EL HACKEO YA ES LEGAL

 


Imaginamos un mundo digital perfecto cuando toda nuestra información “privada” como claves de acceso a cuentas bancarias,  redes sociales, correos electrónicos, información en la nube etc., están almacenadas en nuestros ordenadores y pensamos que son impenetrables. Grave error si pensamos de esta manera.

Hace algunos años Julian Assange uno de los hackers más nombrados del momento penetró las seguridades del Departamento de Defensa de los Estados Unidos, a través de su página http://wikileaks.org, donde publicó titulares como: El ataque aéreo en Bagdad, Diarios de la Guerra de Afganistán y Los Registros de la Guerra de Iraq; éstas y otras filtraciones más hicieron que se ganara gratuitamente al enemigo más poderoso del mundo, los Estados Unidos.

En este caso Assange vulneró las seguridades de la plataforma de un sistema informático hasta ese momento impenetrable. Hoy en día casos de intromisión a las plataformas de redes sociales o cuentas bancarias, se vuelven más vox populi entre las personas. Uno de los casos es del Sr. Jorge Miranda a quien una mañana le llegó un correo electrónico donde habían realizado una transacción con su tarjeta de crédito.

Miranda aseguró que  jamás había realizado aquella compra por internet y que el valor que le debitaban era injusto, por lo que se acercó a la empresa propietaria de la tarjeta, donde le manifestaron que efectivamente habían utilizado la misma para realizar compras en el exterior por un monto considerable. La empresa emisora de la tarjeta le comunicó que puesta la denuncia alrededor de tres meses tomará verificar si procede o no la compra ilícita con ese documento.

Este tipo de hackeo es uno de los más usados por los asaltantes cibernéticos que encuentran un “pato” a quién aleatoriamente eligen para vaciar sus cuentas o utilizar sus documentos como tarjetas de crédito con el fin de robarles su dinero mediante compras por internet.




El hackeo ¿puede ser ético?

Hay contradicciones entre los expertos informáticos ya que para algunos “hacker” es ilegal; y otros consideran  que es legal siempre y cuando se utilice para descubrir las vulnerabilidades de una red, así opina el Ing. Rafael Franco, especialista en redes de seguridad. Franco manifiesta que existen “hackers” dedicados a buscar las inseguridades que existen en un sistema, es un trabajo como cualquier otro.

Franco comenta que hay que diferenciar entre un hacker y un cracker, el primero es un especialista en analizar las vulnerabilidades de una red; en cambio el segundo viola las seguridades de los sistemas informáticos, de manera similar como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o hacer daño a su objetivo. El hacker sería el que realiza el hackeo ético; el cracker jamás.


¿Qué puede hacer un hacker?

Lo podemos dividir en cinco puntos:

·       Reconocimiento de la red

Tener información del objetivo previo a cualquier ataque a una red; luego hacer un reconocimiento pasivo del sistema: Google Hacking, Ingenierías social y Sniffing (rastreo); y por último un reconocimiento activo donde se prueba toda la red para detectar hots accesibles, puertos abiertos, localización de routers y detalles de sistemas operativos y servicios.

·       Escaneo del sistema

El escaneo es una fase del pre-ataque, iniciando así el rastreo con la información de la fase previa, detectando las vulnerabilidades y accesos del sistema.

·       Obtener acceso y empezar el ataque de la red

Una vez que se obtiene el acceso al sistema, el hacker empieza a obtener información mediante claves falsas, programas dañinos e incluso infectar el sistema.

·       Mantener el acceso y atacar las vulnerabilidades del sistema

Si no es detectado a tiempo el ataque de un hacker, éste empieza a blindarse de posibles ataques de otros hackers, protegiendo sus accesos y virus troyanos.

·       Borrar todo rastro de huellas

Se utiliza análisis forense para rastrear al hacker, pero aun así éste evade los protocolos de seguridad.

 Perfil de habilidades de un Hacker Ético

Un hacker ético debe ser un experto en algún campo de la informática, tener sólidos conocimientos de diversas plataformas tales como Windows, Unix, Linux; además es esencial que conozca de redes y sus protocolos, mapeo, subneteo y sobretodo conocimientos profundos de hardware y software.

Elementos esenciales de la seguridad.

·       Confidencialidad: tiene que ver con ocultar información o recursos.

·       Autenticidad: es la identificación y garantía del origen de la información.

·       Integridad: Se refiere a cambios no autorizados en los datos.

·       Disponibilidad: Posibilidad de hacer uso de la información y recursos deseados.

 

¿Qué debe hacer un hacker ético?

Debe evaluar la seguridad de un sistema informático mediante tres procesos:

·   Preparación. Se debe tener un contrato firmado por escrito donde se exonere al hacker ético de toda responsabilidad como consecuencia de las pruebas que realice (siempre que sea dentro del marco acordado)

·    Gestión. Preparación de un informe donde se detallen las pruebas y posibles vulnerabilidades detectadas.

·     Conclusión. Comunicación a la empresa del informe y de las posibles soluciones.

 El hacker es contratado para investigar las vulnerabilidades de la red, éste a su vez debe entregar un reporte de todas las inseguridades que existen en el sistema, examinando la red tanto desde adentro como desde afuera. Al finalizar su análisis, el experto debe entregar cierta documentación donde especifique ciertos parámetros de la red, tales como:

·       Reporte de hackeo ético.

·  Detalles de los resultados de las actividades y pruebas de hacking realizadas. Comparación con lo acordado previamente en el contrato.

·  Se detallarán las vulnerabilidades y se sugiere cómo evitar que hagan uso de ellas. Esto debe ser absolutamente confidencial.

·       Deben quedar registrados en un contrato dichas cláusulas de confidencialidad.

Este contrato es beneficioso para el hacker ya que se libra de cualquier responsabilidad penal, puesto que tiene los permisos necesarios por parte de la organización para vulnerar sus redes.


No hay comentarios:

Publicar un comentario

CREATIVE COMMONS

CIBERDELINCUENCIA

La figura del Ciber delincuente. ¿Qué es la ciberdelincuencia?      Es aquella actividad que por medio de la red (sea pública o privada) o a...