ABC
Tecnología
17 de diciembre de 2025 - 09:35

Hackers éticos o “white hats”: los guardianes invisibles del ciberespacio

Hacker ético o white hack.Shutterstock

Los hackers éticos, nuevos héroes silenciosos, protegen infraestructuras críticas y mantienen la seguridad cibernética. Con avances en programas de bug bounty, su influencia y demanda crecen exponencialmente a nivel global.

Por ABC Color
audima

El auge de los “white hats” y su rol en la defensa de infraestructuras digitales críticas

A las tres de la madrugada, un investigador de seguridad en Buenos Aires descubre que un simple fallo de configuración en un sistema expuesto a internet permite tomar el control de una base de datos con nombres, direcciones y números de documentos de identidad. No ha robado nada, no va a venderlo en la dark web, ni chantajeará a nadie. Hará un informe, documentará el problema, lo enviará a la empresa afectada y esperará a que lo corrijan. Es un hacker, pero no de los que aparecen en las películas. Es un “white hat”, un hacker ético.

Mientras los ciberataques se multiplican y las bandas de ransomware extorsionan a gobiernos, hospitales y pequeñas empresas, crece —casi en silencio— un ejército paralelo: profesionales que utilizan las mismas herramientas y técnicas que los delincuentes, pero con un objetivo opuesto: encontrar fallos antes de que lo hagan los atacantes.

De villanos a aliados: un cambio de narrativa

Durante años, la palabra “hacker” estuvo asociada casi exclusivamente al delito. La cultura popular ayudó poco: pantallas verdes, capuchas negras, bancos derribados digitalmente en segundos. Sin embargo, en el mundo de la ciberseguridad contemporánea, la figura del hacker se ha diversificado.

Se habla de black hats (delincuentes), grey hats (que se mueven en zonas legales y éticas ambiguas) y white hats, los hackers éticos que trabajan del lado de la defensa.

Muchos de ellos están contratados por grandes empresas tecnológicas, bancos, operadores de telecomunicaciones o agencias gubernamentales. Otros participan en programas de recompensas por errores (bug bounty), en los que compañías de todo el mundo ofrecen dinero a quien encuentre y reporte vulnerabilidades de manera responsable.

Lea más: La gran crisis del ciberespacio: cómo se sofistican los ataques y qué nuevas defensas emergen

La percepción ha ido cambiando. Que gigantes como Google, Microsoft, Meta o Apple paguen millones de dólares al año a investigadores externos para fortalecer sus sistemas ha contribuido a que el hacker deje de ser visto solo como amenaza y pase a ser, en no pocos casos, un socio estratégico.

¿Qué hace realmente un hacker ético?

El trabajo del “white hat” se parece mucho al de su contraparte criminal… salvo por el propósito y el marco legal. Su día a día combina conocimiento técnico avanzado, creatividad y, muy a menudo, una curiosidad casi obsesiva por entender “qué pasa si toco aquí”.

En las empresas, la figura más visible es el pentester (tester de penetración). Su misión es simular ataques reales contra aplicaciones, redes corporativas, infraestructuras en la nube e incluso sistemas industriales (SCADA/OT), con autorización del propietario de esos sistemas. Intenta lo mismo que intentaría un criminal: entrar, moverse lateralmente, escalar privilegios y acceder a información sensible.

La diferencia está en el final del proceso: en lugar de explotar el fallo, lo documenta y ayuda a corregirlo.

Otra vertiente es el análisis de vulnerabilidades en productos ampliamente utilizados: sistemas operativos, navegadores, aplicaciones móviles o dispositivos conectados (IoT).

Equipos como Project Zero de Google, por ejemplo, se dedican a encontrar fallos graves en software utilizado por miles de millones de personas y trabajan con los fabricantes para que los parchen antes de hacer públicos los detalles.

Lea más: Todo lo que tenés que entender sobre la encriptación: la base invisible que protege internet

Además, los hackers éticos participan en la creación de herramientas de seguridad abiertas, en auditorías de código, en el fortalecimiento de algoritmos de cifrado y en la formación de equipos internos que necesitan entender cómo piensan y operan los atacantes.

Bug bounties: la economía de encontrar fallos

El auge de los programas de bug bounty ha profesionalizado aún más el rol del hacker ético independiente.

Plataformas globales como HackerOne, Bugcrowd o YesWeHack canalizan la relación entre miles de empresas y una comunidad de investigadores que se reparten por todo el mundo.

La lógica es simple: en lugar de ver a cualquier intento de intrusión como una amenaza, algunas organizaciones deciden pactar las reglas del juego. Publican un alcance claro (qué se puede tocar y qué no), definen cómo deben reportarse los hallazgos y fijan una escala de recompensas según la gravedad de las vulnerabilidades. A cambio, obtienen una red de “ojos externos” permanentemente buscando fallos.

Para muchos investigadores, sobre todo en América Latina y Europa, estos programas se han convertido en una vía de profesionalización y, en algunos casos, en una fuente de ingresos significativa.

No es raro que un solo hallazgo crítico —por ejemplo, una forma de tomar control total de una cuenta de usuario o de ejecutar código en los servidores de una empresa— se pague con miles de dólares.

Sin embargo, esta economía también tiene sus tensiones: hay informes que nunca se pagan, disputas sobre la gravedad real de un fallo y debates sobre si la precarización amenaza con convertir el trabajo de caza de vulnerabilidades en una especie de “gig economy” de alta especialización.

Infraestructuras críticas: cuando un fallo no es solo digital

El papel de los hackers éticos es especialmente delicado cuando se trata de infraestructuras críticas: redes eléctricas, sistemas de agua, hospitales, transporte, bancos centrales y administraciones públicas. La digitalización de estos sectores ha traído eficiencia, pero también una superficie de ataque inmensa.

Lea más: Phishing explicado: por qué seguimos cayendo en los correos trampa después de 20 años

Los ataques al oleoducto estadounidense Colonial Pipeline en 2021 o al sistema sanitario irlandés ese mismo año pusieron de relieve que la ciberseguridad ya no es solo un asunto de datos, sino de continuidad de servicios esenciales. En este contexto, muchos gobiernos han empezado a integrar equipos de hackers éticos en la defensa de sus infraestructuras, ya sea a través de CERT/CSIRT nacionales, equipos de respuesta rápida o colaboraciones con el sector privado.

Estos especialistas buscan fallos en sistemas que, en ocasiones, se diseñaron hace décadas, cuando nadie imaginaba que estarían directamente conectados a internet. El reto es doble: por un lado, encontrar vulnerabilidades en tecnologías obsoletas y, por otro, hacerlo sin interrumpir servicios que no pueden “apagarse” fácilmente, como una planta de tratamiento de agua o un hospital en pleno funcionamiento.

La delgada línea legal y ética

No todo es blanco o negro. Aunque el término “hacker ético” sugiere una claridad moral, la realidad cotidiana se mueve en grises. Un investigador puede encontrar una vulnerabilidad sin haber sido contratado ni invitado a hacerlo, simplemente explorando servicios en línea de acceso público. Si reporta el fallo, ¿está protegido o podría enfrentarse a acciones legales por acceso no autorizado?

La respuesta depende del país, del marco legal y, no pocas veces, de la actitud de la organización afectada.

En los últimos años, han surgido iniciativas para promover políticas de divulgación responsable o incluso de divulgación coordinada de vulnerabilidades. Bajo estos esquemas, las empresas se comprometen a no perseguir judicialmente a quien, actuando de buena fe y sin causar daños, les informe de un fallo y les dé tiempo para corregirlo.

Aun así, persisten casos de investigadores que han terminado en tribunales por reportar vulnerabilidades de forma autónoma, lo que genera un efecto disuasorio. Organizaciones internacionales y grupos de expertos reclaman marcos legales más claros que protejan la llamada investigación de seguridad de buena fe, sin dejar de sancionar a quienes buscan explotar esos fallos con fines delictivos.

Talento escaso, demanda creciente

La ciberseguridad es hoy uno de los sectores con mayor déficit de talento especializado.

Informes de la industria apuntan desde hace años a millones de puestos por cubrir a escala global. Dentro de ese déficit, el perfil de hacker ético —alguien capaz de pensar “como el atacante”— es particularmente difícil de encontrar.

¿Aliados de por vida?

En un entorno en el que la frontera entre defensa y ataque es técnica y culturalmente difusa, surge una pregunta incómoda: ¿qué evita que un hacker ético, con acceso a vulnerabilidades críticas, cruce la línea hacia el delito? La respuesta, según quienes trabajan en el sector, combina incentivos económicos legítimos, marcos profesionales sólidos y, sobre todo, una ética clara.

Los white hats que consolidan una carrera estable trabajan con contratos, cláusulas de confidencialidad, códigos de conducta y, cada vez más, certificaciones profesionales que implican compromisos explícitos. Pero la ética no se impone solo por regulación: se construye en comunidades que valoran el reconocimiento, la reputación técnica y la colaboración por encima de la ganancia rápida.

La paradoja es que, para mantener seguro el ciberespacio, las sociedades deben confiar parte de su estabilidad digital a personas cuya principal habilidad es encontrar maneras de romper sistemas. Convertir esa capacidad en un servicio a la comunidad, y no en una amenaza, es uno de los retos silenciosos de la economía digital.

Lo
más leído
del día

Policiales
Dos muertos al volcar bus que regresaba de un viaje de egresados a Brasil
Ver más
Nacionales
Feminicidio anunciado: Jimena Colmán pidió orden de alejamiento y el Estado no la protegió
Ver más
Policiales
Vuelco de bus en Oviedo: hace 25 años un choque ocasionó casi 30 muertes en la misma zona
Ver más
Política
Peña confirma presencia de Cartes en reunión secreta con ministros de la Corte
Ver más
Política
Diputada burla a Contraloría con venta de mansión en pleno examen de DD.JJ.
Ver más