martes, 1 de diciembre de 2015

Seguridad Informática desde la perspectiva de un Hacker Ético

La mayoría de los que somos del área informática sabemos que el término hacker es con frecuencias distorsionado, asociándolo con actividades delictivas.



En el campo de la seguridad informática existen diferentes clasificaciones de hackers, una de las más aceptadas es la siguiente: Black Hat (Chicos malos), Gray Hat (malos o buenos según les convenga) y los White Hat (Chicos buenos) o Hackers Éticos.



Los Hackers Éticos son expertos contratados para apoyar a las organizaciones y gobiernos para mantener a salvo su infraestructura tecnológica. Los Hackers Éticos tienen la tarea de proteger a los ciudadanos de las actividades de los ciberdelincuentes o hackers maliciosos.


Lifehacker entrevistó a un Hacker Ético, para aprender sobre las tácticas y estrategias más eficaces para protegerse de los ciberdelincuentes o hackers Black Hat. Aquí un extracto de dicha entrevista.

¿Qué piensas cuando la gente te llama Hacker Ético?
No sé la verdad. Suena tosco, pero el término (por lo distorsionado que está) también implica que estoy por encima de la ley y que hago mis propias reglas, lo cual no es cierto. Hay reglas claras de lo que puedo y no puedo hacer, y sería muy imprudente para mí para romper esas reglas, podría terminar en la cárcel, y desde luego perder mi trabajo.

¿Qué tipo de actividades realizas y cómo fueron tus inicios?
Mi trabajo es encontrar agujeros de seguridad en aplicaciones e informar a los desarrolladores, junto con sugerencias sobre cómo solucionarlos. Me inicié durante mis años de adolescencia, aprendiendo programación y leyendo artículos de hacking.
Para ser un hacker ético es necesario tener un buen conocimiento software y protocolos que se utilizan, entre otros. Una vez que gano acceso a un sistema, que es lo que por lo general realizo, paso posterior, explico con detalle cómo conseguí el acceso, y lo que este acceso permitiría que haga.
No puedo dejar de pensar en la seguridad cuando navego por la web. Hay tantas cosas que se están haciendo mal, y en la mayoría de ocasiones el usuario está desprevenido.

hacker etico carrera


¿Cuál de mis cuentas trataría de vulnerar un hacker, por qué y cómo?
La mayoría de los hackers (ciberdelincuentes) están motivados por el dinero. Lo más probable es que lo que intenten hackear es tu cuenta de banco online, robar el número de tu tarjeta de crédito u otras cuentas de pago. Un tipo de malware conocido como “ransomware” esta tomando mucho auge. El Ransomware es un tipo de malware que cifra tus archivos, lo que impide el acceso a ellos hasta que pagues a los hackers para que te los liberen.

Pero, los hackers también podrían tener motivaciones políticas o personales.


¿Cuáles son las formas más comunes de hacking?
Los más común es que un ciberdelincuente infecte tu computadora con malware, después de eso lo más probable es que la víctima pierda el control de sus cuentas online. Con esto podrían tener acceso a todo: datos, comunicaciones, finanzas, entre otros.
Existen muchas maneras de cómo podría suceder. La más común sería que visites un sitio web comprometido y sin querer descargues software malicioso. Esto puede ocurrir a través de los agujeros de seguridad ampliamente conocidos en versiones no actualizadas del navegador, o plugins PDF y Flash. Es por eso que es tan importante siempre mantener actualizado el ordenador.

El malware también puede venir junto con otro software, como en una aplicación de intercambio de archivos. Recomiendo a las personas instalar software sólo de fuentes de confianza, y verificar el software descargado de terceros. En algunos casos más sofisticados el malware puede enviarse directamente al objetivo en un archivo adjunto, o almacenarlo en una memoria USB y dejarla afuera de su casa u su oficina, de ahí que nunca se debe conectar dispositivos extraños a la computadora.

Una vez un malware se instala en tu computadora los efectos pueden ser catastróficos. Con bastante frecuencia, el malware simplemente cifrar toda la unidad de almacenamiento del ordenador, y sólo te dará acceso de nuevo a los datos después de haber pagado un rescate considerable.

Otro objetivo muy común de los ciberdelincuentes son las cuentas de redes sociales, sobre todo si obtienen el correo electrónico que las personas utilizan para registrarse en Facebook.
Existen otros tipos de ataques más específicos en los cuales hacen uso de Phishing.
Hay dos maneras sencillas de poder protegerse, instalar un gestor de contraseñas y habilitar la autenticación de dos factores. Además, nunca inicies sesión en tus cuentas online en una computadora publica o de otra persona y si lo haces, asegúrate de cerrar la sesión.

¿Cómo una persona se puede dar cuenta que ha sido hackeado? ¿Qué debe hacer en ese momento?
Si recibes mensajes de correo electrónico de un pronto restablecimiento de contraseña o códigos de autenticación 2FA que no han sido requeridos se debe estar inmediatamente en alerta. Sitios como Google y Facebook también permiten revisar los inicios de sesión previos y desactivar las sesiones de forma remota, en caso de que usted se olvidó de cerrar la sesión en algún lugar.
Si piensas que has sido hackeado lo primero que debes hacer es cambiar las contraseñas, no utilices la misma contraseña dos veces y utiliza un gestor de contraseñas para generar contraseñas seguras.
Además es importante escanear tu computadora para buscar malware.

¿Cómo Hacker Ético, que recomendaciones darías para que las personas reduzcan la posibilidad de ser atacados?
Esta no es una lista infalible, pero si se pone en práctica, reduce la posibilidad de ser hackeado:

* Nunca hagas clic en enlaces en correos electrónicos e ingresar datos como su nombre de usuario o contraseña en el sitio web. En su lugar, es mejor escribir la dirección URL manualmente o usar un marcador.

* Utiliza una VPN cuando utilice WiFi público. La gente a veces se sienta en los cafés a “sniffear”

* No utilice software pirata, con frecuencia trae malware consigo.

* Desactiva la reproducción automática de CD-ROM.

* Cuando estés subiendo archivos a Dropbox o Google Drive, cifra los archivos y carpetas con PGP o Veracrypt.

* Si un sitio ofrece autenticación de dos factores, has uso de ello.

La entrevista fue realizada por Arthur Baxter. Analista de Operaciones de Red en ExpressVPN. 


¿Qué opinas sobre las declaraciones de este Hacker Ético?

2 comentarios:

  1. es bien interesante :D lo que opina un hacker etico a mi me llama la atencion bastante la seguridad informatica... de hecho he hecho los dos primeros CCNA de cisco pero una pregunta...

    que recomendaciones me darias para iniciar en este campo :) saludos y excelente articulo.

    ResponderEliminar
    Respuestas
    1. Antes que nada quiero aclararte que no soy un hacker(soy Ingeniero en Sistemas con especialidad en Seguridad informática), pero si puedo darte un par de consejos, aparte de lo que ya sabes de redes, debes saber programación, al menos un par de lenguajes, debes saber sobre sistemas operativos, assembler y tambien conocer ingeniería social. ¡Saludos Ezequiel!

      Eliminar

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.