miércoles, 4 de junio de 2014

¿Los ‘hackers’ siempre son los malos?







Con el reciente escándalo del 'hacker' Andrés Sepúlveda, el tema del espionaje electrónico tomó mayor relevancia en el país. La actividad de ingresar a sistemas privados para extraer información es un delito informático, pero no todos los 'hackér' son considerados como delincuentes.

Según el portal Reporte Digital, en los últimos años Colombia se ha vuelto un lugar de interés para los cibercriminales. El país ocupa el puesto número 8 en la lista de los 10 países que reciben más ataques de Phishing a nivel global. En la región, Colombia está en la primera posición con el 43% del tráfico de Phishing y un estimado de pérdidas de $95 millones de dólares. Los caso de clonación de tarjetas débito y crédito, la alteración de datáfonos, el robo y uso indebido de contraseñas e información personal es cada vez más común.

¿Quién comete este tipo de delitos?

Para la mayoría de personas, los 'hackers' son quienes realizan ese tipo de actividades. El término 'hacker' se asocia con delincuencia, vandalismo, acciones indebidas y lucro a través del acceso a información confidencial.

Un 'hacker' es una persona con un gran conocimiento en informática (programación, seguridad, telecomunicaciones) que a menudo utiliza este conocimiento para encontrar fallas de seguridad en los sistemas por los cuales siente interés. En términos más generales, se puede decir que un 'hacker' es un experto en cualquier disciplina, que siempre está en busca de más conocimiento en su rama.
Según lo anterior, mecánico que tiene un gran conocimiento sobre sistemas de inyección de combustible y puede reprogramarlos para aumentar los caballos de fuerza de su carro también puede ser llamado un 'hacker'.

Hackers’ y ‘crackers’ son diferentes

La confusión con el término se genera se habla del uso que se le da a las habilidades informáticas de estas personas. Cuando son usadas para fines maliciosos se está hablando de ‘crackers’. Estos expertos son quienes acceden a sistemas informáticos para robar información y obtener beneficios económicos, chantajear o sencillamente causar daño a las compañías víctimas de sus delitos.

Por el contrario, un ‘hacker’ se dedica a encontrar fallas de seguridad, motivado principalmente por una profunda curiosidad de entender cómo funcionan las cosas. Una vez encontradas las fallas, se reportan a los dueños del sistema para que tomen las medidas correctivas necesarias.

La tarea de los ‘hackers’ es necesaria para garantizar el correcto funcionamiento de una infraestructura tan crítica como lo es Internet. Son ellos quienes han descubierto las principales fallas en los mecanismos de seguridad actuales y quienes han diseñado las medidas de corrección para garantizar la correcta operación de estos sistemas. Es común oír que ‘hackers’ conocidos son reclutados por grandes empresas luego de haber descubierto fallas de seguridad en sus sistemas, o reciben recompensas por encontrar errores en sistemas de uso masivo.

Dos de los casos más conocidos son el “Facebook Bug Bounty” y el “Google Pwnium”, que en su más reciente versión pagará un total de $2.7 millones de dólares en premios para aquellos ‘hackers’ que encuentren y reporten fallas de seguridad en su sistema operativo Chrome OS.

¿Para qué sirve el Hacking Ético?

Otra forma común de aprovechar el conocimiento de los hackers en pro de la seguridad las empresas es a través de los servicios de “c. En esta modalidad, el hacker ejecuta las mismas técnicas y usa las mismas herramientas que utilizaría un cracker en un ataque real. ¿El objetivo? Identificar la mayor cantidad de fallas de seguridad de un sistema y corregirlas de manera proactiva para minimizar el riesgo de que dichas fallas sean utilizadas con objetivos criminales.

Tipos de Pruebas:

Pruebas de Caja Blanca: en este tipo de pruebas la compañía entrega al hacker toda la información de la aplicación que se desea probar (arquitectura, fabricantes y versiones de las tecnologías utilizadas, lenguajes de programación utilizados, cuentas de usuario con privilegios mínimos, etc.) Este tipo de pruebas suelen ser más efectivas debido a que el ‘hacker’ cuenta con más información para planear su ataque. Sin embargo no simulan un ataque real, esto se debe a que se facilita mucha información que en un escenario más realista debe ser obtenida por esfuerzo propio del atacante.

Pruebas de Caja Negra: en este caso no se entrega ningún tipo de información al hacker, a veces solamente el nombre de la compañía o de la aplicación que debe atacar. Estas pruebas representan un ataque real, pero son más complejas y demoradas en tiempo debido a las actividades previas que se deben realizar para recolectar la información de los sistemas a probar.

Escenarios:

Pruebas Externas: son pruebas que se realizan a aplicaciones publicadas en Internet. Su nombre se debe a que el Hacker está ubicado por fuera de la red privada de la compañía.

Pruebas Internas: este tipo de pruebas se realizan desde la red interna de la compañía y buscan simular un ataque generado por personal interno. Estás pruebas se suelen ejecutar desde distintas partes de la compañía (red de usuarios, red de servidores, red de impresoras, etc.) para identificar los puntos más vulnerables en la red.

El “Ethical Hacking” es un servicio de gran valor que está ganando cada vez más popularidad entre las organizaciones debido a que permite visualizar de forma más tangible los riesgos a los que está expuesta la empresa y su información.