Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

“Hackéame como puedas”: así se protegen las grandes empresas de la amenaza constante de ciberataques

Dos participantes en la 'Hacker night' de la RootedCON, un evento de hacking ético.

Carlos del Castillo

24 de marzo de 2024 22:04 h

1

Los ciberataques ya no son un hecho aislado, sino el día a día del entorno digital. Según Datos 101, en 2023 los ciberataques en España crecieron un 30% alcanzando la cifra de 40.000 diarios. Un incremento que se dejó notar especialmente en el sector tecnológico y financiero, recoge el último informe de Mastercard. Estos dos objetivos, junto a las administraciones públicas, concentraron el 62% de las ofensivas. La firma de ciberseguridad S21 Sec coloca a España como el octavo país más atacado por ciberdelincuentes el año pasado.

Se suele decir que la mejor defensa es un buen ataque, y el terreno de la ciberseguridad no es una excepción. Uno de los métodos de prevención más efectivos y a veces desconocidos que adoptan las empresas, especialmente las más grandes, es contratar a hackers para que las ataquen. Y que lo hagan tal y como haría un ciberdelincuente.

Es una práctica que se conoce como “hacking ético” y que se encarga a profesionales especialmente preparados para ello. “Las empresas lo utilizan para identificar vulnerabilidades o agujeros antes de que los piratas o actores maliciosos lo hagan, los exploten y puedan causar una brecha de seguridad e impactar en el propio negocio”, explica a elDiario.es Omar Benbouazza, especialista en esta rama de la ciberseguridad.

Se suele decir que los hackers tienen diferentes sombreros. Están los del sombrero negro (black hat), los ciberdelincuentes que atacan organizaciones para enriquecerse. Los de sombrero blanco, que las protegen. Y los de sombrero rojo, que son los que intentan penetrar en organizaciones con las mismas tácticas que utilizan los hackers de sombrero negro, pero con el objetivo de que las empresas y administraciones puedan anticiparse a ellos.

A todo hacker le gusta ponerse un sombrero rojo de vez en cuando. Uno de los últimos eventos donde más de un centenar de ellos se juntaron para pasar toda la noche intentando penetrar en empresas voluntarias fue en la RootedCON, uno de los congresos de ciberseguridad más importantes de España que se celebró este marzo en Madrid. Benbouazza, coorganizador del encuentro, explica que los primeros hackers llegaron sobre las 9 de la noche y los últimos se marcharon a las 8 de la mañana. “Se repartió bastante dinero”, adelanta.

No porque los hackers robaran nada, sino porque las compañías participantes, voluntarias, reparten recompensas entre los que logran detectar vulnerabilidades. Esa noche se detectaron hasta 44 agujeros de seguridad; uno de ellos “crítico”, de esos que si es un sombrero negro el que lo descubre el ataque termina protagonizando titulares en los periódicos. Un “hackéame como puedas” preventivo.

Benbouazza avisa que no se puede contar mucho más ya que lo que ocurre en estos eventos está protegido con estrictas cláusulas de confidencialidad. Esos agujeros ahora deben ser solventados y esas soluciones, testadas para asegurar su eficacia. “Hubo nueve empresas participantes, la mayoría de ellas internacionales, del sector de la banca, cripto, retail, inteligencia artificial, software, ciberseguridad...”, desvela.

Se trata de una práctica en la que los expertos en ciberseguridad comparten en muchas ocasiones los mismos espacios que los ciberdelincuentes. Se informan en los mismos foros e incluso debaten, sin llegar a desvelar nunca su identidad. Así es como se enteran de sus últimas prácticas y así es como, en ocasiones, se producen fichajes, tanto en un sentido como en otro: ciberdelincuentes que fichan por las fuerzas de seguridad y hackers de sombrero blanco que dejan su trabajo y se mudan a lugares como Tailandia.

“Nunca se suele saber si lo hacen porque dejan la profesión... o porque se han pasado al otro lado”, dice David Marqués, uno de esos profesionales acostumbrados a tratar con ciberdelincuentes para tratar de anticiparse a ellos.

Líneas rojas

El truco de los hackers éticos es imitar a los malos todo lo posible. Aunque hay ciertas líneas rojas. “Nunca se utiliza la vida personal de los empleados, que es algo que los ciberdelincuentes no dudarían en hacer”, asevera Marqués, jefe de operaciones en la península ibérica de la firma de ciberseguridad Advens. “Tiene que ser ético, tiene que ser concertado con la empresa, tiene que ser sin invadir la intimidad del empleado”, resume.

Más allá de eso, la imaginación es el límite. A veces, la contratación de servicios red team (como se les denomina en el sector de la ciberseguridad en referencia al color del sobrero hacker) termina en hackeos de película. “No puedo dar detalles de la empresa, pero una vez lo que hicimos fue colarnos en las oficinas de un banco y colocar un keylogger [un dispositivo que registra las pulsaciones y roba contraseñas] entre el ordenador y el teclado de un empleado. No era detectable y no pudieron pararlo de ninguna manera”, presume.

Y es los ejercicios de hacking ético no se limitan a testar la infraestructura digital de las organizaciones, sino también su seguridad física para acceder a la información. “Hubo una gran compañía de logística que el ejercicio de red team fue colarse en sus almacenes e intentar robar o manipular información. Simplemente diciendo 'hola', pudimos llegar hasta los servidores y pinchar lo que nos dio la gana”, recuerda el experto.

“Hay veces que son ejercicios de meses. Hemos llegado a estar hasta cinco años”, explica. En una de esas comprobaciones de larga duración, su equipo compró un dominio de nombre muy similar a la empresa que los había contratado. “Lo hicimos muy silencioso para que nadie denunciara que habíamos comprado un dominio parecido. A los tres meses una aplicación en su Teams [la plataforma de trabajo online de Microsoft] gracias a una vulnerabilidad de Teams que ya se ha corregido. De esa manera cualquier usuario podía ver esa aplicación que llevaba a nuestro dominio”, expone.

“Entonces mandamos un correo a todos los empleados diciendo que se había publicado una nueva aplicación de gestión de nóminas. En realidad lo que tenía era un robo de token. Un token en Office es tu sesión de usuario. Teniendo ese token me puedo hacer pasar por ti sin tener tu contraseña. Robamos el token de 180 empleados de un total de 1.500”, recuerda Advens.

Este es un punto que también enfatiza Benbouazza: la importancia de la conciencia y la capacitación de los empleados en la prevención de ataques. “El 10% de los agujeros de seguridad se producen por el phishing en las empresas. Eso es que recibes el correo electrónico, lo abres o tiene un adjunto o haces clic en un enlace ahí”, resume. Una práctica de seguridad básica.

En medio de este constante juego de gato y ratón entre empresas y ciberdelincuentes, el hacking ético emerge como una herramienta más para anticiparse y combatir los ciberataques antes de que se produzcan. Una especie de vacuna digital para evitar que los ciberdelincuentes vayan siempre un paso por delante.

Etiquetas
stats