El día de hoy les comparto un artículo que tuve la fortuna de me publicaran en la revista B:secure especializada en seguridad de la información , espero que lo disfruten al leerlo tanto como yo al escribirlo.
Casi se podría decir que no existe nada completamente seguro situación que incluye, por supuesto, cualquier sistema informático. La seguridad de un sistema depende de la fortaleza o debilidad con la que es capaz de reaccionar ante algún ataque. Se podría considerar que un ataque es cualquier interacción no prevista con el entorno que pueda alterar el comportamiento de un sistema.
Definiciones:
Hacker es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc.[1] Se suele llamar hackeo y hackear a las obras propias de un hacker.
Hacker de Sombrero Blanco
(White Hat)
El white hat es aquella persona que, de manera altruista o no, dedica su tiempo a la búsqueda de vulnerabilidades en un sistema y que posteriormente notifica al administrador para que considere su futura corrección. Sus actos no son malintencionados y normalmente realiza sus acciones bajo el consentimiento del propietario del sistema atacado.
Hacker de Sombrero Negro
(Black Hat)
El black hat es lo que comúnmente llamaríamos cracker, y sus fines son, además de lucrativos la mayoría de las veces, totalmente destructivos. Jamás avisa de los errores encontrados y los utiliza para echar abajo servidores importantes, borrar información privada o colapsar redes enteras bajo el efecto de un ataque de denegación de servicio (DoS o DdoS). Es, desde luego, la persona que menos puede aportar a la comunidad Underground preocupada de la seguridad de Internet, pero debemos ser realistas y afirmar que muchos de ellos acabaron convirtiéndose, después de una profunda madurez de su ética profesional, en hackers de sombrero gris o blanco.
Hacker de Sombrero Gris
(Grey Hat)
Decir que el grey hat es una mezcla de los dos anteriores no es del todo correcto, puesto que muchas veces es más como primero. Este es el Genuino hacker ético (HE). Podríamos decir que se encuentra en un limbo entre las dos fronteras pero que su actitud y ética le permite decidir con certeza qué comportamientos son los más adecuados a la situación a la que se enfrenta.[1]
Seguridad de Instituciones
Gubernamentales
En las entidades gubernamentales aún podemos observar políticas de seguridad muy laxas, desde el uso irresponsable de dispositivos de almacenamiento por los cuales los empleados pueden sacar información sensible del recinto sin ninguna restricción, hasta la mala administración de centros de datos, servidores, cuentas de usuarios y/o conexiones.
Hemos podido observar en los medios de comunicación como en nuestro país han aparecido en internet y en mercados ambulantes (ilustraciones 1 y 2) a la venta bases de datos con información personal de los ciudadanos y que son recabadas y administradas por el propio gobierno federal[2].
Ilustración 1: Nota del Diario Universal: venta de Bases de Datos oficiales del Gobierno de México.
Ilustración 2: Puede parecer una broma de mal gusto… ¡Pero no lo es!
Información que es confidencial, que contiene datos personales de los ciudadanos, números de cuentas de bancos, teléfonos, direcciones, fotografías; y para demostrar que estas personas están actualizadas, apareció a la venta la última base de datos que el Gobierno de México recabó por decreto:
ilustración 3 EL RENAUT[3].
Ilustración 3 - Base de datos nacional de números telefónicos celulares
Observando estos acontecimientos nos podemos preguntas:
- ¿cómo es resguardada esta información por el gobierno de este país?
- ¿la información es robada por la intrusión de Crackers a los sistemas de información?
- ¿La información es robada por los propios empleados?
- ¿Se invierte lo suficiente en esquemas de seguridad de esta información?
- ¿El personal que trabaja en los sitios donde se almacena esta información está calificado para velar por su seguridad?
Independientemente de como estos malandros se hayan apoderado de la información, lo que es un hecho: es que la seguridad de la que disponen las instituciones responsables de resguardar dicha información es muy pobre o prácticamente nula.
¿Se invierte en Seguridad?
Los gobiernos suelen gastar sumas de dinero muy grandes para obtener informacion necesaria para los procesos administrativos que realizan todos los días. Se invierte en infraestructura, en almacenamiento, en conectividad, en software, incluso en “aparatos” que proveem “seguridad”, pero ¿porqué estos dos terminos están entre comillas? Porque los puntos vulnerables de cualquier sistema tienen que ver con el error humano. Los gobiernos no invierten en especialistas de la seguridad, no cuentan con personal calificado en seguridad de la información e incluso no hace esfuerzos por formar especilitas certificados en tareas de seguridad de l a información.
Por qué Pensar en un Hacker Etico
Como ya definimos, Los Hackers son personas que están en constante actualización, que toman como reto el poder penetrar a un sistema (independientemente de las razones por lo que lo haga) Sutuación que permite asegurar que son los mejores en materia de seguridad. Que conocen cuales son las vulnerabilidades más comunes y por supuesto saben como protegerse de ellas. Podemos hablar de un hecho: Las empresas que buscan hackers lo hacen porque antes han tenido problemas de segridad. Porque alguien ha entrado, husmeado y dañado su sistemas de información y buscan a alguien con los conocimientos suficientes para que les solucione sus problemas.
Ese alguien sólo puede ser un hacker. Esto se refuerza si tenemos en cuenta que, hoy día, los hackers disponen realmente de mejores líneas de comunicación y de información compartida que los expertos en seguridad convencionales. En este sentido, empieza a ser algo común el que los hackers trabajen en el área de seguridad de sistemas, advirtiendo que los conocimientos adquiridos pueden ser empleados para mejorar y certificar la seguridad de los sistemas de las empresas. Es momento de que las oficinas gubernamentales comiencen a dirigir su atención a este tipo de especialistas, ya sea que los contrate o que capacite a supersonal, pero definitivamene debe de contar con un especilista de seguridad ético.
La misión del HE dentro de los Gobiernos.
Un Hacker Etico puede hacer revisiones desde lo más básico (pero muy importante) la seguridad que hay en accessos físicos, puertas, ventanas, secretarias; habitos y conductas de usuarios, politicas y lineamientos referentes a la informática de la empresa y consecuente mente pondrá a prueba la seguridad implementada para proteger la información y/o sistemas y redes.
La inclusión(formación) de hackers Eticos por parte de las Instituciones Gubernamentales serviría para fortalecer sus áreas de TI, lo que permite ofrecer una mayor segurdad a la información. Pero eventualmente podrían evolucionar en un área especializada o en una dependencia del gobierno que sea responsable de proveer a las demas instituciones lo que se comienza a conocer como: Hacking Etico[3].
Estrategia:
Las actividades de hacking ético dentro de la entidad gubernamental deberán implementar “pruebas de penetración” o “pruebas de intrusión” ilustración 4, buscando comprobar que los sistemas/redes cumplen con los niveles de seguridad para los que fueron diseñados.
Ilustración 4: Realizar ataques "planeados" puede prevenir que un pirata informático entre, manipule o robe información sensible.
La “prueba de Penetración o PenTest” (simulación de un ataque desde el exterior a la red institucional) pretende ver a la institución desde el punto de vista de un pirata informático, de modo que se puede evaluar tanto el riesgo al que se enfrentan los sistemas de la institución si está conectada a Internet, como las posibilidades reales de acceder, interceptar modificar y/o robar información crítica desde el exterior. Realizando de forma periódica estos atáques, permite, además de conocer cómo actúan los piratas informáticos, saber si la seguridad se los sistemas de la institución está preparadoa para detectar ataques efectuados desde el exterior y responder a tiempo en caso se ser vulnerado.
Conclusión.
Una vez llevada a cabo la “prueba de intrusión” se elabora un reporte detallado con los fallos de seguridad y con las medidas que debe aplicar la institución para evitar ser invadidos por un pirata de la red. Se recomienda realizar estos ataques simulados de los sistemas con una periodicidad no mayor a tres meses, para mantener al día la seguridad de la información. Si detectó que la seguridad de su institución presenta huecos en la seguridad o fallas críticas, tiene que poner manos a la obra, apoyarse en el HE para cerrar todas las puertas “mal cerradas” y todo lo que la prueba halla arrojado como una vulnerabilidad. Continúe haciendo las pruebas programadas pues esta practica le permitirá prevenir (o reaccionar) a cualquier eventualidad. Recordemos que la tecnología evoluciona y se encuentran nuevas vulnerabilidades, por lo que estar actualizado también es una buena practica para evitar cualquier situación no deseada.
Referencias
Muy bueno el articulo! Felicidades, insisto en que el secreto es la manera tan sencilla en que lo explicas, saludos colega!
ResponderEliminar