Recientemente, una autopista detectó que una empresa de ciberseguridad, sin su conocimiento ni autorización, había utilizado un clon de su sitio web y una casilla falsa para enviar correos electrónicos que simulaban un cobro pendiente. El objetivo, según se informó, era realizar un ejercicio conocido como ethical hacking para empleados de un tercero, a través de la técnica ethical phishing. La simulación, sin embargo, generó confusión entre los usuarios y derivó en una investigación que terminó con la presentación de una querella por uso indebido de identidad y falsificación informática.
Si bien el ethical hacking es una metodología ampliamente extendida y reconocida como una valiosa herramienta de prevención, el caso pone en evidencia la importancia de seguir estándares claros.
¿Qué es el ethical hacking y cómo se hace correctamente?
El ethical hacking es una práctica que permite a las organizaciones detectar y corregir vulnerabilidades antes de que sean explotadas por atacantes reales. “A diferencia de un ataque malicioso, una simulación ética debe ser controlada, legal y autorizada. Sirve para fortalecer la seguridad, entrenar al personal y mejorar los protocolos internos. Es una herramienta proactiva para anticiparse a los riesgos y construir resiliencia digital”, explica Alejandro González, líder de Educación y Acreditación de Inside Security, firma de ciberseguridad con presencia en Chile, Perú y España.
Por ejemplo, el ethical hacking ayuda a prevenir ataques de ransomware, los que, según el Global Cybersecurity Outlook 2025 del World Economic Forum, siguen siendo el principal riesgo cibernético organizacional año tras año, con el 45% de los encuestados clasificándolo como una de las principales preocupaciones. También contribuye a minimizar la incidencia de fraude cibernético, que, de acuerdo a la misma fuente, es el segundo mayor riesgo cibernético que ven las empresas para 2025.
Para que un ethical hacking cumpla con su propósito y no termine generando efectos adversos, debe regirse por principios claros. “No es ethical hacking si no hay consentimiento, si se violan las leyes o si se expone innecesariamente a personas u organizaciones”, sostiene González. En este sentido, los marcos internacionales como el PTES, las guías OWASP y los estándares ISO/IEC 27001 establecen criterios precisos para su correcta ejecución.
“Un ejercicio bien realizado debe partir por el consentimiento informado y documentado de todas las partes involucradas. El alcance debe estar claramente definido, acotado a los sistemas y usuarios previamente acordados. Se debe garantizar el control de daños, con acciones reversibles y planes de contingencia, y todo el proceso debe enmarcarse en la legalidad, sin excepciones. Al finalizar, es clave entregar un informe útil para mejorar la postura de seguridad. Y quizás lo más importante: nunca se debe exponer públicamente a una empresa sin su autorización expresa”, afirma el experto.“Las simulaciones de phishing, una técnica específica dentro del ethical hacking, son más efectivas cuando se aplican de forma responsable y discreta. Están hechas para enseñar, no para exponer”, concluye.
Bien aplicado, el ethical hacking no solo identifica fallas técnicas, sino que ayuda a concientizar, crear hábitos seguros en los equipos y fomentar una cultura organizacional orientada a la prevención.
