Índice
Reputación plata
Reputación Oro
Todo el día, todos los días,
cualquiera que esté conectado
a internet puede estar siendo
atacado.
Los mecanismos de defensa como
programas antivirus, firewalls,
filtros de correo no deseado o
detectores de intrusión son capaces
de bloquear la mayoría de estos
ataques, sean a una computadora o
una base de datos.
Pero cada tanto algún ataque logra
su objetivo, y se están volviendo
cada vez más sofisticados.
Son esos en que los "chicos malos" se
preparan bien y consiguen que los
mensajes parezcan venir de
compañeros de trabajo, o citan
nombres, incidentes o números de
identificación, que sólo alguien
cercano conocería.
También están esos otros ataques que
aprovechan vulnerabilidades en
algún software, como un navegador,
para robar datos de acceso y usarlos
para entrar en redes corporativas.
La sofisticación
Este es el mundo en el que se
mueven los evaluadores de
intrusiones.
"Nos pagan por reproducir los
mismos tipos de ataques que usan los
chicos malos, los cibercriminales",
dijo John Yeo, jefe para Europa del
departamento de evaluación de
intrusiones de Trustwave SpiderLabs,
que realiza cientos de pruebas de
este tipo cada año.
Los evaluadores de intrusiones son
hackers éticos quienes, como sugiere
su nombre, intentan hallar formas
de penetrar las defensas de una
compañía y ver si esas defensas son
capaces de repeler los ataques más
sofisticados.
Estos hábiles especialistas en
seguridad, también llamados
"hackers de sombrero blanco",
ocupan un rol necesario debido al
incremento en ciberladrones que no
utilizan técnicas de correo no
deseado, virus u otras estrategias
más tradicionales.
Ellos ponen gran empeño, y
destinan recursos y capacidad
técnica a su tarea.
Muchos ejecutan tareas de
reconocimiento en redes sociales con
LinkedIn, hacen rebotar correos en
la cuenta de un objetivo para
entender mejor cómo operan o
realizan algunas llamadas
telefónicas con la esperanza de
conseguir algo de información útil.
Cuando lo consiguen, con sólo enviar
un mensaje a un puñado de altos
ejecutivos logran obtener grandes
beneficios.
"No se trata de quinceañeros
haciéndolo desde sus cuartos", dijo
Mathias Elvang, jefe de la compañía
de seguridad, que también pasa gran
tiempo intentando infiltrar redes
corporativas.
"Es un gran negocio", agregó.
La posibilidad de obtener grandes
beneficios es lo que hace que los
atacantes sigan adelante, dijo. Eso
es lo que los lleva a dedicar tanto
tiempo y cuidado a la hora de elegir
los métodos que utilizan.
Llamando al dinero
Los blancos principales son bancos y
otras instituciones financieras, dijo
Christian Angerbjorn, quien solía
trabajar como evaluador de
intrusiones en uno de los grandes
bancos de Reino Unido y es ahora
jefe de seguridad en IF Insurance.
"Cuanto más cerca estás del dinero
más probable es que seas atacado",
dijo.
"Lo importante no es qué haces sino
medir los riesgos que enfrentas". Sin ese tipo de pruebas, dijo, las
compañías pueden terminar
gastando enormes sumas de dinero
en herramientas de seguridad y en
capacitación e igual no estar en
condiciones de entender por qué son
vulnerables.
Pero con las pruebas de intrusiones,
pueden entender cuáles son los
ataques que pueden afectarlos y
determinar las acciones a tomar
para impedirlos
Sin duda tendrán que gastar en
capacitación, herramientas y
tecnología, pero puede ser más
barato que la alternativa.
"Sin importar cuánto uno gaste en
seguridad, es generalmente menos
que lo que costaría una invasión o
incidente", dijo.
No todas las empresas usan pruebas
de penetración de forma tan
preventiva, agregó. Algunas lo hacen
de forma más urgente.
"Si su competidor más cercano fue
atacado, pueden ver si son
vulnerables a un ataque similar",
dijo.
Esa es una amenaza real, dijo
Elvang, ya que su empresa ve cómo
un ataque sobre un cliente es
reproducido al poco tiempo contra
otro, y otro.
Es capaz de predecir con frecuencia
quién será el siguiente si los
atacantes están siguiendo
secuencialmente direcciones de
internet.
Como en la vida real
Sea cual sea el motivo que lleva a
evaluar a una empresa, la
experiencia de pasar por ello es la
que marca la diferencia, dijo Yeo.
Las emociones que atraviesan las
personas al descubrir que han sido
engañadas puede ser un poderoso
motor para asegurarse de que no les
vuelva a pasar.
Una empresa estará más segura sólo
si sus empleados aprenden esas
lecciones
"Es muy difícil que los usuarios y los
empleados alcancen de otro modo el
nivel de conciencia necesario, la
educación, que les permita
mantenerse seguros", dijo.
El elemento de la vida real de las
pruebas de intrusión es el que logra
convertir un truco maligno en algo
positivo.
Al fin y al cabo, es difícil justificar
el intentar exponer las deficiencias
de seguridad de una compañía
utilizando las técnicas existentes
más sofisticadas.
Eso se vuelve más claro al entender
cuántas de esas pruebas de
penetración son exitosas.
Casi ninguna es detectada o
descubierta por los empleados.
Los especialistas dicen, sin embargo,
que esto tiene más que ver con la
cantidad de gente que es atacada
dentro de una organización y la
amplia gama de trucos utilizados,
más que con los malos hábitos de los
empleados.
Según Angerbjorn, en una prueba de
intrusión tiene más peso la prueba
que la intrusión.
"La cuestión no es si se logra entrar;
usualmente se consigue porque
cuanto uno más lo intenta más lejos
llega".
"Lo más importante es ver qué
riesgos se exponen y cuánto daño
pueden ocasionar", dijo.
Última edición por albertinhor10 el Sáb Jun 08, 2013 4:12 pm, editado 1 vez
porfas 
