El hacking ético y su importancia para las empresas

Tecnoguía: El ABC del hacking ético para PYMEs from ENTER.CO on Vimeo.

La palabra ‘hacker’ se encuentra en boca de todos. Existen diferentes puntos de vista en cuanto a su función en la sociedad. Existen varios tipos de hackers diferenciados por sus intenciones y métodos. Por esta razón se hace tan extensa su clasificación, que, en muchas ocasiones, va más allá del umbral entre el bien y el mal. Sin embargo, los más reconocidos se agrupan en dos categorias: ‘white hat’ hackers y ‘black hat’ hackers.

La denominación ‘white hat’ hackers (hackers de sombrero blanco, o hackers éticos) proviene de la identificación de los héroes de las antiguas películas del viejo oeste, en donde quienes pertenecían al bando de los buenos utilizaban sombreros de este color, diferenciándose así de los villanos quienes utilizaban la prenda en color negro. Estos héroes del ciberespacio se encargan de penetrar la seguridad de las empresas para encontrar vulnerabilidades y así lograr prevenirlas. Por lo general, se desempeñan como consultores de seguridad y trabajan para alguna compañía en el área de seguridad informática.

En contraposición se encuentran los ‘black hat’ hackers o hackers de sombrero negro quienes constantemente andan buscando la manera de romper la seguridad tanto de empresas como individuos con el fin de sacar provecho económico, político o estratégico  de la información que obtienen.

Según Emanuel Abraham, Ethical Hacker de la empresa Security Solutions & Education (SSE), representantes para Colombia de EC Council (Consejo Internacional de Comercio Electrónico): “el hacker o pirata informático de hoy puede ser un simple curioso o un estudiante, así como el más peligroso criminal profesional. La diferencia principal es que el hacker de sombrero negro busca vulnerar sistemas sin permisos, para robar datos, espiar, destruir información, modificar páginas web o algún otro ciberdelito».

El ejecutivo agregó que «el hacker ético trabaja en encontrar estas vulnerabilidades para que no sean explotadas por otros hackers. Trata de adelantarse e identificarlas antes que los criminales”.

El hacking ético es una herramienta de prevención y protección de datos. Lo que se pretende es estar constantemente adelante de aquellos que nos intentan agredir haciendo pruebas y ataques propios con la ayuda de los expertos informáticos, los cuales han sido entrenados en la mentalidad delictiva de los piratas informáticos así como en las diferentes técnicas de ataque digital.

El hacking ético “es la utilización de los conocimientos de seguridad en informática para realizar pruebas en sistemas, redes o dispositivos electrónicos, buscando vulnerabilidades que explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema”, explica Abraham.

Por esta razón “un hacker ético hace ‘pen tests’ o pruebas de penetración, buscando vulnerabilidades en el sistema: escalar privilegios, encontrar errores y malas configuraciones, utilizando tanto sus conocimientos en informática así como un gran abanico de herramientas, y de esta manera, pasar un reporte para que se tomen medidas,” agrega Abraham.

Sin embargo para que este tipo de intervenciones surta efecto, es necesario que haya conciencia a nivel empresarial de la importancia de la seguridad de la información, en donde se instauren diferentes políticas de seguridad que involucren a todos los actores de la empresa, permitiendo así reducir el nivel de vulnerabilidad.

“Hoy en día la información es uno de los activos más importantes de una empresa. Desde transacciones bancarias, hasta bases de datos. Muchos de estos activos se manejan por sistemas computarizados. Un mal uso de estos sistemas, junto a empleados que no están capacitados, son un punto débil en las empresas, y un punto a favor no solamente para curiosos, sino también para la competencia”, añade. “Lo que se hace, es tratar de prevenir; buscar vulnerabilidades con el fin de tomar la medida adecuada antes de que suceda un incidente”, explicó Abraham.

Así mismo, la Ingeniera Jacqueline Tangarife, Gerente de SSE dice que “es necesario que nos comprometamos con la protección de la información a nivel empresarial, por esta razón, empresas pequeñas, medianas y grandes que manejan su sistema de información por medio de internet y toda clase de dispositivos electrónicos deberían, al menos, hacer un análisis de vulnerabilidades una vez al año». 

Teniendo en cuenta que la tecnología es dinámica y completamente cambiante, un análisis necesita ser reforzado después de un periodo máximo de doce meses. Si se hacen cambios, aunque sean mínimos, a nivel de software, hardware o de infraestructura tecnológica, o incluso, si se llega a cambiar de personal, es necesario que como medida preventiva se realicen nuevamente las pruebas de penetración con el fin de garantizar la máxima seguridad para su empresa, independientemente del tiempo transcurrido desde la última vez.

Los más vulnerables

Por lo general, las empresas que más  intentos de hackeo reciben son las que tiene que ver con los sistemas financieros, pues son ellas las que manejan dinero, sin embargo como nos explica la Ingeniera Tangarife “al ser los sistemas financieros los más fortalecidos en el medio, los ataques tienden a irse hacia el otro lado del sistema que corresponde a los usuarios, quienes en muchas ocasiones terminan siendo el eslabón más débil de la cadena de la seguridad por su falta de conocimiento respecto al tema. Debido a las malas prácticas de seguridad por parte de la gente del común, su vulnerabilidad es tan grande que los hace presas fácil para el robo, otorgando así un buen botín para los criminales”.

Igualmente, se presentan muchos casos de espionaje industrial, en el que a través de las técnicas de hackeo se busca encontrar el punto débil de la competencia para sacar provecho de esa información.

Por otro lado, son muy comunes los casos en los que organizaciones de hackers tratan de buscar que los equipos de hogares o empresas pequeñas sean manipulados como robots, creando  legiones que en determinado momento son orientados hacia un mismo objetivo, por ejemplo, un sistema gubernamental, haciendo que la solicitud de recursos del sistema sea tan grande que éste termine por colapsar, saliendo de línea. Mientras tanto, ese flujo es usado como distracción para lograr éxito con otro tipo de delitos informáticos.

Adicionalmente, los sistemas gubernamentales son perseguidos principalmente por grupos de hacktivistas en manera de protesta con el fin de exponer las debilidades del gobierno cuando han implantado leyes o regulaciones que van en contra de sus principios o del pueblo en general.

Soluciones HP

Hay empresas que dedican gran parte de sus recursos a Investigación y Desarrollo. Tal es el caso de Hewlett Packard con su HP DVLabs, donde los expertos en vulnerabilidades y los desarrolladores aplican ingeniería inversa de vanguardia y técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de Internet, analizan las nuevas formas de ataque, detectan las vulnerabilidades al instante y crean filtros para prevención de intrusos (IPS) que se entregan de forma automática a los clientes de HP TippingPoint NGIPS para que tengan protección en tiempo real de la información que entra a la empresa.

Sin embrago, como nos recuerdan los expertos, es necesario capacitar y concientizar a todos los actores del ciberespacio sin importar edad, profesión o actividad con el fin de protegernos de la amenazas que se esconden en la red, que en términos económicos pueden llegar a ser tan lucrativos como el narcotráfico.

Imagen: alphaspirit (vía Shutterstock). jpoesen (via Flickr).