..."Lo que os puedo dar os doy, que es una ínsula hecha y derecha, redonda y bien proporcionada..."
"Don Quijote de la Mancha". Capítulo XLII: " De los consejos que dió Don
Quijote a Sancho Panza antes que fuese a gobernar la ínsula..."

ISSN: 1810-4479
Publicación Semanal. Año 3, Nro.128, Viernes, 16 de junio del 2006

Libro de visitas

 

La gente puede ser el ‘sistema’ más vulnerable / Kevin Mitnick, quien fuera el hacker más famoso del mundo, habla sobre las principales amenazas en Internet y las redes corporativas
Por Javier Méndez

Las empresas gastan un dineral en tecnologías para proteger sus redes de computadores. Invierten en firewalls, antivirus, dispositivos de autenticación, software de encriptación y otras armas que resguardan sus murallas de los arietes y catapultas informáticas empleadas por los atacantes. Pero la principal vulnerabilidad podría ser una que no se fortalece con parches de software: su propia gente.

Eso piensa Kevin Mitnick, un hombre de 42 años que adquirió fama mundial precisamente por vulnerar el elemento humano. El estadounidense, quien fuera el hacker más famoso a mediados de los años 90, no siempre utilizó un arsenal tecnológico para penetrar en redes privadas: le bastó con una llamada telefónica a un empleado confiado que le reveló una contraseña o le dio algún privilegio en la red corporativa. Esta técnica se conoce como ingeniería social.

Mitnick, quien después de cumplir una condena de cinco años decidió trabajar en la otra orilla como consultor de seguridad, dice que la inversión en tecnología puede ser poco efectiva si las compañías no tienen en cuenta que su gente es un eslabón vulnerable; por eso, se les debe enseñar a los empleados a pensar defensivamente e inculcarles buenos hábitos de seguridad.

Por ejemplo, es la gente la que abre las puertas de la red al configurar mal un punto de acceso inalámbrico o al ejecutar de manera cándida los archivos maliciosos que llegan en el correo electrónico corporativo. Lo mismo sucede en los hogares, cuando el usuario comete el error de empezar a usar su nuevo PC en Internet sin preocuparse por las defensas mínimas: activar el firewall personal de Windows XP y adquirir un programa antivirus y mantenerlo actualizado.

Mitnick, principal conferencista del primer Foro de Seguridad IT, organizado por El Tiempo y la revista ENTER 2.0 (realizado el 17 de mayo en Bogotá), habló sobre ese y otros temas con nuestra publicación. Estos son algunos apartes de la entrevista.

Enter 2.0: Internet es una gran innovación, pero también hizo que nuestros computadores fueran más inseguros. ¿Cómo se pueden combatir amenazas tan difusas como un sujeto anónimo ubicado en Rusia o China que puede penetrar a nuestro PC para robar contraseñas y números de tarjeta de crédito?

Kevin Mitnick: Es cierto, cuanta más tecnología hay, más interoperabilidad tenemos, y eso aumenta las vulnerabilidades.

Lo primero que se debe hacer para mitigar el riesgo es limitar a qué se puede conectar el atacante, ya que para que él saque provecho de un sistema debe poder comunicarse con un programa, como una aplicación de servicios web, por ejemplo. Y en el caso de los servicios que se deben tener activos, como los de acceso remoto, es necesario mantenerlos actualizados y con todos sus ‘parches’ de software.

Las empresas también deben tener en cuenta la debilidad del factor humano en sus políticas de seguridad. La tecnología es crítica, pero así mismo la gente. Una persona se puede manipular mediante la ingeniería social para que ayude de manera involuntaria al atacante y le permita la entrada a su computador. Es lo que sucede en los fraudes basados en phishing, por ejemplo, en donde se engaña al usuario mediante un correo.

E: ¿Cuáles son las principales amenazas para las empresas y las personas en Internet?

K.M.: En el caso de las compañías eso depende del negocio. Si son instituciones financieras uno de los peligros es que el delincuente consiga nombres de usuarios y contraseñas y pueda realizar transferencias de dinero. Otras empresas tienen información importante –como sus listas de clientes, sus planes de negocios o sus datos financieros– que alguien podría robar porque son datos valiosos para las firmas rivales.

También hay personas que usan programas automáticos para escanear Internet en busca de computadores vulnerables. Así, por ejemplo, podrían entrar al servidor de una empresa colombiana que vende café y tendrían la opción de usar ese computador para lanzar un ataque contra otro sistema en cualquier lugar mundo; y si se rastreara esa acción, la investigación conduciría a la empresa de café, y no al atacante real.

Por su parte, entre los usuarios comunes, un problema frecuente es que las personas compran un PC y lo empiezan a usar en Internet tal como viene. Muchos no están conscientes de que se están conectando a Internet de manera abierta, y que es importante activar un firewall personal, bajar los parches del sistema e instalar un antivirus y mantener sus definiciones actualizadas.

Tampoco saben que hay spyware o programas troyanos escondidos en aplicaciones que bajan de Internet y que en apariencia son benéficas; este software tiene una función secreta, que a veces es permitir que un atacante tenga acceso a su PC de manera clandestina.

E: ¿Qué sistema operativo usa, y qué opina de Windows: es tan vulnerable en comparación con Linux o el Mac OS como suele decirse?

K.M.: Yo uso los tres sistemas: Windows, Linux y el Mac OS. Creo que la mayor debilidad en Windows es que en Linux y el Mac OS la persona obtiene privilegios de administración al ingresar con cierto tipo de usuario. En Unix se conoce como root user, y lo llamamos ‘Dios’ porque puede hacer lo que sea en el computador y tener acceso a todo; pero la gente utiliza esas cuentas para labores de administración y no para hacer su trabajo diario.

En cambio, en la mayoría de ambientes Windows las personas trabajan con privilegios de administrador local porque muchas aplicaciones para Windows requieren que el usuario tenga derechos de administración. Pero eso se convierte en un problema si usted tiene software malicioso en el PC.

Como el usuario está trabajando con esos derechos, una vez que el atacante engañe a la persona para que ejecute un programa malicioso, él también quedará con privilegios de administración completos y podrá hacer lo que quiera.

Por eso pienso que, sólo debido a las prácticas comunes, los ambientes Unix son más seguros. Sin embargo, si una empresa se toma el tiempo para configurar Windows de forma apropiada, creo que puede ser tan seguro como Unix o Linux, e incluso más. Realmente depende más de la configuración que del sistema operativo que se esté utilizando.

Por supuesto, escuchamos mucho sobre vulnerabilidades en Windows y la razón es que la mayoría de los atacantes está buscando fallas de seguridad en Windows por su amplia penetración en el mercado: hay más computadores con Windows que con cualquier otro sistema.

E: ¿Son confiables las transacciones en línea? ¿Usted se siente tranquilo al usar el sitio web de su banco o al emplear su tarjeta de crédito en Internet?

K.M.: Sí, y la razón por la que me siento cómodo es que en Estados Unidos si alguien usa mi número de tarjeta de crédito y compra algo, todo lo que debo hacer cuando vea la transacción en mi extracto es llamar a la compañía financiera, decirle que no hice esa compra y ellos la quitan de la cuenta. En Estados Unidos es el banco el que corre el riesgo, no el cliente, así que no tengo problema en usar la tarjeta de crédito en Internet.

E: Las redes inalámbricas son cada vez más populares. ¿In crementa eso los riesgos? ¿Son estas redes más inseguras?

K.M.: Hay varias vulnerabilidades en las redes inalámbricas; una de ellas es que no existe la seguridad física, ya que los datos se envían por el aire. Una red convencional está físicamente asegurada por los cables, pues el atacante tiene que entrar al edificio o conectarse a la red a través de Internet.

Por otra parte, hay estudios de gente que rastrea redes inalámbricas y analiza su configuración, y los resultados muestran que la mitad de las redes inalámbricas está abierta y la otra mitad se asegura en su mayoría mediante tecnología WEP –solo una pequeña cantidad utiliza WPA y WPA2–.

Eso significa que la mitad de las redes está completamente desprotegida y la mayoría de las que están aseguradas emplea un sistema débil; es posible violar una llave WEP en unos 10 o 15 minutos después de capturar el tráfico de la red.

El problema es que la gente compra un enrutador inalámbrico, lo conecta y lo habilita sin ninguna seguridad, con lo que abre completamente su red. Tener una red abierta significa que ni siquiera se necesita una contraseña para entrar.

Hay empresas pequeñas en donde pasa lo mismo. Compran un enrutador inalámbrico para que algunos empleados tengan acceso sin cables en todas las oficinas y no se dan cuenta de que están abriendo las puertas de la red de la compañía a cualquier persona que esté en un rango de 300 metros, fuera del edificio. Y cuando el atacante está dentro de la red interna, ya ganó tres cuartos de la batalla.

E: Algunos expertos opinan que la motivación de los hackers cambió. Antes entraban a las redes corporativas por curiosidad o para obtener reconocimiento en la comunidad de hackers. Pero hoy muchos tienen sólo una motivación económica, e incluso son contratados por organizaciones criminales. ¿Por qué se produjo esa evolución?

K.M.: Algunas de las motivaciones de los hackers suelen ser dinero, entretenimiento, ego o estatus en la comunidad de los hackers. Pero en Internet la gente puede comprar productos y servicios, hay cientos de miles de transacciones diariamente, y en donde quiera que hay tecnología involucrada se hace fácil robar.

Entonces, la tendencia que veo es que la gente está usando habilidades de hacker para cometer fraudes.
En mis días, los hackers se movían más por el reto intelectual o por curiosidad. Todavía hay gente que actúa con esas motivaciones, pero la facilidad de robar usando tecnología o de alcanzar empresas ubicadas en cualquier lugar del mundo por Internet atrae al crimen organizado y a cierto tipo de bandas.

Ellos prefieren el fraude por Internet porque incluso si son atrapados, van a recibir un castigo muy inferior al que tendrían si son capturados atracando un banco o cometiendo otro tipo de crímenes físicos.

E: ¿Cuáles son sus principales actividades hoy en día?

K.M.: Viajar por todo el mundo para hablar sobre seguridad informática. También escribí dos libros, El arte del engaño y El arte de la intrusión. Y a finales de este año voy a estar trabajando en mi autobiografía. T ambién hago evaluaciones de seguridad y pruebas de penetración, lo que se conoce como hacking ético. Además, ofrezco entrenamiento en seguridad y trabajo en proyectos especiales para ciertas compañías.

E: ¿Qué aficiones tiene? ¿Qué hace cuando no está trabajando?

K.M.: Me gustan las novelas de suspenso sobre temas legales. También voy a cine y a la playa cuando estoy de viaje en lugares como California (vivo cerca aLas Vegas). Cuando estoy en el mar disfruto montar en waverunners, que son como motocicletas que se usan en el agua. También me gusta la magia, que es una de mis aficiones.

E: Usted ha dicho que se arrepiente de sus actividades pasadas, pero por otro lado es muy famoso debido a lo que hizo antes, y esa fama le ayuda en su carrera actual. ¿Si pudiera borrar esa parte de su pasado, comenzaría de nuevo como una persona desconocida?

K.M.: Si tuviera una máquina del tiempo y pudiera ir al pasado, no haría lo mismo porque eso me afectó. Aunque lo que hice no fue para obtener dinero o dañar a nadie, causé problemas a varias empresas. Entonces, no haría lo mismo de nuevo, sin importar que eso me afectara hoy, porque no es lo correcto. Lo hice porque era joven y estúpido en esa época.

http://enter.terra.com.co/enter2/enter2_segu/ente2_segu/ARTICULO-WEB-
NOTA_INTERIOR_2-2909600.html




© Biblioteca Nacional "José Martí" Ave. Independencia y 20 de Mayo. Plaza de la Revolución.
Apartado Postal 6881. La Habana. Cuba. Teléfonos: (537) 555442 - 49 / Fax: 8812463 / 335938