Atacar una empresa con permiso

El hacker ético Álvaro Andrade dice que la seguridad debe probarse, si se quieren evitar ataques reales

  • Facebook (Compartir)
  • Tweetea!
  •  
  • Imágenes

Álvaro Xavier Andrade decidió aprovechar sus habilidades informáticas para luchar contra el lado oscuro del ciberespacio.

Andrade es un white hat hacker (pirata informático de sombrero blanco). Su trabajo es entrar en los sistemas de las organizaciones y tomar el control de las redes, equipos y bases de sus clientes.

Para este boliviano, el hacking es un arte porque , al igual que un artista, se aplica el conocimiento para crear nuevas técnicas que rompan la seguridad. Por ello, gobiernos, bancos, empresas y medios de comunicación acuden a él para prevenir ataques informáticos. Su destreza le permite, por ejemplo, determinar el origen de las amenazas que reciben sus clientes en un máximo 72 horas.

AX Andrade (como se le conoce en el mundo del hacking) advierte que es un tema que está creciendo. Cada vez hay más riesgos que enfrentar.

¿Cuál es el trabajo del ethical hacker?

Atacamos, de manera controlada, los sistemas de las organizaciones con autorización y con la firma de un contrato. Medimos el nivel de seguridad, la vulnerabilidad de la red y explotamos estas vulnerabilidades.

“El objetivo es penetrar los sistemas. Si lo hiciéramos aquí (en el periódico) trataríamos de acceder a las bases de datos y los equipos desde afuera. Son ataques reales que coordinamos con el cliente. Decimos qué día se va a realizar y generalmente lo hacemos en la noche para no saturar los sistemas. Luego presentamos la lista de vulnerabilidades y la solución”.

¿Por qué dejar a un hacker entrar al corazón de una empresa?

Respondo con otra pregunta. ¿Han tenido ataques informáticos? ¿Han perdido información? La estadística dice que una vez al mes hay un banco que es atacado fuertemente. Esto no sale en las noticias. También se pierde información corporativa y de instituciones.

¿Qué seguridad hay de que estoy dejando entrar al enemigo?

Presentamos dos tipos de contrato. Uno es un contrato de prestación de servicios profesionales, que define el alcance que tendrá el ataque. Ahí decimos, por ejemplo, que vamos a hacer test de penetración desde afuera de la red, desde la red interna a las redes wireless , a la base de datos.

“El otro es un contrato de confidencialidad perpetua y que está ligado al resarcimiento de daños civiles y a cláusulas penales por incumplimiento. Lo que encontremos, nos lo llevamos a la tumba. Todos los consultores firman el contrato y esa es la garantía que damos a la institución de que lo que se encuentre quedará entre nosotros”.

¿Es frecuente que un hacker ético pasa al lado oscuro?

Hay una delgada línea de la ética entre ser un black hat hacker (pirata informático de sombrero negro), y un white hat hacker (pirata informático de sombrero blanco). Ambos tienen el mismo conocimiento. Muchos de los que son hacker éticos estuvieron del otro lado.

“Esto viene a muy temprana edad, entre los 12 y 13 años. Cuando empiezas, lo que te llama la atención es romper la seguridad. Es un reto intelectual, no un rédito económico.

“Con el tiempo vas madurando y te das cuenta de que es más fácil ganar por la vía legal. No podrías vivir tranquilo, porque vas a caer tarde o temprano”.

¿A qué sanciones se ven expuestos?

Dependen (las sanciones) de la regulación de cada país en materia de delitos informáticos. También te ves expuesto al repudio de la comunidad internacional porque te conocen por tu nickname (apodo) o el grupo de pertenencia. Sabemos quiénes somos porque damos conferencias en todo el mundo.

Además del sector bancario, ¿qué sectores solicitan el servicio de los hackers éticos?

Desde hace tres años, los gobiernos se han puesto la tarea de protegerse bastante. Los cuerpos de inteligencia de los gobiernos contratan gente con estos conocimientos. Después están las petroleras, las empresas de telecomunicaciones y la prensa.

¿Cómo una empresa distingue que contrata a un hacker de sombrero blanco?

Eso es algo que destacamos en la propuesta de servicios. En material de ethical hacking , una empresa se la juega al contratar a una compañía con poca seriedad. Hay que evaluar los años de experiencia, la cartera de servicios, los clientes y el currículum de los auditores.

¿A qué nueva generación de ataques nos enfrentamos?

Prevemos que los ataques a entidades financieras tendrán mayor nivel de dificultad. Serán cada vez más técnicos y complejos.

Por ejemplo…

En un alcance fuerte se puede programar un malware indetectable a los antivirus que infecte por redes sociales y correo electrónico, por rangos como las direcciones IP de Costa Rica y Panamá.

“Son ataques más dirigidos, como a cajeros automáticos. El 90% del malware que se genera a nivel mundial está dirigido a obtener información financiera”.

¿Qué ventana abren las redes sociales a los ataques?

Hay que tener cuidado con las aplicaciones que se aprueban en las redes. Una aplicación famosa es “Mi calendario de cumpleaños”. Al aprobar esa aplicación, te pueden estar infectando el equipo. En Twitter, el peligro máximo son las direcciones cortas porque puede estar direccionado a cualquier lado para infectar el equipo.

Y en el caso de las dispositivos móviles…

Uno piensa que los celulares son seguros, pero ya hay virus. Infectas el celular que se conecta a la red y llegas a las computadoras. Independientemente del sistema operativo.

¿Cómo puede una pyme acceder a estos servicios?

Las pymes tienen bastantes vulnerabilidades porque apenas están creciendo. En nuestro caso, el alcance del trabajo va a ser siempre el mismo. Lo que cambia es el costo. No se puede cobrar a una entidad financiera, con 2000 usuarios, lo mismo que a una pyme con cinco servidores y 100 equipos. Se hace una evaluación y se crea una propuesta que se adecúa a la estructura real y al tamaño de la organización.

Nombre: Álvaro Xavier Andrade.

Formación: Ingeniero informático, con certificaciones como MCSE e ISO 27001.

Edad: 32 años.

Nacionalidad: Boliviano.

Trayectoria profesional: gerente de Ethical Hacking Consultores docente en seguridad.

Sostenbilidad y financiamiento