¿Cuál es la conexión entre la piratería ética y las pruebas de penetración?
La conexión entre la piratería ética y las pruebas de penetración es bastante sencilla, ya que la primera generalmente implica el uso de la segunda. La piratería ética se refiere a las acciones de personas empleadas por una empresa para intentar piratear el sistema o la red de esa empresa, para demostrar debilidades o formas en que alguien puede lanzar un ataque malicioso contra esa empresa. Las pruebas de penetración son básicamente un intento de penetrar en un sistema seguro para imitar la forma en que alguien puede atacar el sistema de manera maliciosa. Esto significa que las personas a menudo son contratadas por una empresa para participar en hacking ético y pruebas de penetración para esa empresa.
Alguien que es contratado por una empresa para realizar pruebas de penetración y piratería éticas en el sistema de esa empresa a menudo se conoce como hacker de "sombrero blanco". Él o ella emplea los mismos métodos y tipos de software utilizados por un hacker de "sombrero negro" que podría atacar un sistema para obtener información por razones maliciosas. Sin embargo, si un pirata informático de sombrero blanco tiene acceso a un sistema, entonces él o ella informa debilidades y cómo pudo tener éxito en el ataque. Es probable que un pirata informático de sombrero negro mantenga esa información en secreto y la use para su propio beneficio personal.
La asociación entre piratería ética y pruebas de penetración se basa en gran medida en cómo se utilizan ambos términos en la industria de la seguridad informática. La piratería ética es utilizada generalmente por los piratas informáticos de sombrero blanco para describir los tipos de servicios que prestan. Alguien involucrado en piratería ética está, a todos los efectos, intentando obtener acceso a un sistema o red seguros utilizando los mismos métodos y software que cualquier pirata informático malicioso podría utilizar. Sin embargo, la principal diferencia entre este tipo de piratería y piratería maliciosa es que un pirata informático ético no instala software malicioso en un sistema comprometido ni utiliza el sistema para su propio beneficio.
Una de las formas en que a menudo se logra la piratería ética es a través de un proceso denominado prueba de penetración. Esto es básicamente un intento de penetrar la seguridad de un sistema o red. Se realizan pruebas de penetración y piratería éticas para garantizar que las debilidades se encuentren a través de pruebas continuas y para proporcionar información sobre cómo se pueden eliminar esas debilidades.
Las pruebas de "caja negra" significan que un pirata informático ético no tiene información sobre el sistema al que intenta acceder y está intentando atacar el sistema de la misma manera que alguien en el exterior podría intentarlo. Esto replica un ataque de alguien que está apuntando a una empresa desde el exterior. En contraste con esto, las pruebas de "caja blanca" proporcionan a un pirata informático ético información sobre el sistema, para replicar un ataque de un pirata informático con conocimiento interno sobre un sistema, como un intento de un ex empleado.