Entendida como la falta de capacidad para protegerse de un ataque informático, una vulnerabilidad puede facilitar la acción de uno o más hackers que- aplicando sus conocimientos y malas intenciones- buscan apoderarse de la red de una organización y generar una serie de impactos negativos en ella.
Tales consecuencias pueden ser del tipo financiero, por ejemplo, si se trata de un banco o aseguradora. En tal caso los intrusos podrían acceder al control de las transacciones o realizar extorsiones con el objetivo de recibir algo a cambio que, en la mayoría de los casos, es dinero. Otro impacto podría ser el operativo, si es que lo que se busca es causar daño a los sistemas tecnológicos, mediante el envío de ráfagas de ataques, interrumpiendo así los diferentes procesos.
“Una tercera modalidad son las acciones que realiza Anonymous, en donde los principales blancos son los sitios web de entidades de gobierno u otras organizaciones, siendo ese un impacto reputacional, dado que provoca pánico especulativo entre las personas”, explica Irwin Samos, Gerente de Servicios Expertos de Widefense.
El ejecutivo sostiene que, frente a este escenario, es fundamental que las organizaciones conozcan su nivel de riesgo, es decir, la probabilidad de que ocurra un ataque que pueda violar la seguridad de su infraestructura de red, que pueda acceder a la información corporativa o que, incluso, interrumpa sus operaciones.
“Un especialista en Ethical Hacking crea valor, pues ahorra tiempo y esfuerzo en saber cuál es exactamente el riesgo al que se enfrenta una organización. Mediante este servicio no sólo se entrega información sobre el nivel de peligro sino que, también, sobre las vulnerabilidades que tiene cada sistema tecnológico y cómo se deben remediar”, agrega Samos.
Para ello, Widefense sigue un proceso tal como lo haría un hacker. Primero se reconocen los sistemas expuestos a Internet y los que están dentro de la red interna del cliente. Después se hace un análisis de cuáles son sus debilidades y qué impacto podría tener, en el negocio, cada debilidad que se detecte. Posteriormente, se simula la operación de un hacker, lo cual se realiza con total autorización del cliente, para lo cual se firman acuerdos de confidencialidad.
“Algunos clientes prefieren sólo que se identifiquen las vulnerabilidades, sin que se actúe en su infraestructura de red, mientras que otros, en cambio, solicitan las dos acciones”, afirma el Gerente de Servicios Expertos de Widefense.
Finalmente- explica- se elabora un informe que contiene dos componentes. Por un lado, está la parte ejecutiva que, normalmente, se presenta a la alta gerencia del cliente para dar a conocer el nivel de riesgo en una escala de uno a 100 y los impactos que esto causaría en la organización (robo de información, daños operacionales, financieros, legales u otro). La otra parte del informe es la técnica y en ella se entrega la radiografía de cada uno de los sistemas analizados. Con esto el cliente puede tomar un plan de acción para remediar esas debilidades.
Samos manifiesta que existen distintas modalidades del servicio de Ethical Hacking que proveen. Una de ellas es el Externo, en donde el análisis se efectúa desde Internet para saber cuáles son los sistemas que están expuestos y a qué debilidades se enfrenta el cliente.
Otro tipo es el Interno, el cual se efectúa dentro de las instalaciones de una organización y busca reconocer dispositivos como servidores, laptops e impresoras que tengan acceso a la red, así como enrutadores o concentradores de red que sean administrables. “Según estadísticas de CBI Security de 2012, el 79% de los ataques se origina internamente”, destaca.
Un tercer sabor de Ethical Hacking es el Social, que se orienta hacia las personas. “Mediante esta modalidad, nos ganamos la confianza de las personas que trabajan en una organización, especialmente las que manejan datos confidenciales, y después se realizan esfuerzos para sacarles esa información, teniendo acceso a sus computadoras o archivos que sean sensibles. En este caso, luego elaboramos un informe y efectuamos un seminario en donde se les explica a estas personas en donde falló la confidencialidad y cómo ellos pueden estar más atentos a un ataque de ingeniería social, cuidar mejor la información y tener más cultura en materia de seguridad informática”, acota.
Un último tipo de Ethical Hacking que aplica Widefense es el que se hace a las redes inalámbricas. El directivo señala que lo interesante es que cuando un hacker viola una red inalámbrica no necesariamente persigue usurpar Internet, pues lo que hace primero es una inyección de paquetes y ver qué tipo de información está pasando por la red inalámbrica y si puede sacar esa información y obtener algo de ella.
“Hoy la tendencia es que todo gire en torno a la información y las tecnologías van avanzando rápidamente, pero no siempre las empresas piensan que avance la seguridad para proteger esa información al mismo ritmo con que ellas implementan nuevas tecnologías. Entonces los hackers se aprovechan de esas vulnerabilidades. Y también con la diversidad que existe hoy de dispositivos móviles y plataformas (BB, IOS, Android) esto puede traducirse en que a una persona le roben el equipo que usa y desconocidos accedan a los correos corporativos y base de datos de clientes almacenados en él. Incluso muchos usuarios ingresan desde su equipo a las cuentas de bancos. Esta movilidad hace que los hackers se aprovechen de cualquier debilidad que puedan encontrar para sacar esa información confidencial y recibir algo a cambio”.
Samos relata que últimamente hay mucha más sensibilidad sobre el tema que antes, pero lamentablemente el 70% de los casos en Centroamérica, al menos, ha sido reactivo. Es decir, las organizaciones después de sufrir algún tipo de incidente se interesan en conocer sus debilidades en materia de seguridad informática. Sólo el resto es más preventiva o proactiva.
Manifiesta que, de acuerdo a la experiencia obtenida por Widefense, son los sectores Gobierno y Financiero en donde más se concentran la mayor parte de los ataques de los hackers.
“Actualmente uno puede entrar a ciertas paginas hechas por hackers (conocidas como el mercado negro) en donde por US$ 50 se pueden comprar alrededor de 100 números de tarjetas de crédito, con todos los datos asociados a usuarios, números de seguridad y direcciones registradas. Toda esta información la obtienen los hackers gracias a que han podido penetrar las redes de algunos bancos. El otro segmento donde hemos visto que hay muchos ataques es el Gobierno. Aquí se da el hacktivismo, mediante el cual se realizan campañas de protesta contra ciertas entidades gubernamentales, hackeando las redes de ellas y generando daños que luego son difundidos en Internet, dando a conocer así las debilidades de tales instituciones”.
Irwin Samos destaca que su compañía cuenta hoy con un importante número de consultores certificados como Ethical Hackers por la empresa EC Council, de reconocido prestigio a nivel mundial.
“Cuando nosotros contratamos a estos profesionales, buscamos a personas que, primero, podamos comprobar que son éticas, que tengan referencias y antecedentes de ello. Es decir, que sean muy confiables. Además de esto, se efectúan distintas capacitaciones que se suman a la experiencia que esos profesionales poseen. A la vez, existen acuerdos de confidencialidad que se firman entre Widefense y estas personas. Se trata de acuerdos legales. De esta forma, nosotros nos aseguramos que estos consultores puedan hacer la actividad de hacking, pero de una manera ética y en donde sumen valor en vez de destruir valor dentro de las organizaciones”.
Finalmente, el ejecutivo invitó a las empresas a realizar Ethical Hacking dentro de su tecnología. “Actualmente, usamos la tecnología durante todo el día, desde que nos levantamos, en la casa, en el trabajo, etc. Entonces necesitamos asegurar la información confidencial que esta tecnología procesa y lo mejor es no cerrar los ojos a la realidad, porque existen amenazas en el medio ambiente que pueden explotar vulnerabilidades. Entonces lo mejor es saber cuáles son esas vulnerabilidades que tiene nuestra tecnología para poder atacarlas, remediarlas o mitigarlas”.
