Cómo sacar beneficio de los hackers de sombrero blanco

Share this…

Los hackers son una enorme amenaza para las organizaciones, por lo que el hacking practicado de modo ético a menudo es la mejor solución para protegerlas contra estos ataques.

La naturaleza de los ataques a la seguridad informática continúa evolucionando. A menos que los sistemas se desarrollen también para contrarrestar estas amenazas, estos seguirán siendo un blanco fácil. Si bien las medidas de seguridad convencionales son necesarias, es importante mantener en perspectiva a las personas u organizaciones que potencialmente podrían atacar nuestros sistemas. Diferentes organizaciones han permitido a una categoría de hackers, conocidos como hackers éticos o de sombrero blanco, identificar las posibles vulnerabilidades de los sistemas y proveer sugerencias para arreglarlas. Con el consentimiento expreso de los líderes de las organizaciones, los hackers éticos penetran de un modo holístico y comprensivo en los sistemas para implementar diversas medidas de seguridad que le permitan seguir operando con normalidad frente a las amenazas de ataques de otros hackers.

¿De verdad necesita de un hacker de sombrero blanco?

Acorde a expertos del Instituto Internacional de Seguridad Cibernética, no es en verdad obligatorio que una organización cuente con los servicios de un hacker, pero los sistemas de seguridad informática tradicionales han mostrado fallas en repetidas oportunidades al momento de brindar  protección oportuna frente a un rival que muestra cada vez mayor crecimiento y variedad de recursos. Con la proliferación de los dispositivos inteligentes conectados a la red, los sistemas se encuentran bajo constante amenaza. De hecho, en la actualidad el hacking se ha mostrado como una posibilidad de negocio lucrativo, practicado a expensas de las organizaciones que lo padecen.

Tal como Bruce Schneier, autor del libro “Proteja su Macintosh”, plantea, “Es fácil proteger su hardware, sólo póngalo bajo llave, encadénelo a su escritorio, o compre uno de prepuesto. Cuidar la información es más complicado. Puede estar en más de un lugar, puede ser llevada de un lado a otro del mundo en segundos y ser robada sin que usted se dé cuenta”. A menos de que usted disponga de grandes recursos, su departamento de tecnologías de la información resultará inferior ante la embestida de los hackers, e información valiosa puede ser robada antes de que usted lo sepa. Es por ello que resulta pertinente añadir un área al departamento de tecnologías de la información de su organización un área nueva, contratando hackers de sombrero blanco que conozcan el modo de actuar de los de sombrero negro. De otro modo, su organización correrá el riesgo de dejar entradas a sus sistemas.

Conocer los métodos de los hackers

Para prevenir el hackeo es importante entender cómo es que piensan los hackers. Los programas convencionales de seguridad dejan de funcionar en cuanto el hacker hace su entrada, es obvio que los hackers tienen todos diferentes modos de actuar, por lo que los sistemas se ven rebasados, lo que vuelve necesaria la aparición de un hacker ético que pueda entrar en el sistema del modo en que un hacker de sombrero negro lo haría, pero tratando de encontrar deficiencias de seguridad.

Prueba de Penetración

Es utilizada para encontrar las vulnerabilidades del sistema que podrían ser atacadas por un hacker. Existen diversos métodos para aplicar una prueba de penetración que las organizaciones utilizan acorde a sus necesidades.

  • Las pruebas dirigidas involucran a las personas de la organización y al hacker. El personal de la organización sabe todo acerca del ataque que se realizará.
  • Las pruebas externas penetran en todos los sistemas expuestos externamente, como servidores web y DNS.
  • Las pruebas internas descubren vulnerabilidades abiertas para usuarios internos con privilegios de acceso.
  • Las pruebas a ciegas simulan ataques reales de hackers.

La organización puesta a prueba recibe información limitada sobre el objetivo, lo que requiere que realicen un reconocimiento antes del ataque. Las pruebas penetrantes son el caso más común para contratar hackers éticos.

Identificar Vulnerabilidades

Ningún sistema es completamente inmune a los ataques. Aún así, las organizaciones necesitan proporcionar protección en diferentes niveles. El hacking ético representa una oportunidad para cubrir estos niveles. Un buen ejemplo es el estudio de caso de una gran organización en el ramo de la manufactura. La organización conocía sus limitaciones en términos de seguridad del sistema, pero no podía hacer mucho por sí misma. Entonces, contrató a hackers éticos para evaluar la seguridad de su sistema y proporcionar sus hallazgos y recomendaciones. El informe comprendía los siguientes componentes: recomendaciones de mejora de la seguridad informática del sistema, como la implementación de un sistema de respuesta a incidentes, implementación completa de un programa de administración de vulnerabilidades y directrices de fortalecimiento más exhaustivas.

Prepararse para un Ataque

Los ataques son inevitables sin importar cuán fortalecido esté un sistema. Al final, un atacante encontrará una vulnerabilidad o dos. Este artículo ya ha establecido que los ataques cibernéticos, independientemente de la medida en que se fortalezca un sistema, son inevitables. Eso no significa que las organizaciones deban dejar de reforzar la seguridad de su sistema, sino todo lo contrario. Los ataques cibernéticos han ido evolucionando y la única forma de prevenir o minimizar el daño es una buena preparación. Una forma de preparar los sistemas contra los ataques es permitir que los hackers éticos identifiquen las vulnerabilidades de antemano.

Hay muchos ejemplos de esto y es pertinente analizar el ejemplo del Departamento de Seguridad Nacional de Estados Unidos (Departament of Homeland Security). El DHS utiliza un sistema extremadamente grande y complejo que almacena y procesa grandes volúmenes de datos confidenciales.

La violación de datos es una amenaza seria, y equivale a amenazar la seguridad nacional. El DHS se dio cuenta de que hacer que los hackers éticos entren en su sistema antes de que los piratas informáticos lo hicieran era una manera inteligente de elevar el nivel de preparación ante un ataque. Por lo tanto, se aprobó la Ley Hack DHS, que permitiría a hackers éticos selectos entrar en el sistema DHS.

Esta ley establece en detalle cómo funcionaría la iniciativa. Se contrataría a un grupo de hackers éticos para entrar en el sistema del DHS e identificar vulnerabilidades, si las hubiere. Para cualquier nueva vulnerabilidad identificada, los hackers éticos serían recompensados financieramente. Los hackers éticos no estarían sujetos a ninguna acción legal debido a sus acciones, aunque tendrían que trabajar bajo ciertas restricciones y pautas. La ley también hizo obligatorio que todos los piratas informáticos éticos que participan en el programa pasen por una verificación exhaustiva de antecedentes. Al igual que el DHS, las organizaciones de renombre han contratado a hackers éticos para elevar el nivel de preparación de seguridad del sistema durante mucho tiempo.

En Conclusión

Tanto el hacking ético como la seguridad informática convencional deben trabajar juntas para proteger a las organizaciones. Sin embargo, las empresas deben elaborar su estrategia hacia el hacking ético. Probablemente puedan tomar el ejemplo del DHS hacia esta práctica. El papel y el alcance de los hackers éticos debe definirse claramente; es importante que la empresa mantenga controles y equilibrios para que el hacker no exceda el alcance del trabajo ni cause ningún daño al sistema. La empresa también necesita darles a los hackers éticos la seguridad de que no se emprenderá ninguna acción legal en el caso de una violación tal como se define en su contrato.