Para Kevin Mitnick, consultor de seguridad tecnológica y autor de varios libros sobre el tema, la vulnerabilidad de los activos informáticos de una empresa no depende sólo de qué tan bueno sea su firewall.
El estadounidense de 45 años fue conocido en un tiempo como el mejor hacker del mundo, especializado en acceso a redes telefónicas con distintos fines (phreaking). Hoy en día se define a sí mismo como un "hacker ético" que se dedica a dar charlas y desarrollar textos sobre seguridad tecnológica, aunque admite que solía ser un "black hat", alguien que utilizaba sus conocimientos para obtener acceso a redes por vías más allá de la ley. También maneja una firma de consultoría, Mitnick Security Consulting, cuyo personal se dedica a encontrar las vulnerabilidades de sus clientes, ingresando a las redes con autorización previa.
Mitnick participará el próximo 10 de abril en el Foro Mundial de Tecnología de El Nacional, al lado del mundialmente conocido Nicholas Negroponte. Sobre su presentación, adelanta que mostrará en qué consiste realmente un ataque informático con herramientas sociales, cómo lo hacen aquellos que logran convencer o forzar la confianza de personas para conseguir una ventaja o recompensa personal. Presentará un ejemplo en que este tipo de actividad permitió concretar una estafa de diez millones de dólares y detallará cinco trucos que permitieron alcanzar este objetivo, con sus probabilidades de éxito.
Para que las empresas puedan estar protegidas contra este tipo de amenaza, Mitnick recomienda hacer una evaluación de vulnerabilidades partiendo de un escenario catastrófico. ¿Qué es lo peor que podría pasar?, debería ser la pregunta inicial.
Educar a la fuerza de trabajo es fundamental para que sepan el valor exacto del conocimiento que manejan y la manera de proteger cierta información a la que tienen acceso, según indica.
Los trabajadores deben estar prevenidos para reconocer un posible ataque, estar informados de los riesgos de la ingeniería social utilizada de una manera antiética en este contexto y saber cómo reaccionar a tiempo.
Sostiene que muchas veces los casos en que la ingeniería social ha sido utilizada para hacer daño a una compañía a través de sus recursos informáticos, no salen a la luz pública: "No quieren exponerlo, suelen estar apenados de que ocurra". Por eso el número de casos es mucho mayor de lo que se conoce.
Expondrá también como se pueden prevenir estos ataques al realizar pruebas preventivas, por ejemplo, contratando a alguien que intente aplicar ingeniería social contra una red y se pueda determinar así su grado de vulnerabilidad.
Paralelamente, demostrará como se llevan a cabo una serie de ataques, desde obtener control de un buzón de voz hasta cambiar las extensiones de una central telefónica; además de trucos que se emplean para obtener información y contraseñas que posteriormente facilitarán el ingreso al atacante.
Como ejemplo menciona el de una empresa global de Internet que fue "secuestrada" por un hacker ubicado en Irán y que logró extorsionar efectivamente a la compañía para que le pagaran tres mil dólares a cambio de devolverles el manejo de su website. ¿La razón? Era más económico pagar la extorsión que intentar recuperar el control por otros medios y permanecer más tiempo fuera del ciberespacio, perdiendo clientes y dejando de facturar. De paso, encontrándose en un país remoto, el atacante es virtualmente invulnerable, sentencia Mitnick.
El mensaje final de Mitnick, es que la seguridad consiste en una combinación entre la actitud de las personas que integran una compañía y los activos de seguridad informática que posea, desde firewalls hasta diferentes capas de seguridad que protegen el acceso a aplicaciones.
Pero sobre todo, como siempre habrá personas dentro de una empresa que tengan acceso garantizado a la información y programas clave, enfatiza que el personal esté alerta, preparado y conciente de que su participación es clave para prevenir lo peor.
Fuente: http://www.todo-linux.com/
No hay comentarios:
Publicar un comentario