Debido al incremento de chilenos que compran por Internet, y de los numerosos eventos que se organizan en nuestro país y el mundo para fomentar la práctica del comercio electrónico, hoy es cada vez más común ver que compañías de distintos rubros se suban al carro del e-commerce, aprovechando las ventajas que ofrece Internet.
Sin embargo, no todas las organizaciones y páginas web que permiten comprar en línea están preparadas para recibir una fuerte demanda transaccional y tráfico de datos. Es por ello que se hace necesario reconocer, en forma predictiva, las vulnerabilidades que podría tener un sitio web dedicado al comercio electrónico.
Esto debido a que si los sistemas que dan servicios hacia Internet son vulnerables, un negocio podría verse afectado a través de la eventual incapacidad para entregar los servicios, robo de datos confidenciales, alteración de las páginas web, alteración de datos o publicación de debilidades en los foros de piratas y ataques masivos, con los consiguientes daños reputacionales y financieros.
Irwin Samos, Consulting Unit Manager de Widefense para Chile y Centroamérica, sugiere a las compañías de e-commerce prepararse ante eventos de alta exposición pública o estacionalidades identificar las brechas de seguridad en los sistemas informáticos, a través de la aplicación de un Ethickal Hacking, servicio que emplea técnicas de evasión de seguridad (que no provocan daño a los sistemas), y proporciona un análisis completo de vulnerabilidades y soluciones de mitigación en las páginas web.
“Un especialista en Ethical Hacking crea valor, pues ahorra tiempo y esfuerzo en saber cuál es exactamente el riesgo al que se enfrenta una organización. Mediante este servicio no sólo se entrega información sobre el nivel de peligro sino que, también, sobre las vulnerabilidad que tiene cada sistema tecnológico y cómo se deben remediar”, agrega Samos.
METODOLOGÍA DE WIDEFENSE
Para ello, Widefense sigue un proceso tal como lo haría un hacker. Primero se reconocen los sistemas expuestos a Internet y los que están dentro de la red interna del cliente. Después se hace un análisis de cuáles son sus debilidades y qué impacto podría tener, en el negocio, cada debilidad que se detecte. Posteriormente, se simula la operación de un hacker, lo cual se realiza con total autorización del cliente, para lo cual se firman acuerdos de confidencialidad.
Finalmente- explica- se elabora un informe que contiene dos componentes. Por un lado, está la parte ejecutiva que, normalmente, se presenta a la alta gerencia del cliente para dar a conocer el nivel de riesgo en una escala de uno a 100 y los impactos que esto causaría en la organización (robo de información, daños operacionales, financieros, legales u otro). La otra parte del informe es la técnica y en ella se entrega la radiografía de cada uno de los sistemas analizados. Con esto el cliente puede tomar un plan de acción para remediar esas debilidades.
TIPOLOGÍAS
Samos manifiesta que existen distintas modalidades del servicio de Ethical Hacking que provee Widefense. Una de ellas es el Externo, en donde el análisis se efectúa desde Internet para saber cuáles son los sistemas que están expuestos y a qué debilidades se enfrenta el cliente.
Otro tipo es el Interno, el cual se efectúa dentro de las instalaciones de una organización y busca reconocer dispositivos como servidores, laptops e impresoras que tengan acceso a la red, así como enrutadores o concentradores de red que sean administrables.
Un tercer sabor de Ethical Hacking es el Social, que se orienta hacia las personas. “Mediante esta modalidad, nos ganamos la confianza de las personas que trabajan en una organización, especialmente las que manejan datos confidenciales, y después se realizan esfuerzos para sacarles esa información, teniendo acceso a sus computadoras o archivos que sean sensibles. En este caso, luego elaboramos un informe y efectuamos un seminario en donde se les explica a estas personas en donde falló la confidencialidad y cómo ellos pueden estar más atentos a un ataque de ingeniería social, cuidar mejor la información y tener más cultura en materia de seguridad informática”, acota.
Un último tipo de Ethical Hacking que aplica Widefense es el que se hace a las redes inalámbricas. El experto señala que lo interesante es que cuando un hacker viola una red inalámbrica no necesariamente persigue usurpar Internet, pues lo que hace primero es una inyección de paquetes y ver qué tipo de información está pasando por la red inalámbrica y si puede sacar esa información y obtener algo de ella.