“Hackers” con causa

‘Hackers’ con causa

Fines. El ‘hacking’ no es necesariamente una actividad maliciosa, sino que consiste en intentar utilizar un sistema de manera ‘diferente’.

El “hacking” no es necesariamente una actividad maliciosa, sino que consiste en intentar utilizar un sistema de manera “diferente” que aquella para la cual fue diseñado. “Si yo quisiera utilizar mi teléfono para hacer llamadas por Wi-Fi, pero el dispositivo no fue diseñado para eso, entonces un “hacker” utilizará su conocimiento técnico para que el dispositivo haga cosas diferentes a su función original”, expone Luiz dos Santos, director Técnico en América Latina, de la empresa de ciberseguridad FireEye.

Sin embargo, para proteger la información de los “hackers” mal intencionados se requiere del “hacking” ético, el cual, según el texto “¿Qué es el Ethical Hacher?” de Alejandro Reyes Plata, ingeniero que ha trabajado en la Subdirección de Seguridad de la Información UNAM/CERT, es una disciplina de la seguridad informática que implementa un conjunto de sistemas y herramientas para realizar pruebas de seguridad.

Al respecto, la ingeniera Anaid Guevara Soriano manifiesta, en su texto “Hacking ético mitos y realidades”, que esta actividad se define como el “arte” de comprobar las vulnerabilidades de seguridad existentes en los sistemas de empresas o instituciones, para que posteriormente se realice un informe detallado que revele los problemas.

Dos Santos explica que a causa de la actividad de programadores maliciosos es que las compañías contratan servicios de “hacking” ético; es decir, para saber exactamente cómo están sus defensas frente a posibles ataques y para reparar posibles fallas. Agrega que las compañías que tienen cierta madurez en seguridad no lo hacen solo una vez, sino varias ocasiones al año.

Además, el director de FireEye señala que existen diferentes maneras de hacerlo: “Por ejemplo, hay compañías que tienen su propio equipo interno que realizan pruebas, obviamente, sin causar un daño a la red. Pero la idea es que haya dos equipos: uno que se encarga de hacer “hackeos” y el otro se encarga de la parte de detección de los ataques. A veces los departamentos de seguridad de las empresas no saben si es un verdadero hackeo o una simulación de hacking ético”.

PRUEBAS DE SEGURIDAD
Existen diferentes tipos de “hacking” ético. El más común es la prueba de penetración (Penetration Testing). El director de seguridad de la empresa tecnológica BT en América Latina, Alexis Aguirre, ejemplifica con el caso de un banco estadounidense que contrató a BT para que esta firma buscara alguna brecha de seguridad y tratara de entrar al sistema para ver si se estaban protegiendo de la manera adecuada.

Otro caso de “hacking” ético es el Wireless Scanner (redes Wi-Fi o inalámbricas). Estas pruebas sirven para saber cuán seguras son sus redes, por lo que los profesionales de la programación utilizan todos los softwares que usualmente son empleados por los “hackers” para tener acceso e intentar vulnerar las contraseñas.

También está la revisión de código, pues existen muchas empresas que crean aplicaciones con lenguajes como C o Java y contratan a otras organizaciones especializadas para hacer una revisión del código, es decir, analizar todos los comandos de una “app” escrita en un lenguaje común para ver si tiene un tipo de vulnerabilidad en la cual sería posible insertar un código malicioso.

Otro tipo de “hacking” ético de rápido crecimiento se encuentra dentro de la industria automotriz y en el cual se analiza la exposición de “vehículos conectados” a los ciberataques. Estos autos son vulnerables ya que dependen de diversas opciones de conectividad entre las que se encuentran los enlaces de datos Wi-Fi, 4G, entre otros.

Finalmente, los expertos consideran que cualquier tipo de industria tiene la necesidad de probar con el “hacking” ético la seguridad de sus sistemas o máquinas. Sin embargo, destacan que el principal sector que requiere estos servicios es el financiero, pues la mayoría de los “hackers” tienen como objetivo el robar dinero e información personal (base de datos) de los clientes.

Clasificación de “hackers”

DE SOMBRERO BLANCO
Se refiere a los profesionales de seguridad que no son criminales y que conocen todo sobre equipos de cómputo y diferentes sistemas operativos. Tienen amplio conocimiento de cómo hacer pruebas de penetración. En esta clasificación se encuentran los “hackers” éticos.

DE SOMBRERO NEGRO
Se trata de quienes tienen motivos o les gusta causar daño, además de que utilizan sistemas informáticos sin el permiso de los dueños o creadores. Normalmente sus intenciones son el borrar o robar información y realizar todo tipo de actividades ilegales, muchas veces con fines económicos.

ACTIVISTAS
Son quienes tienen motivaciones políticas. Por ejemplo, en los Juegos Olímpicos de Río 2016 se recibieron notificaciones del que el grupo llamado Anonymous compartió herramientas para atacar a los sitios oficiales de las Olimpiadas y de los patrocinadores porque no estaban de acuerdo, por razones político-económicas, con que se realizara ese evento en aquel país.

PATROCINADOS POR EL GOBIERNO
Normalmente algunos gobiernos tienen interés por saber qué está pasando en otras naciones o qué hacen ciertas personas. Entonces, estos “hackers” extraen información para revelar informaciones de negocios, guerras, armas, acciones militares y todo tipo de datos de interés.

TERRORISTAS
Se les considera los delincuentes cibernéticos más dañinos porque están motivados por cuestiones de religión o por actores políticos radicales. Su principal interés no es robar o borrar datos sino causar caos. Lo cual, en casos extremos, puede incluir la muerte de quien no está de acuerdo con su ideología.

“Hackers” que fueron contratados por empresas después de vulnerar su seguridad

Hohn Draper (Alías Captain Crunch).
Es el creador de la primera caja azul (bluebox), la cual es un electrónico que sirve para realizar “hacking” telefónico. El tono básico y más famoso de esto es un silbido que fue emitido por Draper con un silbato que venía de regalo en las cajas de cereales. Este “hacker” fue arrestado en 1972, acusado de fraude por parte de las compañías telefónicas. A mediados de los sesenta conoció a Steve Jobs y luego fue contratado por Apple.

Kevin Mitnick (Alías Condor o The darkside hacker)
Es uno de los “hackers” estadounidenses más famosos. A los 16 años inició su carrera al romper la seguridad del sistema administrativo de su colegio. En 1982 logró entrar ilegalmente a la computadora del North American Air Defense Command. Después trató de acceder a la computadora del Pentágono, por lo que fue sentenciado a medio año en prisión. Actualmente es asesor en ciberseguridad.

Robert Tappan Morris (Creador del gusano de Internet)
El caso de Tappan es de los más antiguos pues, en 1988, liberó (mientras estudiaba la universidad, el Morris Worm) un virus de gusano que provocaba brechas de seguridad. Este virus afectó a 6 mil ordenadores, que en ese entonces representaban el 10% a nivel global, lo cual le causó una condena en prisión y una multa de 10 mil dólares. Tiempo después se convirtió en profesor del Massachussets Institute of Technology.

Sean Parker (Creador de Napster)
En 1998 se enfrentó con las discográficas debido a que fundó el primer servicio global que permitía descargar y compartir archivos de música sin ningún intermediario y de manera gratuita, lo cual preocupó a los músicos y a las promotoras. En 2011 Napster tuvo que cerrar por problemas legales, además de pagar 26 millones de dólares y 10 millones por futuras licencias. Luego, Parker se convirtió en cofundador y primer presidente de Facebook.

Jeff Moss (Alias The Dark Tangent)
Fundó la mayor conferencia de “hacking” en el mundo llamada DefCon, así como Black Hat, una empresa que ofrece conferencias y entrenamiento a los encargados de la seguridad. En 2009 Moss se convirtió en asesor de Barack Obama para el Consejo Asesor de Seguridad Nacional y en el mismo año comenzó a trabajar como Jefe de Seguridad de la Corporación de Internet para la Asignación de Nombres y Números (ICANN).

Owen Thor Walkier
A los 16 años enfrentó un juicio por haber admitido ser el líder de un grupo internacional de “hackers” que causaron una estafa de más de 20 millones de dólares. Atacaron 1.3 millones de ordenadores robando información de algunos o dejando inservibles los sistemas de otros. En 2008 fue contratado por la empresa TelstraClear. Ahora, se desempeña como consultor de seguridad.

Steve Kondik (Alías Cyanogen)
Este sujeto fue uno de los creadores del software llamado CyanogenMod: la versión de “root” de Android más conocida y distribuida, porque permite el acceso total con credenciales de administrador a las funcionalidades del dispositivo móvil (aunque hacía perder la garantía del celular). Después de esto fue contratado para trabajar con los desarrolladores de la interfaz Sense de Samsung.

George Hotz (Alias GeoHot)
Entre los logros de este programador está el que a sus 17 años logró desbloquear el iPhone para permitir que el dispositivo fuera utilizado con otras compañías de telefonía celular (a diferencia de la intención que Apple tenía de proveer a sus clientes solo el uso de la red de AT&T). En 2010, hackeó la PlayStation3 para permitir la instalación de Linux. Un año después Facebook lo contrató.

Nicholas Allegra (Alias Comex)
Este joven originario de Nueva York creó el código JailbreakMe, el cual permite al usuario instalar sus propias aplicaciones en los dispositivos de Apple, sin necesidad de entrar a la App Store. Como este software también hace posible que otros desarrolladores puedan entrar al sistema operativo iOS con malas intenciones, Apple contrató a Allegra para pasar a ser uno de sus expertos en seguridad.

Ver información original al respecto en Fuente:
https://www.elsiglodedurango.com.mx/noticia/687566.hackers-con-causa.html