:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/35MRHJ4LIBHLBILXORWAHTR6LE.jpg)
Licencia para delinquir
Conozca a los hackers éticos, la otra cara los delincuentes
Cuando usted no puede con sus enemigos, dicen que debe unirse a ellos. Varias empresas contratan 'hackers' para defenderse de ataques. Le mostramos de qué se trata esta tendencia.
30 de enero de 2014
Encuentra aquí lo último en Semana
Todo el día, todos los días, cualquiera que esté conectado a internet puede estar siendo atacado.
Los mecanismos de defensa como programas antivirus, firewalls, filtros de correo no deseado o detectores de intrusión son capaces de bloquear la mayoría de estos ataques, sean a una computadora o una base de datos.
Pero cada tanto algún ataque logra su objetivo, y se están volviendo cada vez más sofisticados.
Son esos en que los "chicos malos" se preparan bien y consiguen que los mensajes parezcan venir de compañeros de trabajo, o citan nombres, incidentes o números de identificación, que sólo alguien cercano conocería.
También están esos otros ataques que aprovechan vulnerabilidades en algún software, como un navegador, para robar datos de acceso y usarlos para entrar en redes corporativas.
Con licencia para atacar
Este es el mundo en el que se mueven los evaluadores de intrusiones.
"Nos pagan por reproducir los mismos tipos de ataques que usan los chicos malos, los cibercriminales", dijo John Yeo, jefe para Europa del departamento de evaluación de intrusiones de Trustwave SpiderLabs, que realiza cientos de pruebas de este tipo cada año.
Los evaluadores de intrusiones son hackers éticos quienes, como sugiere su nombre, intentan hallar formas de penetrar las defensas de una compañía y ver si esas defensas son capaces de repeler los ataques más sofisticados.
Como en la vida real
Sea cual sea el motivo que lleva a evaluar a una empresa, la experiencia de pasar por ello es la que marca la diferencia, dijo Yeo.
Las emociones que atraviesan las personas al descubrir que han sido engañadas puede ser un poderoso motor para asegurarse de que no les vuelva a pasar.
Una empresa estará más segura sólo si sus empleados aprenden esas lecciones
"Es muy difícil que los usuarios y los empleados alcancen de otro modo el nivel de conciencia necesario, la educación, que les permita mantenerse seguros", dijo.
El elemento de la vida real de las pruebas de intrusión es el que logra convertir un truco maligno en algo positivo.
Al fin y al cabo, es difícil justificar el intentar exponer las deficiencias de seguridad de una compañía utilizando las técnicas existentes más sofisticadas.
Eso se vuelve más claro al entender cuántas de esas pruebas de penetración son exitosas.
Estos hábiles especialistas en seguridad, también llamados "hackers de sombrero blanco", ocupan un rol necesario debido al incremento en ciberladrones que no utilizan técnicas de correo no deseado, virus u otras estrategias más tradicionales.
Ellos ponen gran empeño, y destinan recursos y capacidad técnica a su tarea.
Muchos ejecutan tareas de reconocimiento en redes sociales con LinkedIn, hacen rebotar correos en la cuenta de un objetivo para entender mejor cómo operan o realizan algunas
llamadas telefónicas con la esperanza de conseguir algo de información útil. Cuando lo consiguen, con sólo enviar un mensaje a un puñado de altos ejecutivos logran obtener grandes beneficios.
"No se trata de quinceañeros haciéndolo desde sus cuartos", dijo Mathias Elvang, jefe de la compañía de seguridad, que también pasa gran tiempo intentando infiltrar redes corporativas.
"Es un gran negocio", agregó.
La posibilidad de obtener grandes beneficios es lo que hace que los atacantes sigan adelante, dijo. Eso es lo que los lleva a dedicar tanto tiempo y cuidado a la hora de elegir los métodos que utilizan.
Los mecanismos de defensa como programas antivirus, firewalls, filtros de correo no deseado o detectores de intrusión son capaces de bloquear la mayoría de estos ataques, sean a una computadora o una base de datos.
Pero cada tanto algún ataque logra su objetivo, y se están volviendo cada vez más sofisticados.
Son esos en que los "chicos malos" se preparan bien y consiguen que los mensajes parezcan venir de compañeros de trabajo, o citan nombres, incidentes o números de identificación, que sólo alguien cercano conocería.
También están esos otros ataques que aprovechan vulnerabilidades en algún software, como un navegador, para robar datos de acceso y usarlos para entrar en redes corporativas.
Con licencia para atacar
Este es el mundo en el que se mueven los evaluadores de intrusiones.
"Nos pagan por reproducir los mismos tipos de ataques que usan los chicos malos, los cibercriminales", dijo John Yeo, jefe para Europa del departamento de evaluación de intrusiones de Trustwave SpiderLabs, que realiza cientos de pruebas de este tipo cada año.
Los evaluadores de intrusiones son hackers éticos quienes, como sugiere su nombre, intentan hallar formas de penetrar las defensas de una compañía y ver si esas defensas son capaces de repeler los ataques más sofisticados.
Como en la vida real
Sea cual sea el motivo que lleva a evaluar a una empresa, la experiencia de pasar por ello es la que marca la diferencia, dijo Yeo.
Las emociones que atraviesan las personas al descubrir que han sido engañadas puede ser un poderoso motor para asegurarse de que no les vuelva a pasar.
Una empresa estará más segura sólo si sus empleados aprenden esas lecciones
"Es muy difícil que los usuarios y los empleados alcancen de otro modo el nivel de conciencia necesario, la educación, que les permita mantenerse seguros", dijo.
El elemento de la vida real de las pruebas de intrusión es el que logra convertir un truco maligno en algo positivo.
Al fin y al cabo, es difícil justificar el intentar exponer las deficiencias de seguridad de una compañía utilizando las técnicas existentes más sofisticadas.
Eso se vuelve más claro al entender cuántas de esas pruebas de penetración son exitosas.
Estos hábiles especialistas en seguridad, también llamados "hackers de sombrero blanco", ocupan un rol necesario debido al incremento en ciberladrones que no utilizan técnicas de correo no deseado, virus u otras estrategias más tradicionales.
Ellos ponen gran empeño, y destinan recursos y capacidad técnica a su tarea.
Muchos ejecutan tareas de reconocimiento en redes sociales con LinkedIn, hacen rebotar correos en la cuenta de un objetivo para entender mejor cómo operan o realizan algunas
llamadas telefónicas con la esperanza de conseguir algo de información útil. Cuando lo consiguen, con sólo enviar un mensaje a un puñado de altos ejecutivos logran obtener grandes beneficios.
"No se trata de quinceañeros haciéndolo desde sus cuartos", dijo Mathias Elvang, jefe de la compañía de seguridad, que también pasa gran tiempo intentando infiltrar redes corporativas.
"Es un gran negocio", agregó.
La posibilidad de obtener grandes beneficios es lo que hace que los atacantes sigan adelante, dijo. Eso es lo que los lleva a dedicar tanto tiempo y cuidado a la hora de elegir los métodos que utilizan.
Descarga la app de Semana noticias disponible en:
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/5IS2QKF33BFB7K467JXJKJ52TU.jpg){kind=small}
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/CO2RWT5IKVAQTCFRKEXC4I3NHI.jpg){kind=small}
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/EOYUNKPXHNFGFFMFTRVVNGPDFA.jpg){kind=small}
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/2VDZ67ODBZGETKRJW45RIXVVPA.jpg){kind=small}
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/WSVNIQRWXRE3PD76SXGAFDOG7I.jpg){kind=small}
:quality(80)/cloudfront-us-east-1.images.arcpublishing.com/semana/G6RO3Y6HCBBSTOAN7UIBS7U5TI.jpg){kind=small}