Cuando la mayor\u00eda de las personas escuchan la palabra “hacking”, imaginan criminales sofisticados irrumpiendo en sistemas a trav\u00e9s de c\u00f3digo complejo. Pero la realidad es diferente. La mayor\u00eda de los ataques no comienzan con c\u00f3digo\u2014comienzan con una persona haciendo clic en un enlace, un tel\u00e9fono perdido o alguien caminando hacia un edificio.<\/p>\n
En este art\u00edculo te explico qu\u00e9 es realmente el hacking, los diferentes tipos de hackers, c\u00f3mo comienzan la mayor\u00eda de los ataques y lo que necesitas saber para proteger tu negocio\u2014comenzando con los dispositivos que usas y las personas en las que conf\u00edas.<\/p>\n
El\u00a0hacking<\/strong>\u00a0es el acto de encontrar y explotar debilidades en sistemas inform\u00e1ticos, redes o software. El t\u00e9rmino no implica inherentemente actividad criminal\u2014simplemente significa explorar sistemas profundamente para entender c\u00f3mo funcionan y d\u00f3nde fallan.<\/p>\n La diferencia entre un hacker criminal y un profesional de seguridad no es la habilidad sino la intenci\u00f3n y el permiso.<\/p>\n \ud83d\udca1\u00a0El hacking es una habilidad. La \u00e9tica determina si es \u00fatil o da\u00f1ino.<\/strong><\/p>\n<\/blockquote>\n Los hackers se categorizan por su intenci\u00f3n y si tienen permiso para probar sistemas.<\/p>\n Los white hat hackers usan sus habilidades para el bien. Tienen permiso para probar sistemas y ayudan a las organizaciones a arreglar vulnerabilidades antes de que los criminales puedan explotarlas.<\/p>\n \ud83d\udca1\u00a0Los white hats te ayudan a cerrar tus puertas antes de que los criminales las encuentren abiertas.<\/strong><\/p>\n<\/blockquote>\n Los black hat hackers irrumpen en sistemas sin permiso para beneficio personal, robo, da\u00f1o o interrupci\u00f3n.<\/p>\n \ud83d\udca1\u00a0Los black hats son los criminales de los que lees en las noticias. Son la raz\u00f3n por la que la seguridad importa.<\/strong><\/p>\n<\/blockquote>\n Los grey hat hackers operan en el medio. Pueden encontrar vulnerabilidades sin permiso pero las reportan sin causar da\u00f1o\u2014o pueden cruzar l\u00edneas \u00e9ticas en nombre de la investigaci\u00f3n.<\/p>\n \ud83d\udca1\u00a0Los grey hats operan en el espacio entre lo \u00fatil y lo da\u00f1ino. Sus acciones pueden ser legales o no dependiendo del contexto.<\/strong><\/p>\n<\/blockquote>\n Los social hackers no irrumpen en sistemas a trav\u00e9s de c\u00f3digo\u2014irrumpen a trav\u00e9s de personas. Explotan la psicolog\u00eda humana para obtener acceso, informaci\u00f3n o credenciales.<\/p>\n \ud83d\udca1\u00a0El hacking social apunta al eslab\u00f3n m\u00e1s d\u00e9bil de cualquier sistema de seguridad: las personas.<\/strong><\/p>\n<\/blockquote>\n La verdad es que la mayor\u00eda de los ataques no comienzan con c\u00f3digo sofisticado. Comienzan con\u00a0interacci\u00f3n f\u00edsica con un dispositivo<\/strong>\u00a0o\u00a0manipulando a una persona<\/strong>.<\/p>\n \ud83d\udca1\u00a0Si controlas el acceso f\u00edsico a tus dispositivos y entrenas a tus personas para reconocer manipulaci\u00f3n, eliminas la gran mayor\u00eda de los vectores de ataque.<\/strong><\/p>\n<\/blockquote>\n Un laptop o tel\u00e9fono perdido es un riesgo de seguridad grave. Si el dispositivo no est\u00e1 protegido, el atacante tiene acceso completo a todo. Si est\u00e1 protegido\u2014disco encriptado, contrase\u00f1a fuerte, capacidad de borrado remoto\u2014los datos robados son in\u00fatiles.<\/p>\n \ud83d\udca1\u00a0Un dispositivo perdido solo es una brecha si no estaba protegido.<\/strong><\/p>\n<\/blockquote>\n Cada persona que toca tu dispositivo es un punto de entrada potencial. Dejar que un ni\u00f1o use tu laptop de trabajo, que un amigo tome prestado tu tel\u00e9fono, o que un empleado use su dispositivo personal para trabajar, todo introduce riesgo.<\/p>\n \ud83d\udca1\u00a0Si alguien m\u00e1s puede tocar tu dispositivo, puede comprometerlo.<\/strong><\/p>\n<\/blockquote>\n Las personas con acceso f\u00edsico a tu espacio pueden causar da\u00f1o. Personal de limpieza despu\u00e9s de horas podr\u00eda insertar un USB. Un visitante dejado solo en una sala de reuniones podr\u00eda acceder a una computadora desbloqueada. Un contratista trabajando en el sitio tiene acceso a puertos de red y equipos.<\/p>\n \ud83d\udca1\u00a0La seguridad f\u00edsica es tan importante como la seguridad digital. Si alguien puede tocar tu dispositivo, puede comprometerlo.<\/strong><\/p>\n<\/blockquote>\n La mayor\u00eda de los ataques no requieren hacking sofisticado. Solo requieren convencer a alguien de hacer algo.<\/p>\n \ud83d\udca1\u00a0El hacker m\u00e1s h\u00e1bil del mundo no necesita romper tu encriptaci\u00f3n si puede convencer a alguien de abrir la puerta por ellos.<\/strong><\/p>\n<\/blockquote>\n Los ataques de phishing apuntan a los usuarios m\u00e1s vulnerables\u2014aquellos que no est\u00e1n familiarizados con el mundo digital.<\/p>\n \ud83d\udca1\u00a0El phishing no apunta a los t\u00e9cnicamente expertos. Apunta a los desprevenidos, los apurados y los confiados.<\/strong><\/p>\n<\/blockquote>\n \ud83d\udca1\u00a0No puedes asumir que todos en tu organizaci\u00f3n saben c\u00f3mo detectar una estafa. Tienes que ense\u00f1arles.<\/strong><\/p>\n<\/blockquote>\n Tus empleados son tu primera l\u00ednea de defensa\u2014o tu eslab\u00f3n m\u00e1s d\u00e9bil. El entrenamiento es esencial.<\/p>\n \ud83d\udca1\u00a0La conciencia es tu control de seguridad m\u00e1s econ\u00f3mico y efectivo. La mayor\u00eda de los ataques tienen \u00e9xito porque alguien no estaba prestando atenci\u00f3n.<\/strong><\/p>\n<\/blockquote>\n Esta es una pregunta importante. La respuesta depende de qu\u00e9 tipo de conocimiento estemos hablando.<\/p>\n \ud83d\udca1\u00a0El desarrollador conoce la casa porque la construy\u00f3. El investigador de seguridad sabe c\u00f3mo entrar a casas porque eso es lo que estudia. El mejor resultado es cuando el desarrollador aprende del investigador de seguridad.<\/strong><\/p>\n<\/blockquote>\n Un desarrollador que estudia hacking\u2014que aprende c\u00f3mo piensan los atacantes, que practica romper su propio c\u00f3digo\u2014es excepcional. Combina el conocimiento del constructor con la mentalidad del atacante.<\/p>\n \ud83d\udca1\u00a0Un desarrollador que entiende c\u00f3mo piensan los atacantes es como un gu\u00eda de monta\u00f1a que sabe primeros auxilios. No solo gu\u00eda\u2014est\u00e1 preparado para lo que podr\u00eda salir mal.<\/strong><\/p>\n<\/blockquote>\n No todos los desarrolladores son iguales. Un buen desarrollador\u2014especialmente uno que toma la seguridad en serio\u2014deber\u00eda saber:<\/p>\n \ud83d\udca1\u00a0Un desarrollador que no sabe c\u00f3mo su c\u00f3digo puede ser atacado es como un gu\u00eda de monta\u00f1a que no sabe c\u00f3mo tratar una mordedura de serpiente. Le falta conocimiento esencial para el trabajo.<\/strong><\/p>\n<\/blockquote>\n Los desarrolladores que toman la seguridad en serio construyen defensas en cada capa del sistema.<\/p>\n La seguridad no se agrega al final. Se construye desde el principio.<\/p>\n Cada pieza de datos que entra al sistema es verificada. Esto previene ataques de inyecci\u00f3n.<\/p>\n Antes de que los datos se muestren, se codifican para que no puedan ejecutarse como c\u00f3digo. Esto previene ataques XSS.<\/p>\n \ud83d\udca1\u00a0Los buenos desarrolladores no solo hacen que las cosas funcionen. Hacen que las cosas funcionen incluso cuando alguien intenta romperlas.<\/strong><\/p>\n<\/blockquote>\n Cuando ocurren ataques, los desarrolladores est\u00e1n en la primera l\u00ednea de defensa.<\/p>\n \ud83d\udca1\u00a0Los desarrolladores no solo construyen sistemas\u2014los defienden, reparan y reconstruyen cuando son atacados.<\/strong><\/p>\n<\/blockquote>\n No todos los desarrolladores saben seguridad. Esto es lo que debes preguntar:<\/p>\n \ud83d\udca1\u00a0Los mejores desarrolladores son los que estudian c\u00f3mo se rompen los sistemas, no solo c\u00f3mo construirlos.<\/strong><\/p>\n<\/blockquote>\n\n
\n\ud83d\udccb Tipos de Hackers<\/h2>\n
1. White Hat Hackers (Hackers \u00c9ticos)<\/h3>\n
\n
\n
2. Black Hat Hackers (Hackers Criminales)<\/h3>\n
\n
\n
3. Grey Hat Hackers<\/h3>\n
\n
\n
4. Social Hackers (Ingenieros Sociales)<\/h3>\n
\n
\n
\n\ud83d\udd10 D\u00f3nde Comienza la Mayor\u00eda de los Ataques<\/h2>\n
\n
\n
\n\ud83d\udcf1 Interacci\u00f3n F\u00edsica: El Punto de Partida de la Mayor\u00eda de los Ataques<\/h2>\n
Escenario 1: Dispositivo Perdido o Robado<\/h3>\n
\n
Escenario 2: Alguien M\u00e1s Usando tu Dispositivo<\/h3>\n
\n
Escenario 3: Acceso F\u00edsico a tu Espacio de Trabajo<\/h3>\n
\n
\n\ud83e\udde0 El Elemento Humano: Ingenier\u00eda Social<\/h2>\n
\n
\n
\n\ud83d\udc74 \u00bfQui\u00e9nes Son las V\u00edctimas M\u00e1s Comunes de Phishing?<\/h2>\n
\n
\n
Por Qu\u00e9 Esto Importa para tu Negocio<\/h3>\n
\n
\n
\n\ud83d\udee1\ufe0f Lo Que Esto Significa para tu Negocio<\/h2>\n
1. Controla el Acceso F\u00edsico<\/h3>\n
\n
2. Controla Qui\u00e9n Usa Qu\u00e9<\/h3>\n
\n
3. Entrena a tus Equipo<\/h3>\n
\n
\n
\n\ud83e\uddd1\u200d\ud83d\udcbb \u00bfQui\u00e9n Sabe M\u00e1s Sobre los Sistemas?<\/h2>\n
\n
\n
\u00bfQu\u00e9 Pasa con los Desarrolladores que Estudian Seguridad?<\/h3>\n
\n
\n
\n\ud83d\udd27 Lo Que un Buen Desarrollador Deber\u00eda Saber<\/h2>\n
\n
\n
\n\ud83d\udd27 C\u00f3mo los Desarrolladores Construyen para Prevenir Ataques<\/h2>\n
Seguridad por Dise\u00f1o<\/h3>\n
\n
Validaci\u00f3n de Entrada<\/h3>\n
\n
Codificaci\u00f3n de Salida<\/h3>\n
\n
<<\/code>\u00a0en\u00a0<<\/code>\u00a0para que los navegadores no interpreten la entrada del usuario como etiquetas HTML.<\/li>\nAutenticaci\u00f3n Fuerte<\/h3>\n
\n
Encriptaci\u00f3n<\/h3>\n
\n
\n
\n\u2694\ufe0f C\u00f3mo los Desarrolladores Contraatacan<\/h2>\n
Respuesta a Incidentes<\/h3>\n
\n
\n
\n\ud83d\udde3\ufe0f Qu\u00e9 Preguntar al Contratar Desarrolladores<\/h2>\n
\n
\n
\n\ud83d\udccb Lista de Verificaci\u00f3n de Seguridad para Empresarios<\/h2>\n
\n