Descripción
Para hackear con 'Licencia'

686490F6B5C45223C8A27756492D.jpg

Ésta es la primera de dos notas sobre las técnicas que utilizan los llamados hackers éticos. La segunda será publicada el domingo.

Todo el día, todos los días, cualquiera que esté conectado a internet puede estar siendo atacado.

Los mecanismos de defensa como programas antivirus, firewalls, filtros de correo no deseado o detectores de intrusión son capaces de bloquear la mayoría de estos ataques, sean a una computadora o una base de datos.

Pero cada tanto algún ataque logra su objetivo, y se están volviendo cada vez más sofisticados.

Son esos en que los 'chicos malos' se preparan bien y consiguen que los mensajes parezcan venir de compañeros de trabajo, o citan nombres, incidentes o números de identificación, que sólo alguien cercano conocería.

También están esos otros ataques que aprovechan vulnerabilidades en algún software, como un navegador, para robar datos de acceso y usarlos para entrar en redes corporativas.

La sofisticación

Este es el mundo en el que se mueven los evaluadores de intrusiones.

'Nos pagan por reproducir los mismos tipos de ataques que usan los chicos malos, los cibercriminales', dijo John Yeo, jefe para Europa del departamento de evaluación de intrusiones de Trustwave SpiderLabs, que realiza cientos de pruebas de este tipo cada año.

Los evaluadores de intrusiones son hackers éticos quienes, como sugiere su nombre, intentan hallar formas de penetrar las defensas de una compañía y ver si esas defensas son capaces de repeler los ataques más sofisticados.

Estos hábiles especialistas en seguridad, también llamados 'hackers de sombrero blanco', ocupan un rol necesario debido al incremento en ciberladrones que no utilizan técnicas de correo no deseado, virus u otras estrategias más tradicionales.

Ellos ponen gran empeño, y destinan recursos y capacidad técnica a su tarea.

Muchos ejecutan tareas de reconocimiento en redes sociales con LinkedIn, hacen rebotar correos en la cuenta de un objetivo para entender mejor cómo operan o realizan algunas llamadas telefónicas con la esperanza de conseguir algo de información útil. Cuando lo consiguen, con sólo enviar un mensaje a un puñado de altos ejecutivos logran obtener grandes beneficios.

'No se trata de quinceañeros haciéndolo desde sus cuartos', dijo Mathias Elvang, jefe de la compañía de seguridad, que también pasa gran tiempo intentando infiltrar redes corporativas.

'Es un gran negocio', agregó.

La posibilidad de obtener grandes beneficios es lo que hace que los atacantes sigan adelante, dijo. Eso es lo que los lleva a dedicar tanto tiempo y cuidado a la hora de elegir los métodos que utilizan.

Llamando al dinero

Los blancos principales son bancos y otras instituciones financieras, dijo Christian Angerbjorn, quien solía trabajar como evaluador de intrusiones en uno de los grandes bancos de Reino Unido y es ahora jefe de seguridad en IF Insurance.

'Cuanto más cerca estás del dinero más probable es que seas atacado', dijo.

'Lo importante no es qué haces sino medir los riesgos que enfrentas'.

Sin ese tipo de pruebas, dijo, las compañías pueden terminar gastando enormes sumas de dinero en herramientas de seguridad y en capacitación e igual no estar en condiciones de entender por qué son vulnerables.

Pero con las pruebas de intrusiones, pueden entender cuáles son los ataques que pueden afectarlos y determinar las acciones a tomar para impedirlos

Sin duda tendrán que gastar en capacitación, herramientas y tecnología, pero puede ser más barato que la alternativa.

'Sin importar cuánto uno gaste en seguridad, es generalmente menos que lo que costaría una invasión o incidente', dijo.

No todas las empresas usan pruebas de penetración de forma tan preventiva, agregó. Algunas lo hacen de forma más urgente.

'Si su competidor más cercano fue atacado, pueden ver si son vulnerables a un ataque similar', dijo.

Esa es una amenaza real, dijo Elvang, ya que su empresa ve cómo un ataque sobre un cliente es reproducido al poco tiempo contra otro, y otro.

Es capaz de predecir con frecuencia quién será el siguiente si los atacantes están siguiendo secuencialmente direcciones de internet.

Como en la vida real

Sea cual sea el motivo que lleva a evaluar a una empresa, la experiencia de pasar por ello es la que marca la diferencia, dijo Yeo.

Las emociones que atraviesan las personas al descubrir que han sido engañadas puede ser un poderoso motor para asegurarse de que no les vuelva a pasar.

Una empresa estará más segura sólo si sus empleados aprenden esas lecciones

'Es muy difícil que los usuarios y los empleados alcancen de otro modo el nivel de conciencia necesario, la educación, que les permita mantenerse seguros', dijo.

El elemento de la vida real de las pruebas de intrusión es el que logra convertir un truco maligno en algo positivo.

Al fin y al cabo, es difícil justificar el intentar exponer las deficiencias de seguridad de una compañía utilizando las técnicas existentes más sofisticadas.

Eso se vuelve más claro al entender cuántas de esas pruebas de penetración son exitosas.

Casi ninguna es detectada o descubierta por los empleados.

Los especialistas dicen, sin embargo, que esto tiene más que ver con la cantidad de gente que es atacada dentro de una organización y la amplia gama de trucos utilizados, más que con los malos hábitos de los empleados.

Según Angerbjorn, en una prueba de intrusión tiene más peso la prueba que la intrusión.

'La cuestión no es si se logra entrar; usualmente se consigue porque cuanto uno más lo intenta más lejos llega'.

'Lo más importante es ver qué riesgos se exponen y cuánto daño pueden ocasionar', dijo.

 

Fuente:msn.com

Fotos
Comentarios
Ordenar por: 
Por página :
 
  • Aún no hay comentarios
Artículos Relacionados
Albergamos en la red cientos de datos e información, pero nunca nos paramos a pensar si están o no en buenas manos. En este contexto, la ciberseguridad cada vez cobra más importancia. Por eso hoy te queremos contar todo lo que debes saber si quieres evitar ser hackeado.
09.06.2016 · De teresagarcia123
Hace un par de décadas las listas de los hombres más ricos y poderosos del mundo se distinguía por la presencia de aquellos que se dedicaban a la industria alimenticia, de hidrocarburos, de las inversiones bursátiles, entre muchas más aunque había una de ellas que no figuraba; la informática.
03.30.2014 · De Chavelita
Además de haber adquirido a Burstly, Apple también contrató a otra persona . No se trata de algún alto ejecutivo de otra empresa, sino de un hacker que tiene apenas 17 años.
02.22.2014 · De wenalo
Cada vez más, las personas publican sus datos personales en redes sociales y ponen a disposición esta información en distintos sitios de Internet.
01.29.2014 · De wenalo
El gobernador firmó la ley en el Ayuntamiento de Los Ángeles con la presencia de cientos de activistas
10.03.2013 · De armando
Autor
06.10.2013 20:15 (06.10.2013)
398 Vista(s)
0 Suscriptor(es)
Calificación
0 votos
Etiquetas
Recomiendalo