Este documento describe diferentes tipos de hackers. Define a un hacker como alguien que descubre las debilidades de sistemas informáticos. Luego describe hackers de sombrero blanco (éticos), sombrero negro (criminales) y sombrero gris (una combinación de ambos). Los hackers de sombrero blanco prueban la seguridad de sistemas para mejorarla, mientras que los de sombrero negro buscan dañar sistemas por malicia. Los de sombrero gris violan sistemas para notificar vulnerabilidades y ofrecer
2. Hacker
Un hacker es alguien que descubre las debilidades de un
computador o de una red informática, aunque el término puede
aplicarse también a alguien con un conocimiento avanzado de
computadoras y de redes informáticas. Los hackers pueden
estar motivados por una multitud de razones, incluyendo fines
de lucro, protesta o por el desafío. Lasubcultura que se ha
desarrollado en torno a los hackers a menudo se refiere a
la cultura underground de computadoras, pero ahora es una
comunidad abierta. Aunque existen otros usos de la palabra
hacker que no están relacionados con la seguridad informática,
rara vez se utilizan en el contexto general. Están sujetos a la
antigua controversia de la definición de hacker sobre el
verdadero significado del término. En esta controversia, el
término hacker es reclamado por los programadores, quienes
argumentan que alguien que irrumpe en las computadoras se
denomina cracker, sin hacer diferenciación entre los
delincuentes informáticos sombreros negros y los expertos en
seguridad informática blancos. Algunos hackers de sombrero
blanco afirman que ellos también merecen el título de hackers,
y que solo los de sombrero negro deben ser llamados crackers.
Clasificaciones
Varios subgrupos de la comunidad informática clandestina con
diferentes actitudes y metas usan diferentes términos para
demarcarse los unos de los otros, o tratan de excluir a algún
grupo específico con el que no están de acuerdo. Eric S.
Raymond, responsable del nuevo Jargon File, aboga por que
los miembros de la comunidad informática clandestina deban
llamarse crackers. Sin embargo, esas personas se ven a sí
mismas como hackers, e incluso tratan de incluir las opiniones
de Raymond en lo que ven como una cultura hacker en
general; opinión duramente rechazada por el propio Raymond.
En lugar de una dicotomía hacker/cracker, dan más énfasis a
un espectro de diferentes categorías, tales como sombrero
blanco, sombrero gris, sombrero negro y script kiddie. En
contraste con Raymond, por lo general se reservan el término
cracker. Sin embargo, crackear significa obtener acceso no
autorizado a un ordenador con el fin de cometer otro delito
como la destrucción de la información contenida en ese
sistema.4
Estos subgrupos también pueden ser definidos por el
estatuto jurídico de sus actividades.
3. Sombrero blanco
Un hacker de sombrero blanco (Eric S. Raymond) rompe la
seguridad por razones no maliciosas, quizás para poner a prueba
la seguridad de su propio sistema o mientras trabaja para una
compañía de software que fabrica software de seguridad. El
términosombrero blanco en la jerga de Internet se refiere a
un hacker ético. Esta clasificación también incluye a personas
que llevan a cabo pruebas de penetración y evaluaciones de
vulnerabilidad dentro de un acuerdo contractual. El Consejo
Internacional de Consultores de Comercio Electrónico, también
conocido como EC-Council, ha desarrollado certificaciones,
cursos, clases y capacitaciones en línea cubriendo toda la esfera
del hacker ético.5
Además existen certificaciones como
CPEH Certified Professional Ethical Hacker y CPTECertified
Penetration Testing Engineer de Mile2, que cuentan con
acreditaciones de la Agencia Nacional de Seguridad de los
Estados Unidos (NSA) y de la Iniciativa Nacional para los
Estudios y Carreras en Ciberseguridad de los Estados Unidos
(NICCS)
Sombrero negro
Un hacker de sombrero negro es un hacker que viola la
seguridad informática por razones más allá de la malicia o para
beneficio personal. Los hackers de sombrero negro son la
personificación de todo lo que el público teme de un criminal
informático. Los hackers de sombrero negro entran a redes
seguras para destruir los datos o hacerlas inutilizables para
aquellos que tengan acceso autorizado. La forma en que eligen
las redes a las que van a entrar es un proceso que puede ser
dividido en tres partes:
1. Elección de un objetivo: El hacker determina a que red
irrumpir durante esta fase. El objetivo puede ser de
especial interés para el hacker, ya sea política o
personalmente, o puede ser elegido al azar. Luego, el
hacker revisará los puertos de una red para determinar si
es vulnerable a ataques, lo cual simplemente es probar
todos los puertos de una máquina anfitrión en busca de
una respuesta. Un puerto se define como una abertura
por la que la computadora recibe datos a través de la
red. Los puertos abiertos aquellos que respondan le
permitirían a un hacker tener acceso al sistema.
2. Recopilación de información e investigación: Es en esta
etapa que el hacker visita o hace contacto con el objetivo
de alguna manera con la esperanza de descubrir
información vital que le ayudará a acceder al sistema. La
principal forma en que los hackers obtienen los
resultados deseados durante esta etapa es la de
la ingeniería social. Además de la ingeniería social, los
hackers también pueden utilizar una técnica
llamada recolección urbana, que es cuando un hacker,
literalmente, bucea en uncontenedor de basura con la
esperanza de encontrar los documentos que los usuarios
han tirado, lo cual le ayudará a obtener acceso a una red.
4. 3. Finalización del ataque: Esta es la etapa en la que el
hacker invadirá al objetivo preliminar que había planeado
atacar o robar. En este punto, muchos hackers pueden
ser atraídos o atrapados por sistemas conocidos
como honeypot trampa colocada por el personal de
seguridad informática
Sombrero gris
Un hacker de sombrero gris es una combinación de hacker de
sombrero negro con el de sombrero blanco. Un hacker de
sombrero gris puede navegar por la Internet y violar un sistema
informático con el único propósito de notificar
al administrador que su sistema ha sido vulnerado, por ejemplo,
luego se ofrecerá para reparar el sistema que él mismo violó,
por un módico precio