Imaginamos un mundo digital perfecto cuando toda nuestra información “privada” como claves de acceso a cuentas bancarias, redes sociales, correos electrónicos, información en la nube etc., están almacenadas en nuestros ordenadores y pensamos que son impenetrables. Grave error si pensamos de esta manera.
Hace algunos años Julian Assange uno de los hackers
más nombrados del momento penetró las seguridades del Departamento de Defensa
de los Estados Unidos, a través de su página http://wikileaks.org, donde publicó titulares como: El ataque aéreo en Bagdad, Diarios de la
Guerra de Afganistán y Los Registros de la Guerra de Iraq; éstas y otras
filtraciones más hicieron que se ganara gratuitamente al enemigo más poderoso
del mundo, los Estados Unidos.
En este caso Assange vulneró las seguridades de la
plataforma de un sistema informático hasta ese momento impenetrable. Hoy en día
casos de intromisión a las plataformas de redes sociales o cuentas bancarias,
se vuelven más vox populi entre las personas. Uno de los casos es del Sr. Jorge
Miranda a quien una mañana le llegó un correo electrónico donde habían
realizado una transacción con su tarjeta de crédito.
Miranda aseguró que
jamás había realizado aquella compra por internet y que el valor que le
debitaban era injusto, por lo que se acercó a la empresa propietaria de la
tarjeta, donde le manifestaron que efectivamente habían utilizado la misma para
realizar compras en el exterior por un monto considerable. La empresa emisora
de la tarjeta le comunicó que puesta la denuncia alrededor de tres meses tomará
verificar si procede o no la compra ilícita con ese documento.
Este tipo de hackeo es uno de los más usados por
los asaltantes cibernéticos que encuentran un “pato” a quién aleatoriamente eligen
para vaciar sus cuentas o utilizar sus documentos como tarjetas de crédito con
el fin de robarles su dinero mediante compras por internet.
El hackeo ¿puede ser ético?
Hay contradicciones entre los expertos informáticos
ya que para algunos “hacker” es ilegal; y otros consideran que es legal siempre y cuando se utilice para
descubrir las vulnerabilidades de una red, así opina el Ing. Rafael Franco,
especialista en redes de seguridad. Franco manifiesta que existen “hackers”
dedicados a buscar las inseguridades que existen en un sistema, es un trabajo
como cualquier otro.
Franco comenta que hay que diferenciar entre un
hacker y un cracker, el primero es un especialista en analizar las
vulnerabilidades de una red; en cambio el segundo viola las seguridades de los
sistemas informáticos, de manera similar como lo haría un hacker, sólo que a
diferencia de este último, el cracker realiza la intrusión con fines de
beneficio personal o hacer daño a su objetivo. El hacker sería el que realiza
el hackeo ético; el cracker jamás.
Lo podemos dividir en cinco puntos:
· Reconocimiento de la red
Tener información del objetivo previo a cualquier ataque a una red;
luego hacer un reconocimiento pasivo del sistema: Google Hacking, Ingenierías
social y Sniffing (rastreo); y por último un reconocimiento activo donde se
prueba toda la red para detectar hots accesibles, puertos abiertos,
localización de routers y detalles de sistemas operativos y servicios.
· Escaneo del sistema
El escaneo es una fase del pre-ataque, iniciando así el rastreo con la
información de la fase previa, detectando las vulnerabilidades y accesos del sistema.
· Obtener acceso y empezar el ataque de la red
Una vez que se obtiene el acceso al sistema, el hacker empieza a obtener
información mediante claves falsas, programas dañinos e incluso infectar el
sistema.
· Mantener el acceso y atacar las vulnerabilidades del sistema
Si no es detectado a tiempo el ataque de un hacker, éste empieza a
blindarse de posibles ataques de otros hackers, protegiendo sus accesos y virus
troyanos.
· Borrar todo rastro de huellas
Se utiliza análisis forense para rastrear al hacker, pero aun así éste
evade los protocolos de seguridad.
Un hacker ético debe ser un experto en algún campo
de la informática, tener sólidos conocimientos de diversas plataformas tales
como Windows, Unix, Linux; además es esencial que conozca de redes y sus
protocolos, mapeo, subneteo y sobretodo conocimientos profundos de hardware y
software.
Elementos esenciales de la seguridad.
· Confidencialidad: tiene que ver
con ocultar información o recursos.
· Autenticidad: es la
identificación y garantía del origen de la información.
· Integridad: Se refiere a cambios
no autorizados en los datos.
· Disponibilidad: Posibilidad de
hacer uso de la información y recursos deseados.
¿Qué debe hacer un hacker ético?
Debe evaluar la seguridad de un sistema informático
mediante tres procesos:
· Preparación. Se debe tener un contrato firmado por escrito donde se
exonere al hacker ético de toda responsabilidad como consecuencia de las
pruebas que realice (siempre que sea dentro del marco acordado)
· Gestión. Preparación de un informe donde se detallen las pruebas y
posibles vulnerabilidades detectadas.
· Conclusión. Comunicación a la empresa del informe y de las posibles
soluciones.
· Reporte de hackeo ético.
· Detalles de los resultados de las actividades y pruebas de hacking
realizadas. Comparación con lo acordado previamente en el contrato.
· Se detallarán las vulnerabilidades y se sugiere cómo evitar que hagan
uso de ellas. Esto debe ser absolutamente confidencial.
· Deben quedar registrados en un contrato dichas cláusulas de
confidencialidad.
Este contrato es beneficioso para el hacker ya que
se libra de cualquier responsabilidad penal, puesto que tiene los permisos
necesarios por parte de la organización para vulnerar sus redes.



No hay comentarios:
Publicar un comentario