Hoy, con tan sólo hacer una búsqueda en Internet de la palabra “hacking”, se encontrarán miles de documentos e información que podrían convertir a cualquier persona en un potencial “hacker”.

Si el beneficio que persiguen los autores es económico, existirá una mayor exposición en aquellas empresas que dan servicios transaccionales por Internet a clientes, proveedores o empleados, dado que a través de estas transacciones existe una mayor probabilidad de defraudar a las compañías.

¿Qué es el “hacking ético”? “Es una práctica que tiene como objetivo identificar el grado de exposición a las amenazas y vulnerabilidades de la infraestructura tecnológica que soporta la provisión de servicios a clientes, proveedores y empleados; y que sirve de base a las operaciones de las compañías”, definió ante iProfesional Gabriel Zurdo, CEO de BTR Consulting, una consultora en seguridad informática.

La infraestructura tecnológica abarca un amplio espectro de servicios, como por ejemplo: 

* Sitios web.

* Correo electrónico.

* Sistemas transaccionales.

* Bases de datos.

* Conexiones inalámbricas.

* Teléfonos móviles inteligentes.

* Redes de comunicaciones.

* Sistemas operativos.

Como parte de la práctica, se intenta identificar la exposición que podría permitir alguna de las siguientes acciones, enumeradas por Zurdo:

* Ejecución no autorizada de transacciones de negocio con fines fraudulentos.

* Cambios en el contenido de las páginas Web que puedan afectar la imagen y credibilidad de la compañía.

* Robo de identidades para defraudar o comprometer a la empresa.

* Usuarios no autorizados con atributos para acceder, crear o borrar información.

* Excesiva información disponible a usuarios no autorizados sobre la infraestructura tecnológica.

* Usuarios anónimos con posibilidades de sobrecargar sistemas o denegar el servicio al resto de los usuarios.

* Robo de contraseñas.

* Violación de la privacidad de los empleados.

Esta práctica informática consiste en asumir la posición de “hackers éticos”: con herramientas públicas y comerciales se intenta vulnerar los sistemas de seguridad implementados en las compañías para obtener el control de los distintos dispositivos de la red. 

Estos dispositivos pueden contener información sensible y estratégica de la empresa, lo que hace más crítico el acceso inadvertido a ellos. 

A partir de esto, se realizan recomendaciones para mejorar las condiciones de seguridad y construir una arquitectura informática segura, y que considere un acompañamiento permanente de la evolución de sus recursos informáticos y las nuevas amenazas. 

Los intentos de intrusión pueden ser realizadas a través de la red interna o bien desde Internet, accesos remotos o redes inalámbricas.

Trofeos informáticos

“Como resultado de la práctica de ‘hacking ético’, se intentan obtener ‘trofeos’ como prueba de la intrusión lograda. Estos trofeos pueden ser definidos por las compañías y ser tomados como objetivo de la intrusión”, señaló Zurdo. 

Algunos de estas "copas" que usualmente se pueden conseguir son los siguientes:

* Acceso a ejecución de transacciones críticas, teniendo la posibilidad de crearlas, modificarlas o eliminarlas. Alguno de los sistemas que pueden ser accedidos son los sistemas contables, de recursos humanos, comerciales, de producción, etc.

* Accesos a los servicios de correo electrónico.

* Intercepción de videoconferencias o llamados telefónicos en plataforma de voz sobre IP.

* Bases de datos confidenciales que pueden tener datos de personas, tarjetas de crédito, formulas de productos, etc,

* Nómina de personal.

* Modificación de páginas web.

* Documentación confidencial de la compañía.

* Acceso a la infraestructura técnica con usuarios administradores que cuentan con amplios atributos de acceso y administración.

“Todas las empresas están expuestas a recibir intentos de intrusión, es por eso que todas deberían tener una práctica de hacking ético periódico”, afirmó Zurdo. 

El CEO de BTR Consulting recordó que “los hackers no siempre persiguen un beneficio económico de sus acciones”.

Por ejemplo, los intentos de intrusión podrían afectar la imagen, las finanzas y la disponibilidad del servicio de las empresas.

También se debe tener presente que el rol de “hacker” no sólo lo toman aquellas personas que están sentadas en un lugar blindado con computadoras y dispositivos sofisticados, infiltrándose en las redes con seudónimos, crackeando códigos criptográficos y contraseñas por todo el mundo.

Según Zurdo, los “hackers” también pueden ser:

* Espías comerciales.

* Competidores.

* Empleados o ex empleados.

* Delincuentes profesionales.

* Terroristas.

“La práctica de ‘hacking ético’ se ha convertido en una herramienta fundamental  para  el mejoramiento y mantenimiento de un alto nivel de seguridad  en las organizaciones. El mundo actual nos presenta enormes desafíos y oportunidades para transformar los peligros en una ventaja competitiva”, concluyó el especialista.