• Author / Uploaded
• Jesus David Forero Arboleda

• Categories
• Hacker de seguridad
• Seguridad y privacidad en línea
• Seguridad informática
• Vulnerabilidad (Informática)
• Información

Citation preview

ENSAYO SOBRE HACKING ETICO

JESUS DAVID FORERO ARBOLEDA

MARCELO LOPEZ TRUJILLO

AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES

FACULTAD DE ADMINISTRACION

ADMINISTRACION DE SISTEMAS INFORMATICOS

MANIZALES 2019-1

“Un enemigo hábil ataca donde más seguro crees estar” (película Pearl Harbor) A través de los años, el hombre ha tratado de proteger lo más preciado para él, en el área de las tecnologías de la información y la comunicación (TIC), se podría decir que lo más preciado es precisamente la información; por este motivo, las distintas organizaciones y los propios individuos buscan alternativas que permitan el control, confidencialidad y disponibilidad de la información, tratando siempre de evitar accesos no deseados a la misma. La sociedad en su ignorancia, ha determinado que un hacker es el peor enemigo posible para la integridad de la información que almacenamos en nuestros diferentes equipos, pero se podría decir que esta es una verdad a medias, ya que, un hacker también puede ayudar a las organizaciones principalmente a detectar las vulnerabilidades que poseen los distintos componentes de hardware y aplicaciones que se utilizan al interior de la misma, con el fin de corregirlas y evitar ataques, este tipo de hacker, se denomina como hacker ético y palabras más, palabras menos, realmente nos ayuda a comprender como piensan aquellos que realmente quieren hacer un uso indebido de la información obtenida, en otras palabras, nos ayudan a comprender el pensamiento de nuestros enemigos para que de esta manera podamos anticiparnos a sus movimientos. El hacking ético es una forma de referirse al acto de una persona usar sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño, en los últimos años, este tipo de hacking se ha convertido en el aliado de las empresas para evitar ataques por parte de hackers maliciosos y en caso de que los ataques surtan efecto minimizar el impacto que estos tengan en la organización, de esta manera, podemos ver que el uso de expertos en seguridad con conocimiento de hacking en la industria, tiene grandes ventajas, sobre todo si se establecen las condiciones pertinentes antes de realizar la operación. La definición de estas acciones permitirá establecer un entorno seguro para las pruebas hechas por el experto, de manera que nos sea posible obtener resultados sin arriesgarnos a que se filtre información indispensable para la empresa, para ello, se debe establecer qué modelo de hacking ético se desea ejecutar, caja blanca(acceso a diagramas de topología, registros, etc.), caja gris(al equipo se le da cierta información de la empresa) o caja negra(al equipo no se le da información de ningún tipo), se debe tener en cuenta que los resultados pueden variar según el modelo seleccionado. Con lo anteriormente mencionado, es posible establecer que el hacking ético nos permitirá anticiparnos a acciones que puedan ser realizadas por hackers, por ende podremos minimizar el riesgo de que ocurran los ataques, en un mundo como el actual, es indispensable anticiparse a los movimientos de este tipo, sobretodo en el ámbito tecnológico pues es un área que avanza muy rápido y en cualquier momento podríamos ser vulnerables a un ataque, solo hay que remontarnos a mayo del 2017, momento en el que se conocieron los primeros casos de ataques mediante el ramsomware wannacry, este software malicioso llego a afectar a grandes compañías a nivel mundial e incluso al servicio nacional de salud de Gran Bretaña, se podría afirmar que una entidad como esta debería tener implementadas las mejores prácticas para la protección y acceso a la información, pero ataques como este demuestran que todos somos realmente vulnerables a sufrir uno de ellos; también es cierto que hay ataques que no se pueden repeler pero si el servicio nacional de salud de Gran Bretaña hubiera contado en su momento con un equipo de hacking ético, tal vez, hubiera adoptado medidas que le hubieran permitido evitar este ataque, pues hubiera entendido que debía

combatir y corregir ciertas vulnerabilidades dentro de su sistema, en aspectos tan simples como la descarga y ejecución de contenido sospechoso. Ejemplos como el anterior nos demuestran que debemos dejar atrás el pensamiento de que un hacker es simplemente un individuo que aprovecha sus conocimientos en informática para robar o crear virus, realmente esta definición es muy ambigua, deberíamos aprender que personas con este conocimiento nos pueden dar el poder para defendernos, así lo hizo el FBI con el defraudador e impostor Frank Abagnale Jr. que tras ser capturado y cumplir una condena, fue contratado como asesor para luchar contra el fraude en el mundo, además este personaje es el diseñador de algunos de los cheques antirrobo más seguros del mundo, lo que demuestra que un experto que ejecuta sus tareas en un entorno controlado es un gran aliado para entender los peligros que nos rodean. Cabe agregar que un hacker ético tendrá acceso y podrá controlar la información a la que pueda acceder tras realizar sus pruebas y explotar las vulnerabilidades que identifico, pero tiene el deber de reportarlas y brindar asesoría para mejorar en estos aspectos, por lo que también depende de la parte que contrata el buscar un punto medio en el que se sienta seguridad para realizar estas prácticas, pues el hacker tendrá tanto control como la organización realmente le permita. Es hora de que las organizaciones pierdan sus miedos y aprovechen esta gran herramienta que se tiene actualmente en la lucha contra la filtración, robo y acceso no autorizado a la información, es hora de entender que para cazar se debe comprender el comportamiento de la presa, es hora de entender que para proteger es necesario conocer cuáles son las vulnerabilidades. Por ello es necesario que las empresas se informen acerca del hacking ético, sepan que existen en el más virtudes que fallos y además sepan que los hackers también pueden ser nuestros amigos y en este caso los principales protectores de nuestra organización. Para concluir y como opinión pienso que toda organización grande debería tener un equipo que dentro del área de auditoria interna, se encargara de realizar labores de hacking ético, ya que, esto permitiría un mayor avance en el área de seguridad y en el proceso de aseguramiento, además se crearían más y mejores soluciones a los distintos problemas de seguridad que se presentan a diario dentro de las organizaciones, permitiendo llegar a un punto en el que se esté preparado para afrontar ataques y minimizar su impacto, recordando siempre que cada ataque exitoso o no es una oportunidad para aprender y aunque es indispensable no creer nunca que se es invencible, hay una frase que dice: “No confíes en que el enemigo no venga. Confía en que lo esperas. No confíes en que no te ataque. Confía en cómo puedes ser inatacable.” (Matilde Asensi), en otras palabras y aplicando la frase a este ensayo, lo fundamental es proteger la información de valor de tal manera que solo puedan acceder a ella los que están autorizados, para ello se debe resguardar con la ayuda de alguien que sabe cómo piensan y actúan los atacantes, solo así podremos ir un paso delante de ellos.

Bibliografía -

Universidad Piloto de Colombia, Medina, Edwin. Hacking Ético: Una herramienta para la seguridad informática. https://www.avast.com/es-es/c-wannacry