelincuencia, combinada con la escasez de profesionales experimentados en seguridad de la información, ha creado una crisis para empresas, organizaciones y entidades gubernamentales, según Forbes. También presenta una oportunidad única para una carrera profesional. Hemos reunido algunos puntos clave que debes tener en cuenta si estás pensando en dedicarte al hacking ético.

Ethical hacking vs. piratería informática: ¿Cuál es la diferencia?

Los piratas informáticos, a los que a menudo se denomina hackers de sombrero negro (black hat hackers), son conocidos por irrumpir ilegalmente en las redes de una víctima. Sus motivos son perturbar los sistemas, destruir o robar datos e información confidencial y realizar actividades maliciosas o travesuras.

Los hackers de sombrero negro suelen tener conocimientos avanzados para sortear los protocolos de seguridad, irrumpir en las redes informáticas y escribir el malware que se infiltra en los sistemas. Estas son algunas de las diferencias:

Los hackers éticos, comúnmente llamados hackers de sombrero blanco (white hat hackers), utilizan muchas de las mismas habilidades y conocimientos que los hackers de sombrero negro, pero con la aprobación de la empresa que los contrata. Estos profesionales de la seguridad de la información son contratados específicamente para ayudar a encontrar y asegurar vulnerabilidades que puedan ser susceptibles de un ciberataque. Los ethical hackers se dedican regularmente a evaluar sistemas y redes y a informar de sus hallazgos.

Tipos de hackers 

Los hackers de sombrero negro son siempre los delincuentes, los hackers con intenciones maliciosas. Pero con el tiempo, los hackers éticos han pasado a desempeñar una serie de papeles distintos de los hackers de sombrero blanco.

Algunos de estos papeles son los equipos rojos, que trabajan con capacidad ofensiva, los equipos azules, que trabajan como defensa para los servicios de seguridad, y los equipos morados, que hacen un poco de ambas cosas:

• Los equipos rojos pueden hacerse pasar por ciberatacantes para evaluar los riesgos y vulnerabilidades de una red o sistema en un entorno controlado. Examinan los posibles puntos débiles de la infraestructura de seguridad y también las ubicaciones físicas y las personas.

• Los equipos azules conocen los objetivos empresariales y la estrategia de seguridad de la organización para la que trabajan. Recopilan datos, documentan las áreas que necesitan protección, realizan evaluaciones de riesgos y refuerzan las defensas para evitar brechas. Estos hackers éticos pueden introducir políticas de contraseñas más estrictas, limitar el acceso al sistema, poner en marcha herramientas de supervisión y educar a otros miembros del personal para que todos estén en la misma página.

• Los equipos morados reúnen a los equipos rojos y azules y les animan a trabajar juntos para crear un sólido bucle de retroalimentación y alcanzar el objetivo de aumentar la seguridad general de la organización.

Beneficios del ethical hacking

Continuamente surgen nuevos virus, malware, ransomware y gusanos, lo que subraya la necesidad de que los hackers éticos ayuden a salvaguardar las redes pertenecientes a agencias gubernamentales, departamentos de defensa y empresas. El principal beneficio del hacking ético es reducir el riesgo de robo de datos. Otras ventajas son:

• Utilizar el punto de vista de un atacante para descubrir puntos débiles que corregir

• Realizar evaluaciones en el mundo real para proteger las redes

• Salvaguardar la seguridad de los datos de inversores y clientes y ganarse su confianza

• Aplicar medidas de seguridad que refuercen las redes y eviten activamente las infracciones

Oportunidades laborales para los hackers éticos

Como hacker ético, puedes trabajar como empleado a tiempo completo o como consultor. Puedes encontrar trabajo en casi cualquier tipo de organización, incluidas instituciones públicas, privadas y gubernamentales. Podrías trabajar en instituciones financieras como bancos o procesadores de pagos. Otras posibles áreas de trabajo incluyen mercados de comercio electrónico, centros de datos, empresas de computación en nube, empresas de entretenimiento, proveedores de medios de comunicación y empresas de SaaS. Algunos títulos de trabajo comunes que encontrarás en el ámbito del ethical hacking incluyen:

• Pentester

• Analista de seguridad de la información

• Analista de seguridad

• Evaluador de vulnerabilidades

• Consultor de seguridad

• Director de seguridad de la información

• Ingeniero de seguridad

• Hacker ético certificado

Perspectivas laborales de los hackers éticos

Aunque hay muchas profesiones que se pueden desempeñar como hacker ético, la mayoría se engloban en el ámbito de la seguridad de la información. El PwC reportó en diciembre de 2022 que un 72 por ciento de las organizaciones de México incrementará su presupuesto para la ciberseguridad en 2023 [2]. La escasez de profesionales capacitados hace que esta sea un área muy demandada. Como hacker ético, puedes tener a tu disposición una gran variedad de oportunidades laborales, desde el nivel básico hasta la dirección ejecutiva.

Salario previsto

No sólo hay una gran demanda de hackers éticos, sino que esta carrera también puede tener un gran potencial de ingresos. El salario medio mensual de los hackers éticos en México es de $41,500 (MXN), según Talent [3]. Sin embargo, el salario varía en función de dónde vivas, la empresa para la que trabajes, tu nivel de experiencia y las certificaciones que poseas pueden influir en tu salario potencial.

Carrera educativa para introducirte en el ethical hacking

Para convertirte en hacker ético, no tienes que tener un título único, pero sí una sólida experiencia y conocimientos. Muchos hackers éticos obtienen una licenciatura como mínimo. Obtener certificaciones puede aumentar tu credibilidad ante posibles clientes y empleadores, así como tu potencial de ingresos.

Tipos de cursos/titulaciones más comunes

Para trabajar como hacker ético, necesitarás un sólido conocimiento de las redes cableadas e inalámbricas. Debes ser competente en el trabajo con una variedad de sistemas operativos, cortafuegos y sistemas de archivos. Necesitarás grandes habilidades de codificación y una base sólida en informática.

Tres de las aptitudes clave que debes cultivar son una sólida capacidad técnica, una buena ética y un pensamiento analítico. Los campos de estudio más comunes son:

• Informática

• Ingeniería de redes

• Seguridad de la información

¿Debo obtener una maestría?

Cuando trabajas en ciberseguridad, no siempre es obligatorio tener una maestría, pero muchos empleadores suelen preferirlo. Obtener una maestría puede ayudarte a ser más competitivo en el mercado laboral y, lo que es más importante, te permitirá profundizar en tus conocimientos y adquirir experiencia a través de ejercicios prácticos y en profundidad que a menudo simulan situaciones del mundo real.

Alternativas a la licenciatura

Si ya tienes una titulación, pero quieres dar un giro para adquirir habilidades adicionales en hacking ético, asistir a un bootcamp de hacking ético o ciberseguridad podría ser una alternativa a la obtención de un título. Muchos bootcamps tienen vínculos con grandes organizaciones tecnológicas, lo que te ofrece mayores oportunidades de establecer contactos y de hacer conexiones profesionales duraderas.

Certificaciones

Una de las principales certificaciones que puedes considerar es la de Hacker Ético Certificado emitida por el EC-Council. Otras certificaciones populares son:

• CompTIA Security+ cubre una amplia gama de conocimientos sobre la solución de problemas y la resolución de problemas de una variedad de temas, incluyendo redes, dispositivos móviles y seguridad.

• La (ISC)² ofrece la Certified Information Systems Security Professional (CISSP), la cual demuestra tu competencia en el diseño, la implantación y la gestión de programas de ciberseguridad.

• La ISACA ofrece la Certified Information Security Manager (CISM), la cual está diseñada para demostrar tu experiencia en la gestión de riesgos, gobierno de seguridad de la información, gestión de incidentes, y el desarrollo y gestión de programas.

• Las certificaciones GIAC están disponibles en áreas de interés como ciberdefensa, seguridad en la nube, operaciones ofensivas y análisis forense digital y respuesta a incidentes.

Explora más: 10 certificaciones y cursos de ciberseguridad populares

Próximos pasos

Prepárate para lanzar tu carrera en ciberseguridad obteniendo el Certificado profesional en ciberseguridad de Google. Aprende de los expertos del sector para adquirir las habilidades más demandadas en este campo, a tu propio ritmo.