El término sombrero blanco en Internet se refiere a un hacker ético, o un experto de seguridad informática, quien se especializa en pruebas de penetración y en otras metodologías para detectar vulnerabilidades y mejorar la seguridad de los sistemas de comunicación e información de una organización. También se refiere a hackers que no son agresivos o no realizan actividades ilícitas. Un hacker ético es un término inventado por IBM. Es utilizado para diferenciar a los piratas informáticos que actúan sin malicia de los que sí, los cuales son más conocidos como crackers o hackers de sombrero negro. Los hackers de sombrero blanco también suelen trabajar en grupo conocidos como sneakers o fisgones, equipo rojo, o equipo tigre.
Uno de los primeros casos en los que se implementaron las habilidades de los hackers éticos fue en la evaluación de seguridad realizada por la Fuerza Aérea de los Estados Unidos con el sistema operativo Multics. Con ello descubrieron que Multics era «significativamente mejor que otros sistemas convencionales». Sin embargo, se demostró que también contaba con vulnerabilidades de seguridad tanto en su hardware como en su software, las cuales podían ser aprovechadas con «un nivel relativamente bajo de esfuerzo».
Los hackers de sombrero blanco realizaron sus pruebas bajo una directriz de realismo, de modo que sus resultados contaran con mayor exactitud. Utilizaron pruebas sencillas y con poca información, incrementando el nivel de agresividad progresivamente, hasta llegar a ataques al sistema tan agresivos que podrían haber puesto en peligro la integridad del sistema. Claramente, su audiencia quiso saber ambos resultados. La idea de traer a hackers éticos para evaluar la seguridad de sistemas fue formulada por Dan Labrador y Wietse Venema con el objetivo de subir el nivel global de seguridad en internet y las intranets, ya que demostraron cómo eran capaces de reunir bastante información sobre su objetivo y muy posiblemente llegar a comprometer su seguridad.
Proporcionaron varios ejemplos concretos de cómo esta información podría ser reunida y explotada para obtener control del objetivo, además de mostrar cómo un ataque podría ser impedido. Reunieron las herramientas que utilizaron durante su trabajo, las implementaron en un paquete y las dieron a quien quisiera descargarlas de su sitio. Su programa, Herramienta de Administrador de Seguridad para Analizar Redes (SATAN por sus siglas en inglés), se dio a conocer en todos los medios del mundo durante 1992
Táctica
Las pruebas de penetración se centran en atacar el software y los sistemas de computadoras, pero también los puertos abiertos en la red, examinando defectos a la hora de haber instalado el sistema o identificando fallos de seguridad. Un hacker ético lo haría enviando correos al personal para pedirles detalles de sus contraseñas, hurgando en las papeleras de los ejecutivos, y generalmente entrando en los sistemas, sin el permiso o consentimiento de los objetivos. Solo los dueños de las empresas, el director general y miembros del Consejo de Dirección que hubieran pedido este tipo de revisión de seguridad sabrían lo que está sucediendo. En los casos más recientes, estos trabajos tienen un plazo largo (semanas a meses). Algunos ejemplos incluyen dejar una memoria USB con malware en áreas públicas que frecuenten los empleados, para que parezca que alguno perdió la memoria USB y un empleado confiado lo encuentre.
Otros métodos de llevar a cabo esto son:
- Ataques de denegación de servicio
- Tácticas de ingeniería social
- Escáneres de seguridad como:
- W3af
- Nessus
- Nexpose
- Entornos de trabajo como:
- Metasploit
Los Estados Unidos de América ofrecen en la Agencia de Seguridad Nacional (NSA por sus siglas en inglés) certificaciones como el CNSS 4011. Tal certificación te designa como un hacker ético en software y organización de grupos de trabajo. Los grupos agresores se denominan equipos rojos, mientras que los grupos de defensa se hacen llamar equipos azules.