TOP

'HACKERS' FALSOS PARA CONTROLAR LA SEGURIDAD

La información de una empresa es su valor más codiciado. La intrusión y el ataque de terceras personas a los sistemas de seguridad de pequeñas y grandes compañías es una práctica habitual, especializada y compleja. Los servicios comunes de protección de datos se quedan obsoletos con celeridad, dejando a las firmas desprotegidas. En la mayoría de casos, además, se instalan paquetes estándar de seguridad que no se adaptan a las necesidades del cliente.

La start up Valenciana Seinhe se convierte en pirata informático para colarse en los sistemas de las empresas, detectar sus puntos débiles y ofrecer productos adecuados de forma personalizada. La firma ejerce el hacking ético, una estrategia muy «infrecuente» en España porque exige un grado de especialización «superior», explica uno de sus dos fundadores, Florencio Cano. En sus dos años de vida, ya ha recibido varios premios por su visión innovadora y su cartera de clientes, a pesar de la crisis, no deja de crecer. Desde hospitales hasta agencias de seguros ya han contratado su test de intrusión para descubrir los 'agujeros negros' de sus sistemas.

La principal actividad de Seinhe se centra en el «ataque simulado y controlado» contra los sistemas informáticos del propio cliente. El objetivo es «encontrar los fallos de seguridad antes de que lo hagan los hackers reales y los aprovechen para infectar los sistemas, robar datos confidenciales o sensibles de la empresa o simplemente dañar la información que contienen los equipos e interrumpir el servicio». «En una auditoría clásica se pregunta al cliente cómo guarda su seguridad y se le vende un producto», comenta Cano. Sin embargo, Seinhe da a la empresa la visión de cómo un atacante puede perjudicarla porque «muchas veces no ven realmente el peligro que corren».

Los especialistas de la ingeniería valenciana son contratados por la dirección de la empresa, pero no reciben ningún dato sobre el sistema utilizado. «No sabemos si usan Windows o Linux o si tienen un programa u otro, la idea es que actuemos como lo haría un hacker, sin ningún tipo de información», afirma el fundador. Con el permiso del cliente, entran en el sistema sin avisar a la plantilla y evalúan la respuesta del personal ante su intromisión. «El problema muchas veces está en las personas más que en la tecnología», destaca. Para examinar a los empleados emplean tareas de ingeniería social, mediante las cuales se busca engañar al personal interno para que proporcione información sensible. «Intentamos convencerles para que nos den una contraseña haciéndonos pasar por un trabajador que la ha olvidado o enviamos correos como si fuésemos del departamento de informática», apunta Cano. Con estos trucos valoran si el personal «está concienciado con la seguridad» de su empresa.

Otra estrategia es conocida como honey pot («tarro de miel») que, como su nombre sugiere, busca atraer a posibles atacantes a través de un cebo. En estos casos, Seinhe crea tiendas on line falsas para que sean asaltadas por hackers reales y así observar qué mecanismos utilizan.

Este trabajo implica una investigación y actualización informativa constante. En la start up tienen que «estar al día de los nuevos fallos de seguridad o virus que aparecen por todo el mundo».