Descarga el PDF
Aprender a ser hacker, para prevenirlo
¿Qué tienen en común empresas como Sony, la NBC, ZenDesk, Target y Home Depot? Que todos fueron hackeados en los últimos años. Sí, lamentablemente los ciberataques son una amenaza creciente para todas las compañías, sin importar su tamaño. Aprender a ser hacker puede ser una táctica de defensa. ¿Cómo? Paso a paso lo veremos.
Desde robar datos privados, tomar el control de la computadora, o el cierre de un sitio web, los ciberdelincuentes pueden afectar seriamente cualquier negocio, en cualquier momento.
Los hackers pueden atacar de muchas maneras, y hay algunas muy populares y comunes, que pueden poner en peligro la seguridad de la compañía, su sitio web o la operación misma del negocio.
Muchas empresas contratan a hackers de sombrero blanco, conocidos como éticos, para poder contrarrestar a sus similares que trabajan en la ilegalidad. Gracias a ellos se ha aprendido que una de las formas más sencillas de afectar y llevar un virus o malware a un equipo es si el sistema de autenticación de usuarios del sitio web es débil.
Los sistemas de autenticación de contraseñas, implican la gestión de claves, identificadores de sesión y cookies que pueden permitir a un hacker acceder a su cuenta desde cualquier máquina y de forma remota (siempre y cuando sean válidos).
Si un pirata informático explota el sistema de autenticación y sesión de gestión, pueden asumir la identidad del usuario.
APRENDER A SER HACKER: EN LA MENTE DEL ENEMIGO
Existe otra forma de ataque común que se llama clickjacking. Este es cuando un hacker utiliza múltiples capas opacas para engañar al usuario para que haga clic en una capa superior sin que se entere.
Así, el atacante hace click en un link que no está destinado para una página real, pero lleva al usuario a una “similar” en la que el atacante quiere que se entre.
Usando una combinación cuidadosamente diseñada de hojas de estilo, iframes y cuadros de texto, un usuario puede creer que está escribiendo la contraseña de su cuenta bancaria en el sitio, pero en realidad lo hace en un marco invisible controlado por el atacante.
El método más viejo para obtener información y originar un hackeo es el llamado ataque de ingeniería social, que no es técnicamente un hack.
Sucede cuando a través de engaños se lleva a que un usuario divulgue información privada de buena fe, como un número de tarjeta de crédito, a través de las interacciones en línea comunes, tales como correo electrónico, chat, sitios de medios sociales o, virtualmente, cualquier sitio web.
Un ejemplo clásico de un ataque de ingeniería social es la estafa del tipo “la ayuda de tecnología Microsoft”. Sucede cuando un hacker se hace pasar por un miembro de soporte, y asegura que han detectado que el equipo esta lento y/o infectado, y que puede ser reparado rápidamente, a cambio de la solicitud de datos que después son utilizados para robar la identidad del usuario.
Otro muy común hoy en día son los ataques DDoS, o denegación de servicios. Causa que un servicio o recurso sea inaccesible o deje de funcionar. Provoca la pérdida de la conectividad de la red por el consumo de ancho de banda al sobrecargar los recursos del sistema de la víctima.
El ejemplo más común de un ataque DDoS podría ser el envío de toneladas de peticiones de URL a un sitio web en una cantidad muy pequeña de tiempo. Esto provoca cuellos de botella en el lado del servidor, porque la CPU simplemente se quedó sin recursos.
Finalmente, otro de los ataques comunes: introducir virus o malware a los equipos de los trabajadores, ya sea cuando se conectan a una red WiFi pública, o al darles memorias USB contaminadas que pueden regalarse en la calle o exposiciones o conferencias a las que asisten. Una vez afectada la máquina o móvil, al entrar al sistema central de la empresa, esta puede quedar infectada también, y muchas veces, sino se tiene un buen sistema de gestión de la seguridad, se puede introducir y ser invisible robando por un tiempo datos y secretos industriales que son sensibles para el avance de la firma.
A veces hay que aprender a ser hacker, a pensar como uno o contratarlo, para poder contrarrestar los ataques más comunes que ponen en riesgo la operación diaria del negocio.