“Hacking ético” en prevención de la seguridad de la información en las organizaciones.
Hace un tiempo leí la obra de Pekka Himanen “La ética del hacker y el espíritu de la era de la información”. Pensé que iba a descubrir un mundo de “malos malísimos” y, sin embargo, me enganchó desde el inicio el párrafo siguiente:
“En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software libre. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática”.
Entonces pensé… cualquiera de los que dediquemos pasión a nuestro trabajo podríamos auto-denominarnos “hackers de lo nuestro”.
Concienciada en que actualmente velar por la seguridad de la información en las organizaciones es un pilar esencial para la propia supervivencia de las mismas, me adentré a estudiar sobre la necesidad de contar con auditorías de nuestros sistemas desde una óptica preventiva.
Ocurre que, cuando hablamos de “auditores técnicos en seguridad” nadie se echa las manos a la cabeza y, sin embargo, si nos referimos a estos expertos con el “apasionado” término “Hacking” normalmente no lo relacionamos precisamente con seguridad. Y es que al parecer, se dibujan líneas muy delgadas entre las diversas formas de “hacking” de las que nos puede llegar información, de modo que hemos creído importante compartir impresiones sobre ello.
Partiendo de una terminología ya tradicional podemos delimitar diferencias entre “Black Hats Hackers” o individuos con habilidades informáticas extraordinarias, que recurren a actividades maliciosas o destructivas, frente a los “White Hats Hackers” o hackers éticos, en términos profesionales más conocidos como analistas técnicos en seguridad, que ponen esas extraordinarias habilidades en uso para fines defensivos y preventivos de vulnerabilidades en los sistemas de información de las organizaciones.
El hacker de sombrero negro busca vulnerar sistemas sin permisos, para robar datos, espiar, destruir información, modificar páginas web o cometer algún otro ciberdelito. Sin embargo, en ocasiones se suscitan dudas en cuanto al límite entre la figura del “White Hat hacker” y el “Grey Hat hacker”, un límite que viene determinado por las formalidades con las que unos u otros realizan su actividad, pero sobre todo en los diversos intereses e intenciones de uno u otro.
Creo que “poner un hacker ético en tu vida” es, de hecho, una excelente herramienta de prevención y protección en materia de seguridad y datos. Para quienes nos dedicamos al derecho digital es fundamental consolidar una buena defensa; estructurar una prueba sólida y ágil; conocer desde dentro de qué vulnerabilidades estamos hablando, buscando mantener cierto control sobre la seguridad de nuestros sistemas; pero sobre todo manteniendo a raya la seguridad de los datos cuya confidencialidad obligatoriamente debemos proteger.
Y, cómo no, para las empresas que hoy en día manejan su volumen y futuro en el entorno digital, conocer de primera mano sus vulnerabilidades antes de que puedan hacerlo los verdaderos atacantes; atajarlas; implementar medidas para blindar sus sistemas de información; conocer qué recursos aplicar para bloquear ataques o defenderse de amenazas que pueden poner en riesgo su organización; e incluso definir el alcance de un ataque si lamentablemente ya se ha producido; delimitar qué activos han sido afectados e implantar medidas para remediar y mitigar riesgos, es sin duda fundamental. O debería serlo.
Sin embargo, el apoyo al hacking ético no es una cuestión pacífica. Quizás porque no existe todavía la necesaria conciencia a nivel empresarial y en el sector jurídico sobre la importancia de la seguridad de la información, encontrándonos en una fase más defensiva que preventiva/reductiva de vulnerabilidades.
Veamos por qué. Me siento complacida de haber tenido la oportunidad de conversar con Miguel Ángel Arroyoy Eduardo Sánchez, del equipo de Hack&Beers, una organización sin ánimo de lucro de hackers éticos que dan conferencias sobre Seguridad IT en un ambiente distendido y compartiendo conocimientos y experiencias con los asistentes, procurando divulgar la importancia de la prevención en materia de seguridad en la red. Han tenido la gran amabilidad de ayudarme a deshacer la madeja de incógnitas que se me planteaban al respecto, por lo que les agradezco la paciencia y atención en ayudarme a escribir estas líneas en las que vamos a tratar este tema.
CyZ Abogados Zaragoza Hacking ético Seguridad IT Derecho Digital
En mi humilde opinión, en este momento la problemática actual tiene, al menos, dos vertientes: una relativa a la visión de la empresa, o de la población en general, en cuanto a la autorización o no autorización al acceso a los sistemas informáticos en el sentido de que, careciendo de autorización se produce una vulneración de los sistemas de seguridad y el derecho a la intimidad; y otra, la base normativa actual que no diferencia entre los distintos fines de las diversas formas de actuación comentadas.
No es lo mismo para una empresa que expresamente contrate expertos para que detecten vulnerabilidades, en cuyo caso se produce una autorización, un compromiso de confidencialidad y la cesión de determinadas coordenadas que permiten el acceso consentido; frente a la sorpresiva información que la misma empresa pueda recibir, por muy de agradecer que le sea, al descubrir que esas vulnerabilidades de sus sistemas han sido detectadas sin su autorización.
Por otro lado, la problemática legal actual viene recogida en el art. 197.3 del Código Penal (Delito de acceso ilícito a datos o programas informáticos) al tipificar la acción de (i) quien accede a un sistema informático de manera no consentida, independientemente de si lleva a cabo algún tipo de daño en el sistema o algún perjuicio al propietario del equipo; (ii) a quien se mantiene dentro de un sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo. Merece hacer especial hincapié de nuevo en el término “consentimiento” para el acceso.
La interpretación literal del artículo lleva los técnicos que, en ocasiones “descubren” vulnerabilidades con causa en falta de protección del usuario, a temer ser denunciados aun cuando la buena fe de la actuación no conlleve una conducta delictiva. En torno a esto, el pasado 28 de agosto, el diario El Mundo publicaba una interesante entrevista a César Lorenzana Capitán de Delitos Telemáticos, en la que se refleja la importancia de la colaboración de estos profesionales en este sentido, y quien preguntado sobre por qué mejoraría en la norma contestaba:
“Una buena forma de empezar sería regular quién, cómo y cuándo se puede considerar a alguien investigador/auditor de seguridad y en qué casos puede actuar: por ejemplo, cuando este investigador es usuario de un servicio y, antes de utilizarlo o facilitar sus datos, lo audita. O cuando simplemente lo hace por diversión, aburrimiento o cualquier motivo que no sea profesional. En definitiva, se debería contemplar la figura legal del investigador y poner claras cuáles son sus atribuciones, deberes, facultades y hasta dónde puede llegar y en qué condiciones.”
Eduardo y Miguel Angel, como tantos otros muchos técnicos investigadores en materia de Seguridad IT, están trabajando la divulgación abierta de información y formación en esta materia y, en lo que respecta a esta entrevista y su vinculación al entorno legal, su labor como “peritos” para la configuración de las pruebas sólidas, son dos componentes de gran valor actual que quisiera evidenciar:
¿Qué os diferencia de un hacker no ético?.
E.S:“Principalmente el objetivo de nuestra actividad no es otro que el de mejorar los sistemas informáticos y solucionar los posibles problemas que se encuentren en ellos. Todo lo contrario que un ciberdelincuente, que aprovecha las vulnerabilidades que encuentra en un sistema para su propio beneficio”.
M.A:“Resulta muy complejo aclarar el concepto de hacker, hacker no ético y hacker ético. A mi particularmente me gusta definirme como un hacker. Al igual que en otros escenarios, los hay buenos y los hay malos, pero no podemos confundir ni asemejar el concepto de hacker con el de cibercriminal o pirata informático. Mi forma de actuar es la que me diferencia de un hacker no ético o pirata informático, es decir, de aquel que utiliza sus conocimientos e inquietudes para vulnerar un sistema para su propio beneficio. Profesionalmente ofrezco servicios de hacking ético, que siempre son ejecutados con el consentimiento expreso del cliente o solicitante”.
¿Qué percepción de esta diferencia creéis que tienen las empresas y/o la población en general?.
E.S:“Cada vez más son las empresas que contratan profesionales del sector para realizar auditorías de seguridad, pero no son todas las que deberían. Sobre todo empresas que trabajan con banca electrónica o comercio electrónico. Sin embargo la percepción de la realidad por parte de la población en cuanto a seguridad en la red no es la que debería y eso hace que no encuentren la necesidad de revisar sus sistemas de seguridad”.
M.A: “Existe la falsa sensación de seguridad. Falta mucha concienciación y sensibilización en materia de seguridad de la información”.
¿Cómo definiríais vuestra colaboración en la detección del ciberdelito?.
E.S:“Cada vez más son los casos de delitos informáticos que se tramitan en los juzgados y existe la necesidad de que la legislación esté acorde, de tal forma que se reconozca nuestra labor y nos cubran la espalda, ya que nos meten en el mismo saco que a los ciberdelincuentes”.
M.A:“Se antoja muy necesaria la colaboración entre abogados, fiscales, jueces, hackers éticos, peritos judiciales y fuerzas del estado para que ante cualquier delito se haga realmente justicia y entre todos hagamos que la sociedad de la información sea una sociedad más segura“.
¿Consideráis entonces vuestra labor preventiva o reactiva?.
M.A:“Si, nuestra labor es altamente preventiva, nuestro objetivo principal es adelantarnos al descubrimiento y explotación de posibles vulnerabilidades, antes de que lo hagan “los malos”. El problema es precisamente que, a causa de esa falta de concienciación o la falsa sensación de seguridad, nuestra tarea es más reactiva que preventiva, por desgracia. Lo ideal sería que las organizaciones fueran previsoras y solicitaran el servicio de auditoría o hacking ético para adelantarse a los cibercriminales, y de esa forma poder detectar posibles vulnerabilidades o vectores de ataque, antes de que sea tarde“.
E.S:“Como comenta Miguel no suele considerarse importante la seguridad y buscan nuestros servicios cuando el daño está hecho, sería algo así como que “No ven el peligro en su casa hasta que no le echan la puerta abajo y les roban”.
Contarme, ¿En qué consiste vuestra actuación?.
E.S:“En Internet existen millones de sitios vulnerables y personas con pocos conocimientos pueden acceder a ellos fácilmente, lo que llamamos Script Kiddies. La manera de actuar de los que encuentran estos fallos depende de la ética profesional del individuo. Unos lo utilizarán para su propio beneficio (cracker o blackhat), otros depende de los intereses que les muevan (Grayhat) y otros nos sentimos en la necesidad de notificar el fallo y encontrar una solución (hackers éticos o Whitehats), aunque la mayoría de las veces sabes que el hecho de notificar una vulnerabilidad que no va a servir de nada porque no se le da importancia, además de que puedes abrir una puerta de información a blackhats que estén dispuestos a explotarla en su beneficio”.
¿Y cómo actuáis cuando sois contratados por una empresa?.
E.S:“Cuando llegamos a una empresa para llevar a cabo una auditoría lo primero que se establece con el cliente son las cláusulas del contrato donde se refleja con exactitud el alcance de la misma. Aquí acordamos tanto los servicios a auditar, como los equipos o redes, ya que la persona que nos contrata puede querer auditar sólo una parte del sistema. Los límites se establecen en este contrato y a partir de ahí ya podemos empezar nuestra auditoría de seguridad legal, siempre ciñéndonos a los límites establecidos en el contrato”.
M.A:“Aquí hacemos mucho hincapié en el ámbito de la auditoría, para limitar el número de activos de la organización y responsabilidades”.
En esta labor de consultor técnico en seguridad, tratando información confidencial, ¿soléis firmar cláusulas de confidencialidad?.
E.S:“Si, en el contrato se prevén cláusulas de confidencialidad en garantía al empresario la privacidad de la información”.
¿Qué tipos de hacking ético pueden realizarse con ese beneficio para las empresas? De redes, locales, de ingeniería social de seguridad … ¿Siempre son simulaciones partiendo de un acceso real?.
M.A:“Las pruebas pueden ser internas, en la propia red o redes de la organización en las que se pone a prueba la seguridad de los sistemas internos, así como la posible fuga de información o los permisos de accesos a ciertos activos. Las pruebas externas están orientadas a auditar la seguridad perimetral de la organización así como a la realización de ataques de ingeniería social con el objetivo de poder obtener información sensible. También existen pruebas de hacking ético específicas para entornos Web e incluso, de dispositivos o aplicaciones móviles. Prácticamente se puede auditar cualquier proceso, servicio o sistema que almacene, transfiera o procese el activo más importante de una organización, su información”.
E.S:“Existen pruebas en las cuales estamos realizando un pentesting sobre un entorno virtual o copia del servidor/es. Pero la mayoría de las pruebas de penetración se hacen in situ sobre el entorno real, no sólo auditamos las máquinas y el sistema, sino también a los usuarios que trabajan con ellas que cada vez más están siendo el eslabón más débil de la cadena de seguridad”.
A nivel recomendación, ¿Podéis explicarnos en qué consiste lo que denomináis el “MODELO ANTES-DURANTE-DESPUÉS”?.
M.A:“Básicamente este nuevo modelo lo que intenta definir es la correcta actuación ante un incidente de seguridad a lo largo de su timeline completo. Es decir, buscamos implantar seguridad ANTES de que ocurra un posible incidente; actuar de forma rápida y correcta DURANTE un ataque informático y, finalmente, detectar los activos afectados e implementar las contramedidas oportunas DESPUÉS de un incidente para que éste no vuelva a producirse”.
Mil gracias, Eduardo y Miguel por aportarnos vuestra experiencia y visión que compartir en nuestra casa. Con vuestro permiso, por lo que creo que puede ilustrar esta entrada y lo mucho que personalmente disfruté escuchándole, vamos a recomendar aquí la atenta escucha del vídeo que recomendáis en vuestro blog sobre la excelente ponencia de Jorge Bermúdez, miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado, en la Rooted CON 2014,en torno a la distinta óptica desde la que se contempla un incidente o intrusión, por parte de los expertos en seguridad informática, y por parte de la Administración de Justicia; así como sobre los problemas y necesidades a nivel investigación del ciberdelito conforme a la actual regulación del proceso judicial penal; propiciando una más activa colaboración entre expertos en seguridad informática y el sector jurídico/judicial en la investigación de delitos en la red.
