Adonis Izaguirre (28 años), un hacker ético de San Pedro Sula, dice que los piratas informáticos atacan los sistemas de las organizaciones, también se apropian de cuentas de redes sociales y hasta de WhatsApp simplemente porque los usuarios no toman las medidas más básicas de seguridad.
Izaguirre, quien es instructor de Merendón Academy (el primer centro de formación de hackers de sombrero blanco en San Pedro Sula), recomienda, además de otras medidas, no utilizar las mismas contraseñas para entrar a varios sistemas o sitios web.
¿Qué es un ethical hacker?
Hay diferentes tipos de hackers: black hackers, white hackers y grey hackers, lógicamente, lo que los hace diferentes es el fin para el cual usan el conocimiento que tienen. Un black hacker utiliza sus conocimientos informáticos con fines maliciosos, para causar daño a las organizaciones, a la reputación de las organizaciones. Mientras que un white hacker utiliza el mismo conocimiento, las mismas técnicas con fines o propósitos defensivos para ayudar a las organizaciones a combatir las amenazas a las cuales puede estar expuesta.
Para defender el sistema de una organización, deben saber atacar. ¿Pueden ustedes ejecutar ataques?
La parte ética no nos permite ejecutar ataques a las organizaciones. La única forma que tenemos para hacer ataques es cuando las organizaciones nos contratan para que les hagamos una evaluación de seguridad. En este punto, nosotros utilizamos las mismas técnicas que ejecutaría un black hacker para mostrarle a la organización cuáles son los posibles puntos de entrada que puede tener. Nosotros siempre mencionamos algo: para poder defender adecuadamente hay que poder atacar. Si uno conoce la técnica, los procedimientos que ejecuta un atacante para determinado exploit, uno sabe cuáles son las medidas que debe tomar para contrarrestar ese tipo de ataque.
Algunas personas creen que solo en países desarrollados hay hackers. ¿Hay muchos en Honduras?
En Honduras hay una comunidad de hackers, no solo los encontramos en las películas. En Honduras hay personas capacitadas para hacer este tipo de trabajo. Conozco a varias personas que se dedican lógicamente a la parte de ethical para ayudar a las organizaciones.
¿Ustedes realizan trabajos de protección para empresas nacionales y extranjeras?
Hay muchas organizaciones que nos solicitan ese tipo de actividad. En Centroamérica hemos tenido mucha actividad. También nos dedicamos mucho al desarrollo de herramientas para apoyar a los demás en seguridad informática.
¿Cuáles son los requisitos que exigen para que una persona se convierta en ethical hacker en Merendón Academy? Va a depender de la charla que quieran tomar. En lo personal doy tres tipos de cursos o charlas. Tenemos uno inicial sobre security warning, en este punto, no importa el nivel, la intención es mostrarle las amenazas a las cuales pueden estar expuestos. Tenemos otra charla sobre análisis de malware. Aquí se requiere un año de experiencia, tener conocimiento en programación. Nosotros mostramos diferentes técnicas que podemos realizar para hacer detecciones de malware y hacer ingeniería inversa a los códigos maliciosos. El curso más avanzado que tenemos es sobre ethical hacker con el cual mostramos y enseñamos diferentes técnicas y demás para ejecutar una prueba de penetración, lógicamente para obtener una certificación de ethical hacker de EC-Council. Esto no se aprende de la noche a la mañana, es con la experiencia, por ejemplo, lo principal que debemos conocer es lo básico de sistemas operativos Linux, lo básico en la sección de redes y a partir de ahí nos vamos especialízanos en ciertas áreas, por ejemplo, en la parte web, en criptografía y, de a poco, ganar la experiencia en cada una de las áreas hasta tener un perfil completo que nos pueda ayudar a desarrollar este tipo de trabajo.
¿Cuáles son los errores más comunes que cometen las personas para que les hackeen WhatsApp?
Con WhatsApp específicamente solemos tener el descuido de no validar las aplicaciones que instalamos en nuestros dispositivos, sobre todo los Android. Solemos creer en muchas campañas que se dan en WhatsApp de ingeniería social. También el no conocer cuáles son las fuentes seguras de donde podemos descargar aplicaciones nos hace cometer el error de descargar una aplicación que nos instala un malware directamente en el dispositivo. Cuando las personas desean ver algún contenido que comúnmente es pagado, como películas, partidos de fútbol, música, descargan ciertos aplicativos para tener gratis ese tipo de contenido. A menudo, ese tipo de aplicaciones puede contener malware.
¿Cuáles son las medidas que debe tomar una persona para no afectar el sistema de una organización o la computadora personal o de su hogar?
Lo principal, hay que separar los datos de la empresa de los datos personales. Eso es muy importante. Solemos utilizar las mismas credenciales tanto a nivel personal como a nivel empresarial. Se recomienda realizar el cambio de las credenciales cada tres meses. Si una de esas credenciales se compromete, se puede comprometer los demás sitios. Ese es uno de los problemas más comunes que podemos encontrar. Lo recomendable es usar un gestor de contraseñas para lo cual yo puedo generar distintas contraseñas para múltiples servicios, pero solo recordar una contraseña, la del gestor de contraseñas nada más, que lógicamente almacena a todas las demás. Además de esto, lo recomendable es que si está el factor de doble autenticad está disponible en ese servicio hay que activarlo. En caso de que una contraseña se comprometa, hay un segundo factor que nos ayuda a evitar una intrusión en esa cuenta.
