Hackers éticos - Cómo operan

En el artículo anterior veiamos una introducción al concepto del hacking ético, sus figuras y el dilema que causa en las empresas. En este artículo vamos a ver como operan.

El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de sombrero blanco o uno de sombrero negro.

Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se corresponden con unos protocolos estándar:

- Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un margen de 45 días, durante los cuales se le dará tiempo al fabricante del software de generar un parche que solucione el problema. La vulnerabilidad es publicada aunque no se halla generado el parche.

- Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La colaboración del hacker con el fabricante del software para elaborar una solución es opcional, el hacker no está obligado. El autor del hallazgo debe ser paciente con el fabricante del software, y se espera que éste recompense al hacker por identificar el problema.

- Organización para la Seguridad en Internet (OIS). OIS es un conglomerado de varios investigadores y empresas importantes con presencia en Internet. Solamente personal próximo a OIS tienen acceso a información confidencial. Establece toda una serie de pasos: descubrimiento, notificación, validación e investigación, con sus aspectos concretos.

El problema de estas políticas, es que están surgiendo empresas de investigadores especializados en encontrar vulnerabilidades en nuevas aplicaciones, un trabajo que posteriormente es reclamado a los fabricantes que abonan el importe del descubrimiento de la vulnerabilidad, y estableciendo, lamentablemente, una duda razonable acerca de si se podría considerar un chantaje esta práctica.

Saludos,

El equipo de iSoluciones

Hacking ético

Hacking ético... curiosas palabras que en el contexto coloquial se traduciría como piratear sistemas de forma legal, aunque como ya hablamos en un artículo anterior, hacker, pirata y delincuente informático no son la misma figura. En el mundo de la seguridad informática, en el underground, representa la posibilidad de mostrar a una víctima cuales son sus debilidades y vulnerabilidades con una prueba visual, no hay nada más impactante, os lo podemos asegurar.

Antes de entrar de lleno en la cuestión, es interesante definir un par de figuras que se relacionan con el término de hacking ético: los hackers de sombrero blanco (white hat) y sombrero negro (black hat). Los hackers de sombrero negro son aquellos que intentan provocar un daño explotando una vulnerabilidad existente en un determinado sistema. Los hackers de sombrero blanco son aquellos que intentan mostrar el daño que causaría la explotación de una determinada vulnerabilidad en un sistema.

Pongámonos en situación, tenemos un sistema Operating System 3000 corriendo en un servidor y un potente ERP llamado MiERP en la máquina también. Al cabo de unas semanas nos llega un correo electrónico de un tal SuperHacker en cuyo interior se encuentra un documento confidencial que ha obtenido aprovechando una vulnerabilidad del sistema, y además nos explica cuales han sido los pasos y como solucionarlo. La pregunta es bien sencilla: ¿denunciamos a SuperHacker por robo de información confidencial e intrusión no autorizada? ¿o bien le contratamos como gestor de seguridad informática?

Este es el dilema del hacking ético desde el punto de vista de la empresa, puesto que cada uno tenemos una opinión al respecto, que en muchas ocasiones se ve influenciada por factores externos: fabricantes de software, organismos, stakeholders,... Para que nos entendamos, las preguntas básicas que se hace un directivo ante esta circunstancia son: ¿Qué es mejor para el negocio? ¿denunciar a SuperHacker, contratarlo o tapar el hecho?

Ahora, vamos a mirar el hacking ético desde el punto de vista del hacker. No existe un único perfil de hacker de sombrero blanco, puede ser un estudiante, un camarero, un profesional del sector,..., cualquiera, puede ser la persona menos pensada que tenemos a nuestro lado, lo único que tienen en común es la pasión por la informática y ganas de compartir los conocimientos adquiridos tras incontables horas de método empírico. Si SuperHacker no muestra a la empresa cuales son las vulnerabilidades de su sistema, el malvado BlackSuperHacker podría usar dichas vulnerabilidades para su propio beneficio y causar enormes daños en la empresa. Menuda situación para SuperHacker si encima recibe por su aportación una denuncia...

Esta es la realidad del hacking ético, obviamente, la solución jurídica o moral a este dilema tienen que decidirla las partes implicadas: empresas, reguladores y hackers, algo bastante complicado cuando la tercera de las partes no tiene un órgano de representación debido a su propia naturaleza.

Saludos,

El equipo de iSoluciones.

Sistemas de información sometidos a inestabilidad laboral

En un artículo anterior hacíamos referencia a los peligros derivados de la ausencia de controles, y nombramos por encima los peligros de la inestabilidad laboral.

Un área muy interesante, y aún por explotar, es la psicología de los usuarios de los sistemas de información, y como un ambiente laboral adverso influye en el descenso de la productividad del sistema y aumenta las probabilidades de que se cometa un delito informático.

La experiencia nos indica que una empresa que pasa por un momento difícil desde el punto de vista laboral, ya sea por un ERE, despidos selectivos o un mal ambiente causado por disputas internas, es susceptible de verse influenciada con una mayor probabilidad por una serie de riesgos, algunos de los cuales enumeramos a continuación:

- Acceso no autorizado a información sensible de recursos humanos (en el caso de previsión de despidos o mala concienciación de los trabajadores en cuanto a salarios)

- Acceso y copias no autorizadas de información sensible de la empresa (márgenes comerciales, planes estratégicos,...)

- Dificultades en la operativa diaria del sistema de información, como consecuencia de las disputas internas entre departamentos. Esto provoca un descenso de la productividad del sistema.

- El descenso de la motivación de los trabajadores puede tener un enorme impacto en el personal de los departamentos de sistemas y producción, provocando una gestión más ineficiente de los controles. Las políticas y procedimientos siguen siendo eficientes pero la ejecución y la supervisión no.

Las consecuencias que supondrían para la empresa que estos riesgos se materializaran serían:

- Pérdida de cuota de mercado en caso de que la información sensible llegara a la competencia, además de pérdida de imagen ante los stakeholders. Esto puede provocar pérdidas a corto, medio y largo plazo.

- Descenso de la productividad en el sistema, que puede llegar a bloquear la operativa diaria de la empresa, y provocar pérdidas a corto plazo.

- Aumento de las disputas internas y descenso de la motivación en caso de que se filtre información sensible de recursos humanos en cuestión de salarios o condiciones laborales de otros trabajadores.

- Aumento de los ataques exitosos contra el sistema puesto que los controles no son supervisados correctamente. Un control de por si no evita un ataque. Esto puede provocar pérdidas a corto plazo en el sistema e incluso el bloqueo operativo si la empresa no tiene planes de contingencia eficientes.

¿Qué podemos hacer ante esta perspectiva? La única solución posible es mantener la motivación de los trabajadores de los departamentos de sistemas y producción, de manera que consigamos la continuidad de la ejecución y supervisión de los controles que hemos diseñado, evitando los riesgos.

Quizás alguien pueda pensar que la profesionalidad de los trabajadores impediría que los riesgos se materializaran, pero como ya dijimos en un artículo anterior, no conocemos como se puede comportar un trabajador ante situaciones extremas, y lamentablemente, el mercado pone en muchas ocasiones a las empresas en esas situaciones.

Saludos,

El equipo de iSoluciones

Piratas informáticos

En las últimas semanas, han ido apareciendo en los medios de comunicación noticias relacionadas con la desarticulación de supuestas redes de piratas informáticos o hackers, una palabra que infunde cierto temor en los internautas y en las empresas españolas.

La verdad es que el término pirata informático no está regulado, y se ha ido adoptando para cualquier sujeto que cometía un delito mediante el uso de un equipo de proceso de información. Ahí tenemos al que comete un delito de robo bancario mediante usurpación o un delito de intrusión.

La disposición de conocimientos y herramientas en la red ha facilitado el aumento de los delincuentes informáticos en todo el mundo, y decimos delincuentes informáticos, porque aunque actualmente la palabra pirata y delincuente la usamos coloquialmente para definir al mismo sujeto, originariamente un pirata informático era una persona con auténtica pasión hacia la informática, con ganas de aprender y compartir conocimientos.

El término pirata informático se fue degradando debido a películas de Hollywood como Juegos de Guerra y a la difusión en los medios de comunicación de los hechos delictivos de determinadas personas, que si no fuera por la informática hubieran elegido otro medio para cometer sus delitos.

Por otro lado, tenemos que tener claro que se entiende por delito informático y si el hacking ético se puede considerar un delito informático, puesto que realmente el único objetivo del atacante, en este supuesto, es informar a la empresa o particular de las vulnerabilidades existentes en el sistema y como puede solucionarlas, evitando un daño futuro en sus activos de información.

Así que el término correcto para las personas que cometen delitos informáticos es delincuente informático, y tan delincuente informático es el que roba de una cuenta bancaria gracias a una técnica de phishing como el trabajador de una empresa que roba datos confidenciales antes de irse a la competencia.

Saludos,

El equipo de iSoluciones

LSSI - Comunicados comerciales

Uno de los puntos importantes de la LSSI trata de las comunicaciones comerciales vía correo electrónico, es decir, cualquier comunicado con objeto de mostrar un producto o servicio a un remitente, independientemente que se obtenga un beneficio del mismo.

En este punto interactúan tanto la ley vigente en materia comercial y publicidad como la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa en lo referente a la obtención de datos personales.

Un aspecto que tienen que tener claro las empresas es que no se puede realizar un envío de comunicaciones publicitarias o promocionales por vía electrónica sin haber obtenido previamente el consentimiento del destinatario, aunque este punto no es obligatorio si existe una relación contractual previa.

Es muy frecuente que las empresas desconocedoras de la LSSI realicen envíos comerciales por correo electrónico, aprovechando el ahorro en costes que conlleva el medio, sin solicitar previamente autorización del destinatario. Esto supone en caso de denuncia una infracción leve sancionada con multa de hasta 30.000 euros.

Hay varios aspectos importantes en la LSSI de uso común en las empresas que deberían ser revisados, de manera que no provoque una sanción que podía haber sido evitada.

Saludos,

El equipo de iSoluciones

Controles

En auditoría informática es común el uso del término control para definir un determinado procedimiento que puede detectar una irregularidad en el sistema empresarial.

Los directivos de las empresas muchas veces se preguntan por qué tienen que establecer determinados controles cuando tienen total confianza en que no va a suceder nada. En España solemos pecar de confiados cuando se trata de imponer determinados controles a los trabajadores, es nuestra naturaleza, sociable y amigable, la que muchas veces nos conduce por caminos erroneos.

Nunca podemos llegar a saber como se puede comportar un trabajador, un usuario del sistema, cuando se le somete a determinadas circunstancias: inestabilidad laboral, mal ambiente, frustaciones personales,... En el peor de los casos el trabajador puede ser despedido o su productividad puede descender, y ante ambas situaciones, la empresa tieneque estar preparada para afrontarlo, tienen que existir controles que eviten o mitiguen algún daño en el sistema empresarial.

El robo de información sensible ante empleados descontentos es más frecuente de lo que nos imaginamos, de hecho, puede que sea uno de los primeros delitos por volumen en la escala. Un empleado descontento seguramente se irá a la competencia, y cualquier información que se lleve será bien recibida por la misma: datos de clientes, márgenes comerciales, planes estratégicos,...

La gravedad de este suceso se multiplica cuando el trabajador tiene funciones en el departamento de informática, puesto que la facilidad de acceso y manipulación del sistema de información es total. Un administrador de sistema descontento puede ser el perfil más peligroso en cuanto a fuga o acceso posterior de información sensible.

Más del 70% del valor de una empresa reside en la información que maneja, y si no quiere sufrir una pérdida de dicho valor, asegurese que su empresa tiene los controles adecuados.

Saludos,

El equipo de iSoluciones