| 3/1/2006 12:00:00 AM

Hacker mate

Su red les plantea a los atacantes desde internet un reto en el que ellos quieren poner en jaque a su empresa. Jugar con sus reglas y aprender sus movidas es el objetivo del hacking ético.

Dos frases célebres y un caso de película. "Consulta el ojo de tu enemigo, porque es el primero que ve tus defectos", aconsejó el filósofo griego Antístenes. "Es vital conocer al enemigo, qué hace y cómo actúa cada una de sus unidades; así nunca serás sorprendido", recomienda Sun Tzu en su inmortal Arte de la guerra. Para muchos es memorable el nombre de Frank Abagnale, Jr., el famoso timador y suplantador que recorrió medio mundo como piloto, abogado o incluso médico y que fue inmortalizado en la película Atrápame, si puedes, dirigida por Steven Spielberg y protagonizada por Leonardo di Caprio. Finalmente, este genio del engaño fue atrapado por el FBI y terminó ayudándole a capturar a otros timadores. Pasó de ratón a gato que sabía bien dónde y cómo salían los roedores.

Estos ejemplos demuestran la necesidad de saber dónde, cuándo, por qué y cómo atacará el enemigo. En seguridad informática, como en toda batalla, este conocimiento es la diferencia entre la victoria y el desastre. Millones de empresas alrededor del mundo están cada vez más conscientes de que no existe una defensa totalmente efectiva contra un ataque desde internet. Virus y gusanos que paseen por ella pueden ser detectados; pero los hackers, no. Ellos se encargan de que nada en internet sea una barrera para sus intereses, que van desde un rato de destructivo esparcimiento hasta un negocio redondo de extorsión.

Sin saberlo, muchas compañías aseguran bien las ventanas, la puerta principal, las claraboyas y los portones del garaje en la red de su empresa, pero resulta que el buzón de correo o incluso la canal de aguas lluvias -que parecían muy pequeñas para la entrada de un ladrón- son suficientes para realizar un saqueo. "Con solo la dirección URL de la página web de una empresa, se puede iniciar un proceso de espionaje que permita acceso a áreas estratégicas de la empresa, como las bases de datos principales", comentó a Dinero un hacker que ahora trabaja del otro lado de la línea. Ahora es un gato en la red. "El ataque de un hacker profesional no se detiene ante sistemas de seguridad convencionales; ellos también son blanco. Es como descifrar la clave de una bóveda y luego la de las cajas fuertes. Primero se burlan los encriptadores de claves y luego los accesos a los sistemas clave de la empresa víctima", continúa en su relato. "El reto es emocionante. Incluso, los mensajes de error por algún fallo en el intento de acceder a un lugar restringido dan información para descubrir la ruta precisa hacia la información. Muchas veces es como un juego de ajedrez, pues cada movimiento del hacker es una respuesta a uno del sistema que por experiencia ha aprendido a contrarrestarlo", concluye.

El otro lado del tablero De seguro, la pregunta que queda luego de leer lo anterior es ¿cómo saber qué dejé abierto para que entre el enemigo?, enemigo que puede ser cualquiera con un poco de conocimientos de navegación y programación, y cuya metodología es aprender de las pistas que su estructura de red deja sueltas y lo llevan a las 'puertas' adecuadas.

Tomando en cuenta las frases célebres y el caso citados, quien puede ayudarle es un hacker. Sí, uno que su empresa contrate y que como un asaltante anónimo, ataque la red de su empresa hasta desnudar cada uno de sus flancos débiles. Esta práctica de ataque concertado es conocida como hacking ético (ethical hacking).

"Esta práctica se ha convertido en una buena herramienta de diagnóstico para conocer los riesgos que corre una empresa en su configuración y estructura de red", asegura Néstor Díaz, gerente de desarrollo de negocios de seguridad de CA para la región andina. "No es una herramienta de seguridad en sí misma, es parte de un paquete, en la que fundamenta la estrategia a seguir para cerrarles las puertas a los atacantes", explica.

"No es algo novedoso. En realidad, desde hace varios años, viene siendo usado en el mundo para analizar y conocer realmente las fallas en la construcción de las redes empresariales. En el país, las primeras prácticas de hacking ético se hicieron en el sistema financiero. Hoy es común en ese sector, además de extenderse al sector gobierno. Claro que aún no se tiene como parte integral de la estrategia de seguridad; de hecho, solo se realiza para cumplir exigencias de auditoría", expone Jorge Arango, gerente de soluciones de seguridad de Getronics.

En principio, el hacking ético es una práctica realizada por hackers expertos que trabajan del lado de la fuerza (jerga jedi), y ponen al servicio de las empresas sus conocimientos para encontrar sus vulnerabilidades. Es un servicio que varias empresas proveedoras de tecnología prestan en el país y que tiene tarifas para toda clase de bolsillo. Sin embargo, es recomendable para empresas con grandes redes, que realmente necesiten un diagnóstico especializado para conocer sus debilidades.

Lo importante de este sistema es que actúa con las mismas armas y movimientos con los que atacaría un hacker del lado oscuro de la fuerza (jerga jedi), por lo que sus resultados son valiosos. Se debe tener en cuenta que por esta misma razón, es indispensable que la empresa que lo realice sea confiable, con experiencia en hacking ético y seguridad informática. Además, no es recomendable que los test de penetración que practique sean sorpresivos, lo mejor es concertarlos.

"No es una práctica inocua, por lo cual es bueno que los responsables de seguridad de la empresa sepan en todo momento, cuándo y qué va a pasar", recomienda Díaz, de CA.

El hacking ético conjuga la habilidad y experiencia de un asaltante con la pericia y conocimiento de un consultor, para que al final quien quede en jaque no sea su red y con ella, la empresa, sino que desde la apertura del juego, el hacker atacante sepa que solo le espera el mate.
¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?