Hackers: ¿Héroes o Villanos en las organizaciones?

En los últimos años Colombia se ha vuelto un lugar de interés para los cibercriminales. El país ocupa el puesto número 8 en la lista de los 10 países que reciben más ataques de Phishing a nivel global. En la región, Colombia está en la primera posición con el 43% del tráfico de Phishing y un estimado de pérdidas de $95 millones de dólares.

Adicionalmente los medios de comunicación informan de casos, cada vez más seguidos, de clonación de tarjetas débito y crédito, alteración de datáfonos, robo y uso indebido de contraseñas e información personal.

Dentro de las muchas dudas que generan estos hechos, tal vez la más grande y la más recurrente es: ¿Quién comete este tipo de delitos? Probablemente al leer este texto, usted ya tenga la respuesta en la cabeza. “Son los Hackers quienes se dedican a hacer esto”. Y es esa respuesta la que me llevó a escribir esta entrada. Los Hackers han sido estigmatizados, y no sólo en el país. A nivel mundial el término se asocia con delincuencia, vandalismo, acciones indebidas y lucro a través del acceso a información confidencial.

Un Hacker es una persona con un gran conocimiento en informática (programación, seguridad, telecomunicaciones, etc.) que a menudo utiliza este conocimiento para encontrar fallas de seguridad en los sistemas por los cuales siente interés. En términos más generales, podemos decir que un Hacker es un experto en cualquier disciplina, que siempre está en busca de más conocimiento en su rama.

De acuerdo a esto, un mecánico que tiene un gran conocimiento sobre sistemas de inyección de combustible y puede reprogramarlos para aumentar los caballos de fuerza de su carro también puede ser llamado un Hacker.

Hackers y crackers: grandes diferencias

La confusión con el término se genera cuando hablamos del uso que se le da a las habilidades informáticas de estas personas. Cuando son usadas para fines maliciosos estamos hablando de crackers. Un cracker es quien accede a sistemas informáticos para robar información y obtener beneficios económicos, chantajear o sencillamente causar daño a las compañías víctimas de sus delitos.

Por el contrario, un Hacker se dedica a encontrar fallas de seguridad, motivado principalmente por una profunda curiosidad de entender cómo funcionan las cosas. Una vez encontradas las fallas, se reportan a los dueños del sistema para que tomen las medidas correctivas necesarias.

La tarea de los Hackers es necesaria para garantizar el correcto funcionamiento de una infraestructura tan crítica como lo es Internet. Son ellos quienes han descubierto las principales fallas en los mecanismos de seguridad actuales y quienes han diseñado las medidas de corrección para garantizar la correcta operación de estos sistemas. Es común oír que Hackers conocidos son reclutados por grandes empresas luego de haber descubierto fallas de seguridad en sus sistemas, o reciben recompensas por encontrar errores en sistemas de uso masivo.

Dos de los casos más conocidos son el “Facebook Bug Bounty” y el “Google Pwnium”, que en su más reciente versión pagará un total de $2.7 millones de dólares en premios para aquellos Hackers que encuentren y reporten fallas de seguridad en su sistema operativo Chrome OS.

¿Para qué sirve el Hacking Ético?

Otra forma común de aprovechar el conocimiento de los hackers en pro de la seguridad las empresas es a través de los servicios de “Ethical Hacking”. En esta modalidad, el hacker ejecuta las mismas técnicas y usa las mismas herramientas que utilizaría un cracker en un ataque real. ¿El objetivo? Identificar la mayor cantidad de fallas de seguridad de un sistema y corregirlas de manera proactiva para minimizar el riesgo de que dichas fallas sean utilizadas con objetivos criminales.

En el mercado existen básicamente dos tipos de pruebas y dos escenarios en los que se realizan:

Tipos de Pruebas:

  • Pruebas de Caja Blanca: en este tipo de pruebas la compañía entrega al hacker toda la información de la aplicación que se desea probar (arquitectura, fabricantes y versiones de las tecnologías utilizadas, lenguajes de programación utilizados, cuentas de usuario con privilegios mínimos, etc.) Este tipo de pruebas suelen ser más efectivas debido a que el hacker cuenta con más información para planear su ataque. Sin embargo no simulan un ataque real, esto se debe a que se facilita mucha información que en un escenario más realista debe ser obtenida por esfuerzo propio del atacante.
  • Pruebas de Caja Negra: en este caso no se entrega ningún tipo de información al hacker, a veces solamente el nombre de la compañía o de la aplicación que debe atacar. Estas pruebas representan un ataque real, pero son más complejas y demoradas en tiempo debido a las actividades previas que se deben realizar para recolectar la información de los sistemas a probar.

Escenarios:

  • Pruebas Externas: son pruebas que se realizan a aplicaciones publicadas en Internet. Su nombre se debe a que el Hacker está ubicado por fuera de la red privada de la compañía.
  • Pruebas Internas: este tipo de pruebas se realizan desde la red interna de la compañía y buscan simular un ataque generado por personal interno. Estás pruebas se suelen ejecutar desde distintas partes de la compañía (red de usuarios, red de servidores, red de impresoras, etc.) para identificar los puntos más vulnerables en la red.

El “Ethical Hacking” es un servicio de gran valor que está ganando cada vez más popularidad entre las organizaciones debido a que permite visualizar de forma más tangible los riesgos a los que está expuesta la empresa y su información.

Y usted, ¿Contrataría un Hacker para trabajar en su organización?

 

Imagen: @The Daring Librarian, distribuida con licencia Creative Commons BY-SA 2.0

No hay comentarios a esta entrada.

Déjanos un comentario

SUSCRÍBASE A NUESTRO NEWSLETTER