Es seguro asumir que, en la era de Internet, todas las organizaciones y servicios serán objetivo de hackers maliciosos tarde o temprano. No es una cuestión de si, sino de cuándo.
- ¿Qué Significa "Hackear"?
- El Primer Hackeo
- ¿Qué Cosas Puede Hacer un Hacker?
- No Todos los Hackers son Iguales
- ¿Por qué la Gente Hackea?
- Tipos de Hacking
- ¿Cómo se Hackea un Ordenador?
- Los Hackers Parecen tan Geniales en las Películas
- ¿Cómo Mitigan las Organizaciones los Hackeos?
- Ups, Ha Ocurrido
- Cómo Protegerte
¿Qué Significa “Hackear”?
El término “Hackear” es la acción de realizar “Hacking“, que tiene su origen en una palabra germánica que significa “cortar en pedazos“, es el proceso de recopilar información (o cualquier cosa, en realidad) de una manera novedosa que resulte en algo interesante o útil. En el contexto informático, la palabra tiene una connotación positiva. Por ejemplo, Steve Wozniak, uno de los fundadores de Apple, era un hacker excepcional.
Hoy en día, el término “hacker” se utiliza con más frecuencia para describir a alguien que descubre y explota una debilidad o vulnerabilidad del sistema informático. Los hackers utilizan las vulnerabilidades para bloquear el acceso al sistema, recopilar información u obtener acceso a más ordenadores de una red.
Esto no significa que los hackers sean todos “malos”. De hecho, existe una profesión de hacking ético conocida como pruebas de penetración (pentesting).
El Primer Hackeo
El primer incidente de manipulación ilegal de un sistema técnico se produjo en 1878. Un grupo de adolescentes, contratados por la empresa de comunicaciones Bell Telephone, desconectaban y desviaban abruptamente las llamadas para hacer el tonto. Sin embargo, este incidente rara vez se menciona como el primer incidente de hacking.
El que se considera el primer uso de la palabra “hacking” para acceder ilegalmente a un sistema ocurrió en 1959. Los miembros del Tech Model Railroad Club utilizaron la palabra “hacking” para referirse a cortar un circuito y controlar los carriles y las agujas.
Más tarde, en 1969, un grupo de entusiastas de la tecnología y las maquetas de trenes del M.I.T. se retó a sí mismo a hackear el sistema de una compañía ferroviaria para mejorar su eficiencia.
Aunque ilegal, el incidente del M.I.T. no fue dañino ni malicioso.
El primer hackeo, tal y como reconocemos la palabra hoy, ocurrió en 1971. Algunos individuos descubrieron que si hacían un ruido de silbido agudo a 2600 hercios, podían acceder al sistema de conmutación de larga distancia de AT&T. Esto les permitía realizar llamadas telefónicas nacionales e internacionales de forma gratuita.
¿Qué Cosas Puede Hacer un Hacker?
Mientras tu ordenador está conectado a Internet, el malware que un hacker ha instalado en su PC transmite silenciosamente tu información personal y financiera sin tu conocimiento. O bien, un depredador informático puede abalanzarse sobre la información privada que has revelado involuntariamente. En cualquiera de los casos, podrán:
- Secuestrar tus nombres de usuario y contraseñas
- Robar tu dinero y abrir cuentas bancarias y de tarjetas de crédito a tu nombre.
- Arruinar tu crédito
- Solicitar números de identificación personal (PIN) para nuevas cuentas o tarjetas de crédito adicionales
- Realizar compras
- Se añaden a sí mismos o a un alias que controlan como usuario autorizado para que les resulte más fácil utilizar su crédito
- Obtener anticipos en efectivo
- Utilizar y abusar de tu número de la Seguridad Social
- Vender tu información a otras partes que la utilizarán con fines ilícitos o ilegales
Los depredadores que acechan a las personas mientras están en línea pueden suponer una grave amenaza física. La mejor manera de mantenerse a salvo es extremar la precaución cuando se acuerda quedar en persona con un “amigo” o conocido en Internet.
No Todos los Hackers son Iguales
Hay varios tipos de hackers. Estos son algunos de los términos más comunes utilizados para describir a los hackers y lo que hacen:
- Sombrero Blanco o White Hat: Los hackers de sombrero blanco operan éticamente como probadores de penetración. Tienen pleno permiso contractual para intentar comprometer un sistema y operan legalmente. Su objetivo es encontrar vulnerabilidades del sistema y mejorar la seguridad del mismo.
- Sombrero Negro o Black Hat: Estos hackers son los típicos hackers de medianoche con capucha que aparecen en los medios de comunicación. Operan de forma ilegal y explotan los sistemas para obtener algún tipo de beneficio personal.
- Sombrero Gris o Grey Hat: Los hackers de sombrero gris operan en la periferia. La mayoría de las veces, hackean con buenas intenciones, pero puede que no hayan enfocado el hackeo de forma totalmente ética o legal.
¿Por qué la Gente Hackea?
El pirateo o “hackeo” tiene una mala connotación, pero los motivos de los piratas informáticos (hackers) varían en el espectro blanco, negro y gris. Estos son los motivos más comunes de los hackers.
- Dinero rápido: Los hackers suelen estar motivados por la obtención de información de tarjetas de crédito robadas o por la venta en línea de la información violada.
- Hacktivismo: El hacktivismo es el uso de técnicas de hacking para impulsar el activismo político. Los hacktivistas suelen manipular sitios y redes como forma de protesta. Suelen realizar un ataque de denegación de servicio distribuido (DDoS), que interrumpe el acceso a la red. Anonymous es un famoso grupo de hacktivistas.
- Seguridad nacional/ciberguerra: Stuxnet es un ejemplo ampliamente conocido de una estrategia de hacking respaldada por la seguridad nacional. Stuxnet es un gusano informático que atacó instalaciones nucleares iraníes. Se presume que el gusano es un esfuerzo conjunto de las agencias de inteligencia estadounidenses e israelíes. Los ciberataques nacionales suelen tener mucho éxito, ya que sus equipos tienen los recursos y la paciencia para encontrar vulnerabilidades y explotarlas.
- Mejorar los sistemas de seguridad: Como ya se ha dicho, los probadores de penetración o sombreros blancos hackean sistemas para comprobar las vulnerabilidades y mejorar la seguridad.
- ¿Por diversión?: Muchos hackers piratean simplemente porque pueden hacerlo. Para algunas personas, hackear es como un pasatiempo. Como sucede con la mayoría de los pasatiempos, es otra razón para conectarse con una comunidad de individuos con ideas afines.
Tipos de Hacking
Hay dos tipos principales de hacking
Las estrategias de hacking se dividen en dos categorías, independientemente del color del sombrero del hacker.
Categoría 1: Día Cero
La primera categoría de hackeos son las vulnerabilidades nunca vistas, también conocidas como vulnerabilidades de día cero (o Zero-Day). Son las más dañinas porque no están parcheadas. Los equipos de seguridad no saben cómo defenderse de ellas, y a menudo ni siquiera se dan cuenta de que un sistema ha sido comprometido. Los hackers que están detrás de estos ataques son hackers altamente cualificados y muy inteligentes.
En la mayoría de los casos, los hackers “guardan” estos ataques para algo que tenga un gran rendimiento económico. Los ataques de día cero suelen llevarse a cabo contra empresas multinacionales o sistemas de seguridad nacionales.
Heartbleed fue un exploit de día cero publicitado en 2014 contra servidores Linux. (Para aquellos que piensen “no pasa nada, yo uso Mac/Windows“, los servidores Linux comprenden casi el 96,6% de los servidores públicos de Internet).
Sorprendentemente, no hay forma de saber cuántas personas conocían y utilizaban el exploit antes de que se hiciera público, y el código que explotaba Heartbleed se introdujo tres años antes de que se hicieran públicas sus vulnerabilidades.
Categoría 2: Todo lo demás
La mayoría de los hacks actuales utilizan código que ha sido escrito por otra persona y liberado en la naturaleza. Este tipo de hacker suele llamarse script kiddie, ya que utiliza software preexistente para lanzar ataques y no tiene muchos conocimientos de programación, si es que los tiene.
El proceso de un script kiddie es el siguiente
- Descarga un código o script malicioso
- Lo dirige a alguien o a algo en Internet que no le gusta
- Pulsa “ejecutar“.
Estos hacks son bastante fáciles de defender si un ordenador está actualizado.
“Una de las formas más comunes de crear ataques “hechos antes” es observando las actualizaciones de seguridad de Windows, notando las vulnerabilidades que cerraron y atacando esas vulnerabilidades en los servidores que no se han actualizado a tiempo.”
Nick Turner, CISO, Echosec Systems
Las organizaciones de seguridad son muy buenas a la hora de impulsar las actualizaciones de seguridad una vez que se han descubierto los hacks y se ha liberado el código. Si un niño puede encontrar un script en línea, también puede hacerlo un profesional de la seguridad.
¿Cómo se Hackea un Ordenador?
Este es un proceso fácil, paso a paso, para hackear un ordenador:
- Pedir al operador la contraseña.
- Inicie sesión.
En serio. La ingeniería social, la práctica de manipular a las personas para que divulguen información, es, con mucho, el método más sencillo para acceder a un sistema informático. Es posible que los usuarios no revelen su contraseña intencionadamente, pero un poco de astucia, conocimientos de psicología y un toque de engaño son más que suficientes para que los hackers consigan lo que quieren.
Esto puede parecer una exageración (“yo nunca caería en eso…“), pero un número sorprendente de personas ceden voluntariamente su información después de ver un correo electrónico de phishing bien redactado.
Hace unos años, un pirata informático robó el ID de Twitter @N (que aparentemente está valorado en 50.000 dólares) a través de unas ingeniosas llamadas telefónicas. Básicamente, el hacker llamó a Paypal y utilizó tácticas de ingeniería social para obtener los cuatro últimos dígitos de la tarjeta de crédito de la víctima. A continuación, llamó a la empresa de alojamiento de sitios web de la víctima, GoDaddy, y utilizó la información de la tarjeta de crédito para restablecer las contraseñas. A continuación, el hacker mantuvo como rehén el sitio web de la empresa de la víctima hasta que ésta se vio obligada a renunciar a @N.
El hackeo basado en la programación es bastante más difícil, ya que implica un gran esfuerzo para encontrar las vulnerabilidades expuestas. Los hackers explotan el código vulnerable para obtener privilegios administrativos completos del sistema. Muchos hacks básicos requieren un enfoque de “aguja en un pajar” para encontrar piezas inseguras del código de un programa, y no sirve cualquier código que se comporte mal. Debe fallar de forma que beneficie al hacker.
¿Sabías que? Si alguien tiene acceso físico a un ordenador durante un periodo de tiempo prolongado, es muy poco lo que se puede hacer para evitar que acceda a los datos.
Los Hackers Parecen tan Geniales en las Películas
El hacking no es tan glamuroso como lo pinta Hollywood. Se trata de un montón de experimentos de fuerza bruta y conjeturas que pueden llevar meses (o más). (Por cierto, ¿ya has visto las Mejores series de TV relacionadas al Hacking?)
Este es un gran ejemplo de lo que no es el hacking. En el vídeo, dos personas intentan defenderse de un hackeo escribiendo furiosamente mientras miles de ventanas emergentes inundan la pantalla. Más manos en un teclado no ayudan, ni la mayoría de los hackers anuncian su presencia en un sistema con molestas ventanas emergentes.
La representación de Zuckerburg en la “Red Social” (película) es mejor. Aunque está disfrazado, su hackeo es técnicamente preciso: navega por diferentes directorios de estudiantes y utiliza scripts básicos para navegar por la estructura y la seguridad de cada sitio para descargar imágenes. Sólo coge varios cientos de fotos de sitios web muy inseguros en el transcurso de una sesión de codificación nocturna, ignorando los sitios de más difícil acceso. Eso sería mucho trabajo.
Seguramente lo preguntarás y sí. Existen Programas y Sitios Web para simular ser un Hacker.
¿Cómo Mitigan las Organizaciones los Hackeos?
Las organizaciones que practican una buena seguridad almacenan la información importante de los usuarios en distintos lugares y bajo diferentes protocolos de seguridad. De este modo, cuando los hackers entran en un ordenador con una lista de nombres de usuario, no consiguen necesariamente otra información personal, como las tarjetas de crédito. Los firewalls también ayudan a proteger una red contra los ciberataques.
Las organizaciones pueden establecer sistemas de monitorización de la red para detectar un hackeo en curso. El sistema puede pasar por alto los primeros movimientos, pero puede descubrir a los hackers descargando información o cometiendo otras actividades nefastas. El equipo de seguridad de la empresa puede entonces intervenir y mitigar los daños. Las organizaciones también pueden utilizar herramientas de descubrimiento de datos para encontrar pruebas tempranas de violaciones de datos o de hacking en sitios como Pastebin y la web oscura.
Las empresas seguras también educan a su personal sobre las mejores prácticas de seguridad, como las prácticas de contraseñas, la autenticación de 2 factores y cómo identificar los correos electrónicos de phishing o la ingeniería social. También emiten avisos si se producen actividades sospechosas.
Ups, Ha Ocurrido
¿Qué ocurre cuando las organizaciones no protegen adecuadamente sus datos? Adobe y Sony son buenos ejemplos de empresas importantes que se vieron comprometidas debido a la falta de estrategias de seguridad.
Adobe se olvidó de cifrar y almacenar adecuadamente la información de los usuarios. Cuando su sistema fue pirateado, a los hackers les costó muy poco esfuerzo revertir las contraseñas. Los investigadores de seguridad afirmaron que la empresa “debería agachar la cabeza de vergüenza” en relación con sus sistemas de seguridad. Sony tampoco estableció un sistema de seguridad adecuado, al no detectar la hemorragia de más de 100 terabytes de información de sus servidores.
Los hackers buscan cualquier dato valioso. Puede tratarse de una gran variedad de cosas: información personal identificable, información financiera, códigos, documentos clasificados y mucho más. Esta información suele venderse, utilizarse para la extorsión o emplearse para acosar e intimidar a las personas.
Cómo Protegerte
Hay una serie de medidas que puedes tomar a nivel individual u organizativo para defenderte de los hackers:
- Consulta al equipo de TI de tu organización y aplica sus mejores prácticas
- Instala actualizaciones con regularidad
- Invierte en un software antivirus
- Utiliza contraseñas novedosas para cada cuenta y almacénelas en un administrador de contraseñas
- Utiliza la autenticación de 2 factores
- Invierte en formación en ciberseguridad para educar al personal sobre las mejores prácticas de seguridad y tácticas como la ingeniería social y el phishing
- Utilizar un firewall para proteger la red de la organización
- Utilizar conexiones WiFi seguras (Aprende a Evitar ser Víctima de un Ataque Evil Twin)
- Hacer copias de seguridad de los datos
- Mantén los dispositivos almacenados de forma segura
- Utiliza herramientas de descubrimiento de datos para encontrar y mitigar proactivamente las amenazas de ciberseguridad (Cómo Saber si he sido Hackeado)
Los hackers y sus estrategias son de todo tipo, pero una cosa es cierta: es cuestión de cuándo, y no de si, las organizaciones serán objetivo de los actores maliciosos. Las consecuencias de una violación de datos pueden ser devastadoras tanto para las víctimas individuales como para la reputación global de una organización. Invertir tiempo y recursos en prácticas básicas de seguridad, software, formación y herramientas de detección de amenazas es la mejor manera de prepararse para lo inevitable.