Categoría : Entrevistas

Inicio/Archivo por Categoría Entrevistas

Entrevista a Álvaro Andrade Sejas, CEO de Ethical Hacking por Diario La República

“Abrir un cajero no debería tomar más de diez minutos”

Ponerse el sombrero blanco a cambio del negro hace 15 años fue la propuesta de Álvaro Andrade Sejas, un hacker boliviano que enseña a las empresas e instituciones de gobierno cómo protegerse de los ataques informáticos.
El CEO de Ethical Hacking ayuda a proteger la red de cajeros automáticos de 97 entidades financieras panameñas y vino a compartir su conocimiento con varias entidades costarricenses.
El tema de la seguridad informática es relevante en el país, incluso por el hacking descubierto la semana pasada a las bases de datos de pensionados de la Caja.

¿El sector bancario es el más afectado por los hackers?
Es una industria muy golpeada en los últimos tres años, donde hoy es más fácil atacar un cajero automático y sustraer el dinero que ingresar a las bases de datos del mismo banco.

¿Cuáles son los puntos vulnerables en un cajero automático?
Si uno tiene las herramientas y el conocimiento adecuados, no debería tomar más de diez minutos abrirlo y sustraer el dinero, atacando los puertos USB y el sistema operativo, que son vulnerables a técnicas como malware, exploting o jack potting.

¿Cuáles son las normas para proteger los cajeros automáticos?
La norma siempre va a decir que no se guarde información del cliente ni de sus transacciones, utilizar comunicaciones cifradas entre el cajero y el banco, pero hemos encontrado hardware certificado que no cumple con los niveles adecuados.

¿Qué pasa entonces con las auditorías de seguridad?
Muchos bancos y otras entidades pasan las auditorías de seguridad por puro cumplimiento, porque tienen un hardware o software dentro de la certificación PCI, pero que son posibles de violentar.

¿Conoce las medidas implementadas por la banca nacional?
Los entes costarricenses cumplen con regulaciones internacionales en materia de seguridad, como PCI o ISO 27001, pero no existe ninguna entidad que cumpla al 100% con las normas y que se proteja de nuevas amenazas.

¿Cómo protegerse de las amenazas de seguridad a nivel interno?
La seguridad no es un producto que se compra.
Un firewall de $15 mil y un IPS de $500 mil y creen que están seguros, pero son productos y tienen falencias.
Tu institución va a ser segura hasta que alguien decida romperla.

¿Entonces de qué forma enfrentamos las amenazas?
Unos 30 o 15 días antes de la auditoría todos comienzan a correr para cumplir con lo que dice la norma, pero cuando lo revisan, no han cumplido con el esquema de políticas, procesos y procedimientos.

¿Cada cuánto debe una entidad auditar su seguridad?
Está el “penetration test”, una o dos veces por año, y sirve para ver cuán expuesto se está y sobre eso establecer las políticas, procesos y procedimientos.
Pero lo más importante es dar seguimiento, porque hay cumplimientos semanales, quincenales, mensuales o semestrales.

Fuente: La Republica

Nuestra entrevista para la Revista ITNOW para Centroamérica y el Caribe

A raíz de nuestra conferencia en la FIADI de Costa Rica, justo después de nuestra intervención se nos acercó una periodista para conversar con nosotros y en ese momento no sabíamos que pertenecía a la conocida revista IT NOW, la revista de Tecnología y Negocios mas importante en Centroamérica y el Caribe.

Un tiempo después nos contactó por correo para hacernos una entrevista para su revista y bueno acá les copio el resultado de la entrevista que publicó ITNOW el día de ayer.

———————————————————————————————————————–

White Hats Vs Black Hats

Estamos acostumbrados a los hackers que abren brechas de seguridad en sistemas vulnerables, pero no todos están en el lado oscuro. Aquí dos White Hats nos cuentan cómo protegen las redes.

Por: Quisi Aguilar

shutterstock_160373801-800x768En el mundo de los hackers el objetivo no es solo robar datos confidenciales como lo hacen los conocidos Black Hats o sombreros negros, sino también está la función de proteger esos datos mediante pruebas y soluciones en los agujeros de seguridad que presentan algunos sistemas. Esta función la desempeñan los White Hats o hackers de sombrero blanco.

Por eso nos adentramos en el mundo de dos White Hats, Alvaro Andrade y Rafael Revert fundadores de Ethical Hacking Consultores, quienes trabajan a diario analizando los sistemas de seguridad de las empresas con la ventaja que ellos entregan las vulnerabilidades y explicación de cómo pueden parchearlas o prevenirlas antes de que los Blacks Hats las encuentren para obtener un beneficio económico.

También existen los Grey Hats o hackers de sombrero gris que están en el medio, en algunas ocasiones usan su tiempo como Whites Hats y otras como Black Hats.

En el caso de los White Hats usan las mismas técnicas que los hackers de sombrero negro, solo que para un propósito opuesto, en lugar de afectar una empresa o una red buscan qué vulnerabilidades tiene para protegerla.

 ¿Qué le diría Luke Skywalker a un hacker? Aquí le contamos

 

“Depende mucho del cliente, en el caso de las instituciones bancarias emulamos  ataques de fishing, de malware y fraudes específicos en entornos controlados para que el cliente no tenga un alto impacto y si tiene un alto impacto inmediatamente lo remediamos”, explicó Rafael Revert, director técnico de servicios profesionales de Ethical Hacking Consultores.

A diferencia de los Black Hats, los hackers de sombrero blanco cuentan con tiempo y fechas determinadas para llevar a cabo los proyectos, ya que normalmente los crackers tienen tiempo ilimitado para lograr su objetivo de atacar una empresa.

A nivel mundial las empresas que contratan más servicios de ethical hacking son las gubernamentales debido a la necesidad de protegerse en temas de seguridad con toda la ola de ciberespionaje que ha estado creciendo en los últimos años. Los APT son un ejemplo de ello.

 Le recomendamos: ¿Se puede minimizar el ROI de un hacker?

¿Qué motiva a los White Hats?

“Algo que nos motiva a ambos es poder ver estos sistemas, ponerlos bajo prueba y ataques, uno como White Hat  tiene la motivación de vencer un este reto”, comentó Alvaro Andrade, director ejecutivo de Ethical Hacking Consultores.

Los Black Hat evidentemente tienen la motivación económica o de venganza al interrumpir en un sistema, y tendrán siempre el riesgo de que lo capturen, ya que su trabajo no es legal.

“Nuestra moralidad es más limpia y por eso decidimos irnos por la parte de ofrecer servicios con ciertos conocimientos técnicos avanzados para que atacantes del mismo país o de otro lugar no puedan realizar sus ataques a nuestros clientes, a quienes protegemos con nuestros servicios”, agregó Rafael Revert.

 Conozca: Hackers de cuello blanco

 

Es por ello que estos hackers de sombrero blanco hacen un pen test a sus clientes, con el que antes firman un acuerdo de confidencialidad y un contrato donde se especifican las medidas de seguridad que van a tomar.

“Cada empresa es distinta, eso es la parte interesante de hacer un servicio de ethical hacking donde se encuentra un problema diferente que se debe responder de manera diferente obviamente con los mismos estándares y metodologías que debemos de seguir con el tiempo que nos dicta el cliente, pero también tenemos el tiempo para descubrir cosas como tipos de fallas para que no se le repita al cliente y un atacante no les robe los datos”, explicó Revert.

Al igual que los Black Hat, los White Hat tienen una remuneración económica determinada por el nivel técnico y de conocimiento del hacker, los de sombrero blanco pueden tener buenos ingresos según las habilidades que desarrolle en sus proyectos.

No obstante, de acuerdo con Alvaro un black hat puede encontrar una falla de seguridad que no haya sido reportada en los sistemas escala para plantas nucleares, por ejemplo y darles de baja o desarrollar un malware y  esa falla costaría millones de dólares venderla en la deep web, aunque encontrar una falla así tampoco es tan fácil.

Enlace a la noticia en ITNOW: White Hats Vs Black Hats