La Seguridad en IT ya no es una opción

Archivos de datos con informes delicados, archivos de imágenes con fotografías propias y de otras personales también delicadas. Mensajes comprometidos, tanto privados como profesionales, del correo electrónico son algunos de los datos que se pueden encontrar en cualquier ordenador hoy en día. El robo y difusión de este material puede acarrear graves consecuencias personales, en la esfera privada o en el ámbito profesional, a las personas que sufran intrusiones en sus ordenadores. Una circunstancia que desgraciadamente ya no es nada rara.

Muchos profesionales y usuarios descubren demasiado seguridad TItarde que mantener la seguridad del ordenador no se consigue sólo con aplicar un par de reglas en la configuración del sistema operativo, en los programas y poner una contraseña larga e ingeniosa para arrancar el ordenador. Son de sobra conocidos los casos de personajes públicos que han visto aireadas sus intimidades porque han accedido a sus dispositivos. O grandes empresas y gobiernos que han visto revelados secretos por cibercriminales que han roto las defensas de sus sistemas IT.

Y son muchos más los casos que se dan, pero que no se conocen, porque afectan a personas anónimas y empresas de pequeño tamaño y sólo una reducida parte de estos modernos delitos son denunciados ante las fuerzas de seguridad. La inmensa mayoría de los robos de información, estafas o fraudes cibernéticos no se denuncian por desconocimiento o, lo que es peor, por vergüenza. Estos delitos tendrán más o menos difusión, pero lo que si es cierto es que es un problema que afecta a todas las personas, a todas las empresas y se producen con mucha más frecuencia de la que puede parecer a simple vista.

Porque la electrónica está presente en todas las esferas de actividad, es barata y sencilla de utilizar. Cualquier persona en la actualidad tiene y maneja con naturalidad un ordenador portátil, un Smartphone o una Tablet, bien en su actividad profesional, bien en su esfera privada. Por separado o simultáneamente, que hay gente para todo. Una tecnificación que ha provocado que los límites de la actividad privada o profesional sean cada vez más difusos y es habitual que los dispositivos electrónicos sean utilizados indistintamente para asuntos privados como profesionales.


 

Un medio hostil

Este amplio despliegue de la electrónica no es la única causa de la hostilidad de las conexiones. Obviamente. A la ubicuidad de la informática hay que añadirle la facilidad de su uso y unos usuarios que operan cualquier dispositivo con naturalidad y con conocimientos avanzados en la tecnología que tienen entre manos. A diferencia de lo que ocurría hasta hace poco, hoy en día no se necesita tener amplios conocimientos de informática para introducirse en un sistema corporativo o acceder al ordenador de una persona cualquiera; el vecino o el compañero de trabajo o quien ocupa la mesa de al lado en la terraza de verano. Una búsqueda sencilla por cualquier buscador de internet, arroja rápidamente cientos de miles de resultados sobre técnicas y programas de como perpetrar todo tipo de tropelías en un sistema ajeno. Desde el más llevadero vandalismo al fraude multimillonario. Al alcance de cualquiera que tenga un mínimo de interés.

Y tampoco se puede olvidar la motivación. Desde el prosaico dinero, la efímera fama, las extremistas convicciones políticas o la venganza personal por algún despecho, son algunas de las causas que pueden esgrimir los malhechores que se movilizan para cometer un ataque informático. Indiscriminado o premeditado, por qué no tener enemigos no significa que no habrá algún salteador que le llame la atención una persona, una empresa y decida atacar. Los beneficios, ya sean económicos, de satisfacción personal o de activismo, pueden ser elevados y el esfuerzo de perpetrar la acción reducido.


“Un hacker ético tiene como función localizar esas vulnerabilidades que un verdadero atacante pudiera explotar en el sistema, revelarlas y recomendar las soluciones que las eviten”


Los riesgos y amenazas en el ordenador son reales y muy probables para que sean obviados por los responsables y/o profesionales de infraestructuras IT y usuarios habituales de ordenador. Son Amenazas que, además, ya pueden materializarse en cualquier lugar. El responsable de infraestructura no puede limitarse a proteger su infraestructura. Debe velar por la seguridad del usuario que traslada el equipamiento corporativo, ya sea el portátil, su smartphone y demás dispositivos que pueda utilizar, fuera de los límites físicos de la infraestructura a su cargo. El usuario no puede aplicar medidas de protección únicamente en su casa y olvidarse de cuando se conecta a redes desconocidas.


 

Hacker útil

En este contexto amenazador, es obvio que hay que protegerse con mecanismos de seguridad eficaces frente a esos riesgos reales y cambiantes en los que se desenvuelve el ordenador en la actualidad y el mejor modo de identificar esos mecanismos de seguridad y su adecuada aplicación es conocer desde dentro cuales son esas amenazas, las técnicas que suelen emplear y los programas que utilizan los atacantes para perpetrar sus acciones. Dicho de otro modo, aprender a ser un hacker.


“Si se produce una intrusión, los profesionales de la seguridad IT cuentan con los procedimientos y los programas necesarios con los que pueden dar respuesta a cuándo, dónde, cómo y quién ha perpetrado el asalto”


seguridad TIConvertirse en un hacker permite adoptar una perspectiva en donde el diseño y la implementación de la seguridad IT cambia completamente. Desde el punto de vista de un posible atacante, se identifica mejor cuales son realmente los posibles objetivos, el nivel de protección cabal que se les debe aplicar y cuáles pueden ser las medidas más ágiles, efectivas y económicamente viables que permitan conseguir el nivel de protección que se pueda llegar a definir para cada activo informático. Este es el principal objetivo de Ethical Hacking: Conocer de primera mano los peligros y como mejor, si no evitarlos, por lo menos mitigarlos. Un hacker ético se preocupa de conocer los posibles ataques que un sistema puede sufrir y tiene como función localizar esas vulnerabilidades que un verdadero atacante pudiera explotar en el sistema, revelarlas y recomendar las soluciones que las eviten.

Por ello, el hacker ético no actúa por iniciativa propia. No entra en un sistema para sacar ventaja en su provecho. Analiza un sistema por encargo de sus responsables para que evidencie los peligros a los que están expuestos, aplicando las mismas técnicas y programas que utilizarían los hipotéticos asaltantes, en los ordenadores, en las redes de conexión y en los usuarios que operan en el sistema.

Y para convertirse en un hacker ético no es necesario ser un “friki” del ordenador o de la seguridad. Los objetivos, metodología, técnicas y programas pueden ser aprendidos de forma sistematizada, como se realiza cualquier otra capacitación para operar en las infraestructuras de IT. Los profesionales, responsables de sistemas y usuarios en general no tienen por qué tratar de aprender seguridad de hacker ético por sus medios, lo cual da lugar a una capacitación difícil, complicada y larga en el tiempo. Se puede recurrir a cursos presenciales que cuenten con instructores que facilitan esta formación a través de contenidos estructurados y con una metodología contrastada.


“Peritaje Forense Digital, la informática forense, es el área de la informática que se ocupa de reconocer que realmente se ha producido un ataque, su alcance y reunir la información necesaria para perseguir al autor y evitar que su acción quede impune”


 

Posibilidades de éxito del atacante

Pero capacitarse en seguridad desde la perspectiva del asaltante para así identificar los puntos débiles del sistema susceptibles de ataque y corregir en las mejores condiciones esas vulnerabilidades es importante pero no da todas las garantías de que el conocimiento y experiencia se haya aplicado correctamente. Hay que verificar que la seguridad está bien implementada y ajustada a los requisitos definidos. Y esto sólo se consigue mediante un correcto test de intrusión que ponga a prueba y verifique que los mecanismos de protección son los adecuados y están oportunamente colocados.

En un test de intrusión no se trata de verificar que cada mecanismos de seguridad implantado está activado y convenientemente configurado sometiéndoles a pruebas individualizadas. Se trata de ponerlos a prueba bajo condiciones reales de ataque, para verificar como son de vulnerables a las técnicas hacker reales, individualmente y en conjunto. Un atacante no se conformará con comprobar que la seguridad está activada, trata de localizar precisamente las brechas para conseguir penetrar en el sistema objetivo y esto es precisamente lo que debe perseguir un test de intrusión. Localizar las posibles brechas de seguridad para su mitigación.

Y al igual que se ha comentado anteriormente, es posible capacitarse en la metodología y desarrollo de un test de intrusión de forma cómoda, sin tener que convertirse en autodidacta en ello. Hay cursos que de forma asequible le proporcionan al alumno la estructura básica con la que pueden entender y desarrollar este tipo de pruebas. Interpretar los resultados obtenidos y, lo más importante, presentar conclusiones de manera eficaz.


 

Responder adecuadamente

Bien es cierto que no se podrá nunca construir un sistema totalmente invulnerable, pero si lo suficientemente seguro para que los atacantes desistan en una primera aproximación de sus intenciones y en caso de persistir, detectarlo inmediatamente y saber cómo actuar para evitar que el ataque que se está produciendo prospere. O en el caso de que llegue a producirse, reconocer el ataque, su alcance y reunir la información necesaria para perseguir al autor y evitar que su acción quede impune. Informática Forense o Peritaje Forense Digital es el nombre del área de la informática que se ocupa de ello. Un área que siempre ha evidenciado su necesidad, pero que sólo ahora ha adoptado carta de naturaleza propia y se ha revelado como un aspecto de la seguridad imprescindible en cualquier equipo de seguridad informática corporativo o en ámbitos de investigación privada.

seguridad TI
En seguridad parece que lo que realmente importa es impedir la intrusión, el ataque. Parece que, toda vez que los atacantes logran su objetivo y sobrepasan las barreras de protección que se han implementado, el profesional de seguridad IT sólo le queda lamentarlo profundamente, averiguar como lo ha hecho y poner las medidas necesarias para que no se vuelva a producir. Esto nunca ha sido así y menos aún en la actualidad. Si se produce una intrusión, los profesionales de la seguridad IT cuentan con los procedimientos y los programas necesarios con los que pueden dar respuesta a cuándo, dónde, cómo y quién ha perpetrado el asalto.

Hay quien puede pensar que hacer esas averiguaciones de poco sirve una vez que se ha materializado el ciberdelito, pero no es así. Cada vez son más los casos en los que se requiere la intervención de peritos forenses en informática que puedan aportar evidencias probatorias en litigios de robos de propiedad intelectual, robos de identidad, ciberacoso, fraudes informáticos, despidos laborales y toda el amplio abanico de posibles delitos cometidos desde un ordenador. Y más allá de lo estrictamente informático. La amplia difusión del uso del ordenador hace necesario que, en otros delitos que nada tienen que ver con la informática, se requiera la intervención de un perito forense informático.

En conclusión, la seguridad en las infraestructuras IT, personales o corporativas no se puede limitar a aplicar la configuración recomendada en sistema operativo o programas. Actualmente es importante conocer las tretas y programas utilizados por los atacantes, saber comprobar que realmente el sistema puede responder a esos riesgos y en caso de producirse algún incidente, es importante saber cómo tratarlo.


“Y para convertirse en un hacker ético no es necesario ser un “friki” del ordenador o de la seguridad. Los objetivos, metodología, técnicas y programas pueden ser aprendidos de forma sistematizada, como se realiza cualquier otra capacitación para operar en las infraestructuras de IT.”


> Deseo más información servicios seguridad IT
> Ver cursos formación seguridad en IT


Artículos Relacionados

Las ventajas de la digitalización con firma electrónica.

Compartiremos los distintos tipos de firma electrónica que proporciona el servicio VIDsigner de Validated ID, así como una demostración práctica...184205

09/03/2022

Seguir leyendo  

VI Encuentro de profesionales de la monitorización TI ¡Ahora Online!

En este encuentro ONLINE se presentarán casos de la vida real a través de una demo técnica donde se analizarán a fondo los principales temas de la monitorización.179639

14/12/2021

Seguir leyendo  

VI Encuentro de profesionales de la monitorización TI

En este encuentro se presentarán casos de la vida real a través de una demo técnica donde se analizarán a fondo los principales temas de la monitorización.178804

02/11/2021

Seguir leyendo  

aslan Week | IT Infrastructure

Gestionar y alinear personas, procesos, tecnología y mejorar la eficiencia operativa es el reto al que se enfrentan las empresas.163315

13/10/2020

Seguir leyendo