La otra cara del hackeo

#EnPortada

El incremento de la inseguridad ha sobrepasado la realidad física. Cada vez corremos más riesgos de ser víctimas de algún crimen cibernético; es decir, delitos (robo, hurto, fraude, falsificación, sabotaje o estafa) que se cometen al utilizar un equipo de cómputo, una red o algún otro tipo de hardware y software.

Las intromisiones a los sistemas o redes de datos, perpetrados a personas, empresas u organizaciones, han provocado graves consecuencias como la pérdida de exorbitantes cantidades de dinero. Es por eso que, frente a este panorama, han surgido medidas para reforzar y evaluar la seguridad informática de cualquier sistema tecnológico. Una de estas es el hacking ético.

Esta actividad, por lo general, la llevan a cabo hackers que en algún momento de su carrera vulneraron a importantes empresas o instituciones de gobierno pero que, luego de esas y otras actividades consideradas ilegales, incluso fueron contratados por esas mismas organizaciones. Así, estos especialistas ahora trabajan para mejorar la seguridad de las empresas y gobiernos que los contratan.

El hacking no es necesariamente una actividad maliciosa, sino que consiste en intentar utilizar un sistema de manera “diferente” que aquella para la cual fue diseñado. “Si yo quisiera utilizar mi teléfono para hacer llamadas por Wi-Fi, pero el dispositivo no fue diseñado para eso, entonces un hacker utilizará su conocimiento técnico para que el dispositivo haga cosas diferentes a su función original”, expone Luiz dos Santos, director Técnico en América Latina de la empresa de ciberseguridad FireEye.

Sin embargo, para proteger la información de los hackers mal intencionados se requiere del hacking ético, el cual, según el texto “¿Qué es el Ethical Hacker?” de Alejandro Reyes Plata, ingeniero que ha trabajado en la Subdirección de Seguridad de la Información UNAM/CERT, es una disciplina de la seguridad informática que implementa un conjunto de sistemas y herramientas para realizar pruebas de seguridad.

Al respecto, la ingeniera Anaid Guevara Soriano manifiesta, en su texto “Hacking ético: mitos y realidades”, que esta actividad se define como el “arte” de comprobar las vulnerabilidades de seguridad existentes en los sistemas de empresas o instituciones, para que posteriormente se realice un informe detallado que revele los problemas.

Dos Santos explica que, a causa de la actividad de programadores maliciosos, es que las compañías contratan servicios de hacking ético; es decir, para saber exactamente cómo están sus defensas frente a posibles ataques y para reparar posibles fallas. Agrega que las compañías que tienen cierta madurez en seguridad no lo hacen solo una vez, sino varias ocasiones al año.

Además, el director de FireEye señala que existen diferentes maneras de hacerlo: “Por ejemplo, hay compañías que tienen su propio equipo interno que realizan pruebas, obviamente, sin causar un daño a la red. Pero la idea es que haya dos equipos: uno que se encarga de hacer hackeos y el otro se encarga de la parte de detección de los ataques. A veces los departamentos de seguridad de las empresas no saben si es un verdadero hackeo o una simulación de hacking ético”.

Pruebas de seguridad. Existen diferentes tipos de hacking ético. El más común es la prueba de penetración (Penetration Testing). El director de seguridad de la empresa tecnológica BT en América Latina, Alexis Aguirre, ejemplifica con el caso de un banco estadounidense que contrató a BT para que esta firma buscara alguna brecha de seguridad y tratara de entrar al sistema para ver si se estaban protegiendo de la manera adecuada.

Otro caso de hacking ético es el Wireless Scanner (redes Wi-Fi o inalámbricas). Estas pruebas sirven para saber cuán seguras son sus redes, por lo que los profesionales de la programación utilizan todos los softwares que usualmente son empleados por los hackers para tener acceso e intentar vulnerar las contraseñas.

También está la revisión de código, pues existen muchas empresas que crean aplicaciones con lenguajes como C o Java y contratan a otras organizaciones especializadas para hacer una revisión del código, es decir, analizar todos los comandos de una app escrita en un lenguaje común para ver si tiene un tipo de vulnerabilidad en la cual sería posible insertar un código malicioso.

Otro tipo de hacking ético de rápido crecimiento se encuentra dentro de la industria automotriz y en el cual se analiza la exposición de “vehículos conectados” a los ciberataques. Estos autos son vulnerables ya que dependen de diversas opciones de conectividad entre las que se encuentran los enlaces de datos Wi-Fi, 4G, entre otros.

Finalmente, los expertos consideran que cualquier tipo de industria tiene la necesidad de probar con el hacking ético la seguridad de sus sistemas o máquinas. Sin embargo, destacan que el principal sector que requiere estos servicios es el financiero, pues la mayoría de los hackers tienen como objetivo el robar dinero e información personal (base de datos) de los clientes.

¿Qué son estos expertos informáticos?

Los especialistas coinciden en que los hackers éticos son profesionales de la seguridad que aplican sus conocimientos con fines defensivos y legales. Luiz dos Santos, de FireEye, declara que son profesionales con un conocimiento muy técnico y profundo en distintas áreas, por ejemplo, son expertos en redes o en aplicaciones. “Si una empresa quiere un canal de e-commerce (método de compra venta de bienes, productos o servicios de manera online) para alguna tienda virtual, hará un prueba de intrusión previa a su lanzamiento al público. Estas personas conocen las mismas técnicas y herramientas que un atacante malicioso”.

Así, el trabajo de estos “hackers con causa” es legal y cuenta con el total permiso del dueño de la red o de los sistemas que han sido hackeados para hacer su trabajo; es decir, para hacer pruebas de penetración acerca de cuán seguros son.

Clasificación de hackers

De sombrero blanco

Se refiere a los profesionales de seguridad que no son criminales y que conocen todo sobre equipos de cómputo y diferentes sistemas operativos. Tienen amplio conocimiento de cómo hacer pruebas de penetración. En esta clasificación se encuentran los hackers éticos.

De sombrero negro

Se trata de quienes tienen motivos para (o les gusta) causar daño, además de que utilizan sistemas informáticos sin el permiso de los creadores. Normalmente sus intenciones son el borrar o robar información y realizar todo tipo de actividades ilegales, muchas veces con fines económicos.

Activistas

Son quienes tienen motivaciones políticas. Por ejemplo, en los Juegos Olímpicos de Río 2016 se recibieron notificaciones de que el grupo llamado Anonymous compartió herramientas para atacar a los sitios oficiales de las Olimpiadas y de los patrocinadores porque no estaban de acuerdo, por razones político-económicas, con que se realizara ese evento en aquel país.

Patrocinados por el gobierno

Normalmente algunos gobiernos tienen interés por saber qué está pasando en otras naciones o qué hacen ciertas personas. Entonces, estos hackers extraen información para revelar informaciones de negocios, guerras, armas, acciones militares y todo tipo de datos de interés.

Terroristas

Se les considera los delincuentes cibernéticos más dañinos porque están motivados por cuestiones de religión o por actores políticos radicales. Su principal interés no es robar o borrar datos sino causar caos. Lo cual, en casos extremos, puede incluir la muerte de quien no está de acuerdo con su ideología.

Hackers que fueron contratados por empresas después de vulnerar su seguridad

John Draper (Alías Captain Crunch).

Es el creador de la primera caja azul (bluebox), la cual es un electrónico que sirve para realizar hacking telefónico. El tono básico y más famoso de esto es un silbido que fue emitido por Draper con un silbato que venía de regalo en las cajas de cereales. Este hacker fue arrestado, en 1972, acusado de fraude por parte de las compañías telefónicas. A mediados de los sesenta conoció a Steve Jobs y luego fue contratado por Apple.

Kevin Mitnick (Alías Condor o The darkside hacker).

Es uno de los hackers estadounidenses más famosos. A los 16 años inició su carrera al romper la seguridad del sistema administrativo de su colegio. En 1982 logró entrar ilegalmente a la computadora del North American Air Defense Command. Después trató de acceder a la computadora del Pentágono, por lo que fue sentenciado a medio año en prisión. Actualmente es asesor en ciberseguridad.

Robert Tappan Morris (Creador del gusano de Internet).

El caso de Tappan es de los más antiguos pues, en 1988, liberó (mientras estudiaba la universidad, el Morris Worm) un virus de gusano que provocaba brechas de seguridad. Este virus afectó a seis mil ordenadores, que en ese entonces representaban el 10% a nivel global, lo cual le causó una condena en prisión y una multa de 10 mil dólares. Tiempo después se convirtió en profesor del Massachussets Institute of Technology.

Sean Parker

(Creador de Napster). En 1998 se enfrentó con las discográficas debido a que fundó el primer servicio global que permitía descargar y compartir archivos de música sin ningún intermediario y de manera gratuita, lo cual preocupó a los músicos y a las promotoras. En 2011 Napster tuvo que cerrar por problemas legales, además de pagar 26 millones de dólares y 10 millones por futuras licencias. Luego, Parker se convirtió en cofundador y primer presidente de Facebook.

Jeff Moss (Alias The Dark Tangent).

Fundó la mayor conferencia de hacking en el mundo llamada DefCon, así como Black Hat, una empresa que ofrece conferencias y entrenamiento a los encargados de la seguridad. En 2009 Moss se convirtió en asesor de Barack Obama para el Consejo Asesor de Seguridad Nacional y en el mismo año comenzó a trabajar como Jefe de Seguridad de la Corporación de Internet para la Asignación de Nombres y Números (ICANN ).

Owen Thor Walkier.

A los 16 años enfrentó un juicio por haber admitido ser el líder de un grupo internacional de hackers que causaron una estafa de más de 20 millones de dólares. Atacaron 1.3 millones de ordenadores robando información de algunos o dejando inservibles los sistemas de otros. En 2008 fue contratado por la empresa TelstraClear. Ahora, se desempeña como consultor de seguridad.

Steve Kondik (Alías Cyanogen)

Este sujeto fue uno de los creadores del software llamado CyanogenMod: la versión de root de Android más conocida y distribuida, porque permite el acceso total con credenciales de administrador a las funcionalidades del dispositivo móvil (aunque hacía perder la garantía del celular). Después de esto fue contratado para trabajar con los desarrolladores de la interfaz Sense de Samsung.

George Hotz(Alias GeoHot).

Entre los logros de este programador está el que a sus 17 años logró desbloquear el iPhone para permitir que el dispositivo fuera utilizado con otras compañías de telefonía celular (a diferencia de la intención que Apple tenía de proveer a sus clientes solo el uso de la red de AT&T). En 2010, hackeó la PlayStation3 para permitir la instalación de Linux. Un año después Facebook lo contrató.

Nicholas Allegra (Alias Comex)

Este joven originario de Nueva York creó el código JailbreakMe, el cual permite al usuario instalar sus propias aplicaciones en los dispositivos de Apple, sin necesidad de entrar a la App Store. Como este software también hace posible que otros desarrolladores puedan entrar al sistema operativo iOScon malas intenciones, Apple contrató a Allegra para pasar a ser uno de sus expertos en seguridad.