Lo primero que nos viene a la cabeza cuando se escucha el término “hacker” es el cliché de las películas de Hollywood: el típico adolescente con acné, lentes gruesos y camisa blanca. Sin embargo, detrás del estereotipo hay un gran negocio dedicado a la búsqueda de vulnerabilidades en los sistemas de información y su posterior comercialización. El riesgo de padecer un ataque de infiltración está latente tanto para grandes empresas como para usuarios finales.
Cristian Borghello es licenciado en sistemas, desarrollador, Certified Information Systems Security Professional (CISSP), CCSK (Certificate of Cloud Security Knowledge) y Microsoft MVP Security (Most Valuable Professional). Actualmente es director de los medios Segu-Info y Segu-Kids y se desempeña como consultor independiente en seguridad de la información. El especialista brindó su punto de vista al respecto: “Todos estamos expuestos a distintos tipos de ataques. Esto no significa que nos tenemos que asustar, significa que tenemos que empezar a prevenir, empezar a pensar que toda la información que nosotros manejamos es importante”.
Los ataques a sistemas de información no solo deben asociarse a motivos criminales, sino que existen empresas y particulares que se dedican a detectar falencias y a reportarlas, por un determinado precio, a las empresas. Borghello dictó un curso introductorio en Fundación Libertad sobre técnicas de penetración que se usan para vulnerar redes y sitios web. “Básicamente, lo que se hace es ir haciendo demostraciones de los distintos ataques que se pueden hacer a una red y cómo protegerse”, explicó. También es miembro de la Asociación de Gobierno, Auditoría y Seguridad de los Sistemas de Información (AGASSI), con lo cual participó como instructor en el diplomado anual que la institución organiza también en Fundación Libertad. “Estamos viendo investigación y técnicas seguras de programación; también se abarcan temas sobre Malware y cibercrimen y cómo una organización debería protegerse”, amplió.
La venta de vulnerabilidades está a cargo de desarrolladores con un nivel de especialización muy elevado que actúan como exploiters detectándolas y luego vendiéndolas a empresas que paguen por los descubrimientos. “La comunidad investigadora es tan pero tan grande que es lógico que algunas personas lo hagan reportando la vulnerabilidad en forma responsable y haya otros que tomen decisiones totalmente contrarias y que digan que la vulnerabilidad les pertenece y es suya –expresó el experto -. Pero eso no quita el hecho de que cuando una empresa se entera, sea por el medio que sea, tenga que responder rápidamente”.
El resto del reportaje encontralo en nuestra revista de agosto.