Los denominados ‘pentesters’ son expertos en seguridad que se infiltran en las propias instalaciones de los clientes para poner a prueba sus sistemas informáticos.
Suele pensarse que los hackers logran romper las barreras de seguridad informáticas gracias a sus conocimientos técnicos. Pero en realidad los retos que logran tienen mucho que ver con la creatividad y lo que se denomina ingeniería social. Una serie de técnicas de engaño que llevan a manipular a personas para lograr los fines que busca el hacker.
Aunque parezca mentira recurrir a la ingeniería social no siempre es algo que se hace con fines malintencionados. A veces se recurre a ella para conocer las vulnerabilidades técnicas y humanas para acceder a un sistema informático. Es lo que hicieron el experto en seguridad informática John Strand y su madre, Rita Strand.
Un test de penetración a veces requiere entrar con permiso pero en secreto en las instalaciones de un cliente
John Strand es propietario de la empresa de seguridad informática Black Hill, que realiza auditorías para detectar los puntos débiles de seguridad que pueda tener una institución o una empresa. Y lo hacen de una manera que parece más propia de una ficción cinematográfica. Se infiltran en secreto físicamente en las instalaciones de quién les ha contratado. De esa forma ponen a prueba las medidas de seguridad del cliente.
Es lo que se llama un test de penetración. Los que realizan estas prácticas, no exentas de ciertos riesgos, se denominan pentesters. Tal y cómo se explica en Wired, John Strand relató en una charla especializada hace pocas semanas un test de penetración sorprendente. Entre otras cosas porque la infiltrada fue su propia madre y el escenario una prisión de Dakota del Sur (Estados Unidos).
La historia sencillamente rebasa la imaginación de muchos guionistas. Rita Strand trabajaba en la empresa de su hijo en el departamento financiero, cuando le propuso a este ayudar a realizar un test de penetración. Al poco tiempo se hizo pasar por una inspectora de salud, con una acreditación falsificada, para realizar una falsa inspección por sorpresa.
La verdadera intención era que entrase a la prisión para fotografiar las instalaciones en las que se encontraban los sistemas informáticos e introducir llaves de memoria en algunos ordenadores. Y eso es lo que hizo, tras lograr convencer al personal de la prisión deambuló, incluso sola, por algunas estancias la prisión. Incluida la sala en la que se encontraban los servidores.
Rita Strand trabajaba en la empresa de su hijo y no sólo logro entrar en una prisión para monitorizar su seguridad informática, incluso ayudó a hackear el ordenador del alcaide
Introdujo varios llaves USB en ordenadores e incluso fue recibida por el alcaide de la prisión, al que le dio una de sus llave USB con supuesta información sanitaria. En ella había un documento de Word que incluía software malicioso. Este permitió a la empresa Black Hill monitorizar el ordenador. Rita Strand se marchó de la prisión sin levantar sospechas.
Esta insólita historia pone de relieve una nueva profesión tecnológica que tiene sus riesgos. En enero dos pentesters fueron detenidos al estar realizando una inspección de seguridad en un juzgado de Iowa (Estados Unidos). Tuvieron que pasar varias horas en la cárcel y fueron acusados de delitos graves de robo. Aunque los cargos fueron rebajados y finalmente retirados.
El problema al que se enfrentan estos expertos, es que no están del todo claros los límites de sus permisos para acceder a ciertas instalaciones y los métodos que emplean. En el caso del juzgado de Iowa se pusieron en entredicho las técnicas de la empresa Coalfire. De lo que no cabe duda es que esta actividad tiene futuro por la sofisticación de los ataques informáticos.
De hecho, en España ya hay ofertas de empleo en este área del hacking ético. Como puede comprobarse en el portal de empleo Infojobs. Aunque los tests de penetración no siempre requieren infiltrarse en instalaciones. Y mucho menos protagonizando historias tan sorprendentes como la de John Strand y Rita Strand. Pues con frecuencia estas auditorías se realizan a distancia.
Las empresas que se dedican a esta práctica extrema de auditoría, en realidad dedican una buena parte de sus recursos a investigar agujeros de seguridad y métodos para acceder a sistemas informáticos. Como puede verse en el blog de Black Hill, en el que se explican cosas como procedimientos para romper la seguridad del teclado de un ordenador.
Resulta inevitable preguntarse dónde reclutan estas empresas a sus expertos. Pues parece bastante probable que algunos de los hackers que realizan tests de penetración no siempre han practicado el hacking ético. De la misma forma que el famoso falsificador Frank Abagnale antes de crear una empresa para mejorar la seguridad de los cheques bancarios, fue detenido por dedicarse a falsificarlos. Incluso Steven Spielberg hizo una película sobre su carrera como timador: Atrápame si puedes.
Fuente: La Vanguardia
