Asher de Metz atravesó las puertas delanteras de un supermercado. Colgando a su lado, en lugar de una bolsa de compras reutilizable, había una discreta bolsa para computadora portátil. De Metz no estaba comprando comestibles, esto fue un allanamiento. Pero ni los compradores que inspeccionan aguacates ni los cajeros que roban tarjetas de crédito se dieron cuenta de que estaban siendo atacados.
De Metz caminó por la tienda y encontró una habitación llena de gente frente a las computadoras. Fue una sesión de entrenamiento. El lugar perfecto para mezclarse. Entonces, se sentó y secuestró una máquina .
"Simplemente entré y desconecté el cable de la parte posterior de una de las máquinas y lo conecté a mi computadora portátil", dice de Metz. "Estuve pirateando durante un tiempo y obtuve acceso a los sistemas y bases de datos bastante rápido desde esa habitación".
En persecución de un 'hacker'
Poco después, el entrenador se acercó a de Metz. Era educada pero insegura acerca de él. "Soy de la oficina central", explicó de Metz, para instalar algunas actualizaciones, le dijo. La historia la apaciguó durante unos minutos, pero decidió hablar con su supervisor.
Fue entonces cuando de Metz pensó que era hora de partir. "Cerré todo y comencé a irme", recuerda de Metz, pero el entrenador estaba pisándole los talones. "Tomé las escaleras y desafortunadamente, cuando abrí la puerta, sonó la alarma".
La persecución continuó con la banda sonora de las alarmas de seguridad a todo volumen y un crescendo chirriante final cuando el entrenador gimió en la tienda: "¡Ese es él! ¡Ese es el tipo!" Otro empleado del supermercado se acercó a de Metz, pero de Metz estaba preparado. Tenía una carpeta manila con una orden de trabajo fabricada.
Les dijo que era de la empresa y que había habido un hackeo serio en el sistema de la tienda. "¿Sabías que hubo una brecha en tu red anoche? Se robaron millones". "No", dijo el supervisor. "No tenía ni idea." La pareja acordó recibir una llamada más tarde esa tarde, para evitar que las cabezas se movieran debido a la grave infracción de seguridad cibernética.
Parte de la historia de De Metz al gerente del supermercado era cierta; fue contratado para estar en el supermercado, por la dirección del supermercado. Sin embargo, el único truco que había sucedido fue el que hizo el propio de Metz, y no robó ni un centavo. Fue contratado para ver hasta dónde podía piratear los sistemas del supermercado. Y en este caso, llegó lejos. Ahora tenía información útil para compartir con el equipo de liderazgo sobre cómo hacer que su seguridad sea más efectiva y segura tanto para los empleados como para los clientes.
Por qué las empresas pagan para ser hackeadas
De Metz es gerente sénior de consultoría de seguridad en Sungard Availability Services , una empresa global de gestión de servicios de TI. Tiene más de 20 años de experiencia como probador de penetración, así se llaman, y ha brindado valiosos consejos a algunas de las empresas más grandes del mundo en el Reino Unido, Europa, Medio Oriente y América del Norte.
"La razón por la que las empresas tienen pruebas de penetración", dice de Metz, "es porque no saben lo que no saben. Podrías tener un gran equipo interno de TI o de seguridad que esté instalando paquetes y tratando de proteger los sistemas, pero hasta que obtienes un hacker que está investigando y haciendo cosas que no deberían poder hacer, para encontrar esos riesgos que la gente ha pasado por alto, las empresas no saben cuáles son sus riesgos".
El objetivo de De Metz es encontrar vulnerabilidades antes que los malos, una amenaza creciente para las empresas de todos los tamaños. De acuerdo con el Estudio de costos de filtración de datos de 2017 patrocinado por la seguridad de IBM, el 60 por ciento de las pequeñas y medianas empresas son atacadas cada año. Lo peor es que de esos negocios, el 60 por ciento cierra sus puertas dentro de los seis meses posteriores al ataque. El costo global promedio de una sola infracción es de $ 3,62 millones.
Pero las noticias empeoran. En los primeros seis meses de 2021, la cantidad de empresas afectadas por ataques de ransomware, aquellas en las que se instala software malicioso que bloquea el acceso a las redes hasta que se paga el "rescate", se duplicó con creces en comparación con 2020, según una investigación de Check Point Software Technologies. . Y el informe Mandiant M-Trends 2021 de FireEye encontró 800 intentos de extorsión en los que se robaron datos de la empresa entre el 1 de octubre de 2019 y el 30 de septiembre de 2020.
Las apuestas son muy altas
Es por eso que cada vez más organizaciones están contratando probadores de penetración, también conocidos como hackers de sombrero blanco (una punta de sombrero literal al simbolismo de las películas occidentales de mediados del siglo XX), como de Metz, para ingresar a sus sistemas a propósito.
"Es como una póliza de seguro. Si las empresas gastan el dinero ahora en seguridad, les ahorran los 10 o 100 millones de dólares que les costarán si se infringen", explica de Metz. "Si evalúan su ransomware y se inoculan, por ejemplo, les ahorra a las empresas meses de dolores de cabeza y pérdida de ingresos por no poder hacer negocios".
La otra razón por la que las organizaciones pagan para que las pirateen es para asegurarse de que cumplen con los estándares regulatorios más estrictos. El cuidado de la salud, las organizaciones financieras y las instituciones gubernamentales, entre otras, deben cumplir con las regulaciones de seguridad cibernética federales, estatales y de la industria , ya que la piratería se vuelve más común y más costosa.
La ciberseguridad es física y técnica
Cuando las personas piensan en hackear, normalmente piensan en un llanero solitario que ataca los datos privados de una empresa desde la seguridad del oscuro sótano de su madre. Sin embargo, los evaluadores de penetración analizan los aspectos tanto físicos como técnicos del programa de seguridad de una organización, por lo que piratean desde el interior de la propia organización.
"Las empresas no quieren dejar nada sobre la mesa, lo que podría ser parte de una debilidad de la postura", dice de Metz. "Probamos los controles físicos; ¿podemos acceder a un edificio, pasar la seguridad, pasar por una puerta trasera? ¿Podemos acceder a los archivos físicos? ¿Podemos entrar en áreas donde las empresas imprimen tarjetas de crédito o tarjetas de regalo?" Estas son las cosas físicas críticas que señala de Metz, además del aspecto técnico, como acceder a la red o datos confidenciales.
También ofrece consejos, como recomendaciones para programas de capacitación de empleados para que personas como el supervisor que conoció sepan cómo verificar a las personas que se supone que deben estar en el edificio. O qué hacer si no reconocen a alguien (en lugar de iniciar una búsqueda en toda la tienda, incluso si es una buena historia). "Nos divertimos mucho haciendo esto, pero también brindamos mucho valor al cliente".
Cómo funcionan las pruebas de penetración
Los probadores de penetración deben tener un conocimiento detallado de la tecnología, y eso viene con la experiencia, no solo con herramientas sofisticadas. "Las pruebas de penetración son comprender e interactuar con la tecnología: conocer la forma en que se supone que funciona la tecnología. Es una metodología y tal vez alinear una herramienta con ella, pero no se trata simplemente de scripts o herramientas".
Una vez que de Metz está dentro de un sistema, busca tres cosas: dónde puede iniciar sesión, qué versiones de software están en uso y si los sistemas están configurados correctamente. "¿Podemos adivinar una contraseña? ¿Podemos encontrar alguna otra forma de acceder a un inicio de sesión? Tal vez el software esté desactualizado y haya un exploit, por lo que intentamos explotar algún código de ransomware contra él para intentar obtener acceso al sistema". él dice. "Algunas cosas se pueden encontrar en una auditoría, pero también estamos encontrando cosas en las que [la organización] no ha pensado".
Penetrar es más profundo que una auditoría de red, y esa es una distinción importante. Una auditoría pregunta, ¿se está siguiendo el programa de seguridad? La prueba de penetración pregunta, ¿está funcionando el programa?
Los probadores de penetración lo miran desde una perspectiva panorámica de la estrategia de seguridad. El problema puede no ser tan simple como un software desactualizado, sino una estrategia de seguridad completa que necesita mejorar. Eso es lo que de Metz descubre.
Muchas pequeñas y medianas empresas luchan por financiar infraestructuras de seguridad bien fundamentadas. Aún así, la piratería de sombrero blanco se está volviendo más popular entre las organizaciones responsables de los datos personales, como Facebook, que es conocida por incentivar a los piratas informáticos de sombrero blanco a través de su programa Bug Bounty para encontrar vulnerabilidades en su sistema.
De Metz también ha hablado en podcasts con algunas de sus historias más dramáticas de pruebas de penetración. Su objetivo es doble: entretener a los oyentes con historias salvajes, pero lo que es más importante, resaltar el valor de las pruebas de penetración y lo que está en juego si las empresas no lo hacen. Es posible que nunca los vea, nunca sepa que están allí, pero los probadores de penetración ayudan a mantener las empresas seguras y los clientes, como usted, también más seguros.
Ahora eso es interesante
Los piratas informáticos de sombrero blanco y negro no son los únicos que piratean los sistemas empresariales. Los piratas informáticos de "sombrero gris" desdibujan las líneas entre la piratería "buena y la mala" irrumpiendo en los sistemas para revelar vulnerabilidades sin permiso y, a veces, solicitando pequeñas tarifas para solucionar los problemas.
