Con licencia para hackear
Mark Ward
BBC, Tecnología
Ésta es la primera de dos notas sobre las técnicas que utilizan los llamados hackers éticos. La segunda será publicada el domingo.
Todo el día, todos los días, cualquiera que esté conectado a internet puede estar siendo atacado.
Pero cada tanto algún ataque logra su objetivo, y se están volviendo cada vez más sofisticados.Los mecanismos de defensa como programas antivirus,firewalls, filtros de correo no deseado o detectores de intrusión son capaces de bloquear la mayoría de estos ataques, sean a una computadora o una base de datos.
Son esos en que los "chicos malos" se preparan bien y consiguen que los mensajes parezcan venir de compañeros de trabajo, o citan nombres, incidentes o números de identificación, que sólo alguien cercano conocería.
También están esos otros ataques que aprovechan vulnerabilidades en algún software, como un navegador, para robar datos de acceso y usarlos para entrar en redes corporativas.
La sofisticación
Este es el mundo en el que se mueven los evaluadores de intrusiones.
"Nos pagan por reproducir los mismos tipos de ataques que usan los chicos malos, los cibercriminales", dijo John Yeo, jefe para Europa del departamento de evaluación de intrusiones de Trustwave SpiderLabs, que realiza cientos de pruebas de este tipo cada año.
"Nos pagan por reproducir los mismos tipos de ataques que usan los chicos malos, los cibercriminales"
John Yeo, Trustwave SpiderLabs
Los evaluadores de intrusiones son hackers éticos quienes, como sugiere su nombre, intentan hallar formas de penetrar las defensas de una compañía y ver si esas defensas son capaces de repeler los ataques más sofisticados.
Estos hábiles especialistas en seguridad, también llamados "hackers de sombrero blanco", ocupan un rol necesario debido al incremento en ciberladrones que no utilizan técnicas de correo no deseado, virus u otras estrategias más tradicionales.
Ellos ponen gran empeño, y destinan recursos y capacidad técnica a su tarea.
Muchos ejecutan tareas de reconocimiento en redes sociales con LinkedIn, hacen rebotar correos en la cuenta de un objetivo para entender mejor cómo operan o realizan algunas llamadas telefónicas con la esperanza de conseguir algo de información útil. Cuando lo consiguen, con sólo enviar un mensaje a un puñado de altos ejecutivos logran obtener grandes beneficios.
"No se trata de quinceañeros haciéndolo desde sus cuartos", dijo Mathias Elvang, jefe de la compañía de seguridad, que también pasa gran tiempo intentando infiltrar redes corporativas.
"Es un gran negocio", agregó.
La posibilidad de obtener grandes beneficios es lo que hace que los atacantes sigan adelante, dijo. Eso es lo que los lleva a dedicar tanto tiempo y cuidado a la hora de elegir los métodos que utilizan.
Llamando al dinero
Los blancos principales son bancos y otras instituciones financieras, dijo Christian Angerbjorn, quien solía trabajar como evaluador de intrusiones en uno de los grandes bancos de Reino Unido y es ahora jefe de seguridad en IF Insurance.
"Cuanto más cerca estás del dinero más probable es que seas atacado", dijo.
"Lo importante no es qué haces sino medir los riesgos que enfrentas".
Sin ese tipo de pruebas, dijo, las compañías pueden terminar gastando enormes sumas de dinero en herramientas de seguridad y en capacitación e igual no estar en condiciones de entender por qué son vulnerables.
Pero con las pruebas de intrusiones, pueden entender cuáles son los ataques que pueden afectarlos y determinar las acciones a tomar para impedirlos
Sin duda tendrán que gastar en capacitación, herramientas y tecnología, pero puede ser más barato que la alternativa.
"Sin importar cuánto uno gaste en seguridad, es generalmente menos que lo que costaría una invasión o incidente", dijo.
No todas las empresas usan pruebas de penetración de forma tan preventiva, agregó. Algunas lo hacen de forma más urgente.
"Si su competidor más cercano fue atacado, pueden ver si son vulnerables a un ataque similar", dijo.
Esa es una amenaza real, dijo Elvang, ya que su empresa ve cómo un ataque sobre un cliente es reproducido al poco tiempo contra otro, y otro.
Es capaz de predecir con frecuencia quién será el siguiente si los atacantes están siguiendo secuencialmente direcciones de internet.
Como en la vida real
Sea cual sea el motivo que lleva a evaluar a una empresa, la experiencia de pasar por ello es la que marca la diferencia, dijo Yeo.
Las emociones que atraviesan las personas al descubrir que han sido engañadas puede ser un poderoso motor para asegurarse de que no les vuelva a pasar.
Una empresa estará más segura sólo si sus empleados aprenden esas lecciones
"Es muy difícil que los usuarios y los empleados alcancen de otro modo el nivel de conciencia necesario, la educación, que les permita mantenerse seguros", dijo.
El elemento de la vida real de las pruebas de intrusión es el que logra convertir un truco maligno en algo positivo.
"Es muy difícil que los usuarios y los empleados alcancen de otro modo (que no sea con pruebas de intrusión) el nivel de conciencia necesario, la educación, que les permita mantenerse seguros"
John Yeo, Trustwave SpiderLabs
Al fin y al cabo, es difícil justificar el intentar exponer las deficiencias de seguridad de una compañía utilizando las técnicas existentes más sofisticadas.
Eso se vuelve más claro al entender cuántas de esas pruebas de penetración son exitosas.
Casi ninguna es detectada o descubierta por los empleados.
Los especialistas dicen, sin embargo, que esto tiene más que ver con la cantidad de gente que es atacada dentro de una organización y la amplia gama de trucos utilizados, más que con los malos hábitos de los empleados.
Según Angerbjorn, en una prueba de intrusión tiene más peso la prueba que la intrusión.
"La cuestión no es si se logra entrar; usualmente se consigue porque cuanto uno más lo intenta más lejos llega".
"Lo más importante es ver qué riesgos se exponen y cuánto daño pueden ocasionar", dijo.
No hay comentarios:
Publicar un comentario