Infolaft tuvo la oportunidad de entrevistar vía correo electrónico a una persona dedicada al hacking ético. La hacker no se identificó sino que usó un seudónimo, además utilizó un correo fachada y ocultó su dirección IP a través de un servicio proxy; sin embargo, ello no impidió conocer ciertos detalles de esta actividad que hasta ahora empieza a cobrar relevancia.

 

Conseguir que una persona dedicada a la piratería digital conceda una entrevista no es una tarea sencilla. Por lo general los hackers son reservados y precavidos con sus contactos, no quieren protagonismo salvo casos excepcionales y protegen su identidad a toda costa, pues el anonimato les permite operar libremente.

Luego de un esfuerzo por investigar el fenómeno del fraude digital, el equipo de infolaft pudo entrar en contacto con una hacker colombiana para entender cómo sus actividades pueden servir como herramienta en la prevención de delitos y en la protección de sistemas de información. Sin embargo, a pesar de que la intención no era exponer a la mujer, ella prefirió mantenerse de incógnita aduciendo que su identidad en nada aportaría a este reportaje.

“Pueden llamarme BlackAnt, así me conocen mis colegas”, dijo la hacker en el primer cruce de correos sucedido la primera semana de septiembre de este año, y continuó: “sólo necesitan saber que actualmente trabajo en una empresa privada que presta servicios de seguridad informática y que cuando era más joven fui hacktivista” (término que significa la utilización de herramientas digitales ilegales o jurídicamente ambiguas con fines políticos).

 

La importancia de estar protegidos

Con la evolución de la tecnología cada vez hay más interés en entender y defenderse de los ataques digitales. En los últimos años han ocurrido sucesos que han puesto en alerta al mundo acerca de las vulnerabilidades de los sistemas digitales y han mostrado que todos los datos que se encuentran en la red son susceptibles de ser sustraídos.

El análisis mundial sobre la piratería digital, que consiste en irrumpir en sistemas digitales y bases de datos de forma no autorizada, ha crecido en los últimos años. Durante la última década se han producido varios casos de robo y exposición de información clasificada y, aunque estas acciones en muchos casos han permitido destapar escándalos de corrupción o redes de fraude, no dejan de considerarse acciones que podrían clasificarse como delitos.

Si bien uno de los sucesos más reciente de piratería informática fue el del portal AshleyMadison.com, en el que un grupo de hackers hurtaron y publicaron los datos de 32 millones de usuarios de la página para supuestamente proteger los valores familiares (recordemos que el servicio que promueve el portal es el de aventuras sexuales por fuera de las parejas), ha habido otros de mayor impacto.

Este es el caso de Wikileaks, una organización sin ánimo de lucro que ha publicado en su sitio web documentos reservados de interés público desde 2006 y que ya ha acumulado más de 1.2 millones de filtraciones que revelan comportamientos poco éticos de funcionarios gubernamentales, de miembros de iglesias y de grandes empresas. 

Esta organización, por ejemplo, develó en julio de 2010 alrededor de 92 mil documentos clasificados de los gobiernos aliados relativos a la guerra de Afganistán (2001) en los que se hicieron evidentes ataques deliberados a población civil; en octubre de 2010 mostró 400 mil piezas de información sobre la guerra de Irak (2004) que destapó el uso reiterado de torturas a civiles; y en noviembre de 2010 publicó 250 mil cables del Departamento de Estado de EE.UU. donde se comprobó la injerencia de ese país en asuntos internos de otras naciones.

Este tipo de acciones, que son riesgos reales, han promovido una evolución en los sistemas de protección digital desde las más altas esferas del poder del Estado y han motivado a que tanto las entidades públicas como organizaciones privadas busquen protegerse de este tipo de ataques. Y para ello han solicitado la ayuda de quienes mejor podrían erigir una estructura de defensa: los mismos hackers.

 

El hacking no es tan malo como lo pintan

El hacking ético es tan solo uno de los perfiles de piratería digital, pero es el que mayor beneficio reporta a los agentes del mercado. Las actividades dentro de esta categoría consisten en la utilización de todos sus conocimientos técnicos para detectar las fisuras en los sistemas y redes de información de entidades públicas y organizaciones privadas para luego reportarlos en informes clasificados y proceder con mejoras que permitan blindar las estructuras cibernéticas.

“Ahora yo soy una hacker de sombrero blanco” informó BlackAnt, para dejar en claro que su única actividad es la de asegurar y proteger los sistemas de tecnologías de la información y las comunicaciones. “Conozco compañeros de sombrero negro, que rompen sistemas de seguridad y los hacen colapsar, roban información o infectan redes, pero eso no es lo mío. Yo ayudo a que eso no ocurra”, informó la mujer.

Según BlackAnt, cada vez cobra más relevancia protegerse de ataques informáticos, porque en internet no hay nada oculto y porque siempre habrá algún pirata informático que sofistique las técnicas de ataque, ya sea por reconocimiento dentro de su grupo social, por defender un ideal político o por simple venganza.

La metodología que utilizan los hackers éticos, como BlackAnt, para lograr su propósito de protección son los denominados pen tests (penetration tests o exámenes de penetración) que consisten en el ataque programado a sistemas informáticos con el fin de vulnerar la seguridad tanto de las redes como de las aplicaciones, para luego elaborar un informe de las fallas detectadas.

“Como resultado del procedimiento se hace evidente si el sistema es vulnerable y frente a cuáles tipos de ataque, si las herramientas de defensa fueron suficientes, cuáles de ellas fueron violadas por el atacante y qué mecanismos se deben implementar para la protección a futuro”, contó BlackAnt.

Según ella esta es una de las vías más fáciles y económicas para mitigar los riesgos asociados a falencias digitales “y además nos permite a muchos seguir con las actividades de hackeo pero con un objetivo bueno”.

Aunque cada pen test varía según las complejidades y tamaño de cada organización, existen ciertos puntos que no se pueden pasar por alto para que la evaluación esté completa. Lo primero que se determina es el objetivo del ataque, es decir el sistema que se busca probar, para luego establecer una meta, que es hacer más fuerte la red.

Con posterioridad el encargado de coordinar el ataque realiza una estimación previa de las posibles amenazas y debilidades del sistema, e identifica los lugares de almacenamiento de datos y sus barreras de protección, las aplicaciones y programas más importantes para el correcto funcionamiento de la red, así como todas las conexiones que conforman la estructura digital (en especial aquellas necesarias para su ejecución básica). “Si la penetración y acceso a datos y  aplicaciones se logra, se deben corregir las grietas y volver a realizar un pen test hasta que sea imposible el acceso de piratas informáticos”, concluye.  

Esta actividad, que tiene el carácter de preventiva, no sólo evita que otros piratas informáticos accedan a información confidencial, sustraigan datos reservados o destruyan archivos, sino que es crucial para descubrir fracturas que no son detectables por los programas de software de verificación de seguridad digital.

 

Un ejemplo práctico: pen tests para proteger datos financieros

Uno de los estándares de mejores prácticas que incluyen los pen tests como mecanismo de evaluación de seguridad informática es el Payment Card Industry Data Security Standard (PCI DSS), que provee pautas corporativas a las multinacionales de servicios financieros de tarjetas de crédito más grandes del mundo, incluidas Visa, MasterCard, American Express, Discover y JCB.

El estándar fue creado para incrementar los controles de protección de la información de los tarjetahabientes y así lograr reducir los fraudes que involucran la exposición de dichos datos. La verificación del cumplimiento de las prácticas recomendadas del PSI debe realizarse cada año y dentro de esta evaluación se debe incluir al menos un pen test que debe ser ejecutado por un asesor externo calificado (Qualified Security Assessor – QSA en inglés) que es un funcionario capacitado en seguridad cibernética para entidades financieras y designado por el  consejo de Payment Industry Security Standars, el máximo organismo encargado del estándar.

Estos pen tests no pueden confundirse con las verificaciones de seguridad de los sistemas, pues estos sólo referencian un primer grupo de falencias que no necesariamente son las mismas que se pueden detectar a través de un ataque cibernético. A diferencia de los informes de vulnerabilidad, los exámenes de penetración incluyen dos fases: la externa, que consiste en poder vulnerar la entrada al sistema, y la interna, que incluye la puesta a prueba de aplicaciones y redes desde adentro del propio sistema.

 

¿Hackers buenos y malos?

No todos los piratas informáticos tienen las mismas capacidades ni todos se comportan de la misma manera en el mundo digital. Aunque según el Instituto Interregional de las Naciones Unidas para la Investigación de la Delincuencia y la Justicia (Unicri, por su nombre en inglés), existen varios tipos de piratas digitales, las dos grandes categorías son los hackers y los crackers.

 

 

Hackers (de sombrero blanco): Utilizan sus conocimientos para detectar fallas en los sistemas de seguridad para luego proceder a notificarlos y perfeccionarlos. Estas personas diseñan y desarrollan aplicaciones de protección a sistemas operativos, crean antivirus y realizan pruebas de fallas de seguridad. Aunque posiblemente también crean algunos virus, la finalidad es la de encontrar el punto débil de los sistemas y así hacerlos mas seguros.

 

Crackers (de sombrero negro): Actúan con fines dañinos, como destruir archivos, inutilizar sistemas, intrusión de redes, acceso ilegal a sistemas gubernamentales, robo de información, distribuir material ilegal o moralmente inaceptable, piratería, fabricación de virus, y pueden promover el terrorismo a través de la distribución de manuales para fabricar elementos explosivos o armas caseras. Algunas veces trabajan con la intención de lograr reconocimiento personal.

 

Los ataques informáticos realizados por expertos son muy sofisticados y no es mucho lo que las personas sin formación pueden realizar para protegerse. La primera advertencia es que si los individuos no conocen de estas técnicas de defensa, no procedan a realizar estrategias de protección improvisadas, pues esto abriría las puertas a que crackers roben  información e incluso utilicen el sistema, sin ser detectados, para sus propios intereses.

Según estadísticas del Instituto Interregional de Investigación de Crimen y Justicia de las Naciones Unidas  (Unicri por su nombre en inglés) en América Latina cuatro de cada diez computadores está o ha sido vulnerado por piratas informáticos y en muchos casos el usuario ni siquiera se entera de que su computador fue hackeado y que es utilizado de forma silenciosa por delincuentes digitales.

Aunque el crimen digital evoluciona, por lo que cada vez los mecanismos de ataque son más retorcidos y difíciles de combatir, sí vale la pena protegerse, pues no se debe perder de vista que en la red no hay nada oculto. 

 

 

Quizá le puede interesar:

Lo que debe saber sobre el cibercrimen en Colombia

¿Qué hacer antes, durante y después de un ataque informático?