¿Qué es un Hacker? ¿Es lo mismo Hacker Ético, Hacker de Sombrero Blanco y Pentester?
Cualquiera que haga búsquedas con regularidad en internet se habrá dado cuenta de que podemos encontrar información de lo que sea, podemos tomar dos conceptos que usualmente se usan como sinónimos en el día a día y encontrar páginas, blogs, artículos o videos de puristas que nos dirán que son conceptos completamente diferentes y usarlo como si fuesen lo mismo sería casi un sacrilegio. Pero seamos honestos, la informática es un área relativamente reciente y nos daremos cuenta de que muchas de las definiciones de conceptos que encontraremos en libros e internet varían enormemente dependiendo del autor. No hay una verdad absoluta y menos en un entorno como la informática, donde todo es tan cambiante y la tecnología de hace unos años ya es obsoleta a día de hoy.
El mundo tecnológico vive en una constante adaptación y evolución, lo que hoy es de una forma puede que mañana sea de otra y si a eso le sumamos la libertad de los expertos para opinar basados en su experiencia y muchas veces desde un punto de vista subjetivo encontraremos que mucha de la información que encontramos en internet o libros pueden chocar entre sí.
Por mucho tiempo me preguntaba cosas como: ¿Qué es un Hacker? ¿Acaso un Hacker Ético es lo mismo que un Pentester y un Hacker de sombrero blanco? Para ello me remití a múltiples fuentes de información, desde la Wikipedia, blogs, artículos, hasta pódcast de expertos en la materia, y lo que encontré fue una disparidad absoluta en muchos sentidos, para muchos un Hacker es un experto en cualquier área, bien sea un panadero, un pintor, un médico, quien sea que pueda llevar su área al siguiente nivel. El famoso JargonFile por ejemplo, este glosario del argot Hacker, nos da 8 definiciones diferentes para la palabra Hacker, estas definiciones están más ligadas al concepto clásico de la palabra, donde un Hacker era más una persona con una capacidad sin igual, obsesionada por algún área del conocimiento, usualmente la programación.
Por otro lado, el concepto "Hacker" en actualidad está más ligado al área de la ciberseguridad, como alguien que se dedica a la búsqueda y explotación de vulnerabilidades de seguridad en sistemas o redes, y eso es más o menos lo que nos dice Jose Pino uno de los expertos en seguridad informática más destacados de Colombia en un pódcast de Triarii Audio Experiencia del año 2020, José nos dice lo siguiente cuando le preguntan ¿Qué es un Hacker?
"Yo considero que en el 2020 los Hackers son los superhéroes de internet, son aquellas personas que se encargan de mejorar la seguridad de los sistemas... Siempre se ha visto denigrada la palabra Hacker, pero la verdad existen diferencias abismales entre Ciberdelincuente y Hacker".
Esta misma pregunta de "¿Qué es un Hacker?", se la han hecho Chema Alonso, otra eminencia en el mundo de la Ciberseguridad en España y el mundo, esto fue en un Pódcast de ElevenPaths del año 2019 y nos dijo lo siguiente:
"Un hacker es un investigador, está interesado en la tecnología por sí misma, los más famosos y más importantes están en conferencias, están a cara abierta, no cometen delitos, eso es un Hacker y no tiene nada que ver como ser un pirata informático... Luego tenemos el Pentester que no tiene nada que ver con un Hacker, son gente que son muy diestros y muy duchos en las técnicas, pero no tienen por qué crear y hacer papers, lo que tienen que ser es buenos haciendo auditorias de seguridad."
Vemos que la definición de Chema Alonso está más ligada al concepto clásico de la palabra Hacker, definiendo a un Hacker como un Investigador e incluso haciendo una gran diferenciación entre un Hacker y un Pentester, esto último siendo muy contradictorio comparado con múltiples fuentes como veremos más adelante, por otro lado, José Pino lo lleva más por el lado de la Ciberseguridad y el Penetration Testing, afirmando que un Hacker es alguien que nos mantiene seguros en internet.
Ahora veamos algunas definiciones de Ethical Hacker, Pentester y Hacker de sombrero blanco que nos demuestran que se pueden usar estos terminos indistintamente sin problema:
"Los conocidos como Hackers Éticos son también conocidos como Pentesters y son los encargados de hacer las pruebas de penetración o intrusión a los sistemas"
"Cómo nota anecdótica explicar que en el mundo de la seguridad informática se suele denominar hackers de sombrero blanco a los hackers éticos, este hecho es debido a que en las películas del oeste, el "bueno" siempre llevaba un sombrero blanco y el "malo" un sombrero negro."
Libro: Ethical Hacking de Pablo González Pérez, editorial 0xWord.
"El Hacking ético, Penetration testing, Pentesting o Prueba de penetración consiste en realizar, como su nombre lo indica, una prueba de seguridad cuya finalidad es identificar y descubrir vulnerabilidades, riesgos y amenazas presentes en las redes, aplicaciones de software o de la web de una organización, mismas que pueden ser aprovechadas por un ciberdelincuente."
¿Qué es la prueba de penetración?
"Las pruebas de penetración son una forma de Hacking Etico. Las organizaciones utilizan pruebas de penetración para identificar y corregir las debilidades de seguridad en sus sistemas informáticos, redes y aplicaciones."
¿Cómo se realiza una prueba de penetración?
"Idealmente, un Penetration Test (también llamado pentest) es realizado una vez al año por un Hacker de Sombrero Blanco capacitado (alguien que usa sus habilidades de hacking para el bien). Estos Hacker Eticos utilizan los mismos métodos de violación que los Hackers de sombrero negro (los malos), con una distinción clave: son contratados por el propietario del sistema y realizan el ataque con permiso."
Hackers éticos
"Un Pentester, autorizado por la organización objetivo, puede usar técnicas de ingeniería social para auditar la seguridad."
Libro: Hacking con Ingeniería social: Técnicas para hackear humanos - Mundo Hacker.
El término sombrero blanco en internet se refiere a una hacker ético, o un experto de seguridad informática, quien se especializa en pruebas de penetración y en otras metologías para detectar vulnerabilidades y mejorar la seguridad de los sistemas de comunicación e información de una organización.
"Por otro lado, network security assessment, es uno de los nombres que suele tener el penetration testing o chequeo de penetración, tambien conocido como testeo de vulnerabilidades, prueba de penetración o hacking ético, como suele llamásele por estos días"
Libro: Hacking Etico de Carlos Tori
"El término White Hat Hacking es sinónimo de un hacker ético.
Esta clasificación, incluye a la vez a aquellos profesionales que realizan pruebas de penetración y evaluaciones de vulnerabilidades dentro de un acuerdo comercial o privado."
Ir a fuente
"El Ethical Hacking, también conocido como pentesting, o prueba de intrusión, es un servicio de ciberseguridad ofensiva que consiste en la ejecución de una prueba de penetración con el objetivo de simular un ciberataque real sobre una empresa o aplicación."
Vemos entonces que en múltiples fuentes, incluso en libros de Hacking reconocidos, no se hace diferencia entre un Hacker Ético, un Hacker de sombrero blanco y un Pentester y desde mi punto de vista es la pespectiva más sensata. Ahora, existen otras categorías, por ejemplo un Bug Bounty Hunter, esta persona no es necesariamente un Pentester sin embargo entra en la categoría de Hacker Ético/Hacker de sombrero blanco.
Entonces para resumir, desde mi perspectiva un Pentester y un Bug Bounty Hunter, entran en la categoría de Hacker ético o hacker de sombrero blanco, ya que son dos tipos diferentes de Hacker "buenos", y esto es lo más comunmente aceptado.
De todos modos recordenamos que no hay una verdad absoluta, nosotros podemos armas nuestras propias opiniones tomando como referencia nuestras experiencias e información que podamos obtener de múltiples fuentes. La idea es estar abierto a diferentes ideas y adoptar una postura crítica respecto a estas.
PD: Similar a los conceptos de (Ethical) Hacker y Pentester, también podemos encontrar debates como: "¿Es lo mismo Seguridad Informática y Ciberseguridad?", y como siempre, si nos ponemos a escudriñar hasta las entrañas de internet, encontraremos muchas fuentes que nos digan que son tremendamente diferentes y otras que nos dicen que son lo mismo, pero concluiré con algo: En el mundo real a casi nadie le importa, lo más común es que muchos conceptos se usen como sinónimos y nadie va a saltar a crucificar a la otra persona, es parte del vocablo común. Adoptemos una postura crítica, pero siendo siempre empáticos con los demás.
