El Pentágono combate <em>hackers</em> con sus mismos métodos
“Para vencer a un hacker necesitas pensar como uno de ellos”, dijo Jay Bavisi, cofundador y presidente del Consejo Internacional de Consultores en Comercio Electrónico, EC-Council, por sus siglas en inglés. Su compañía fue escogida por el Pentágono para supervisar el entrenamiento de los empleados del Departamento de Defensa que desempeñan trabajos relacionados con la seguridad de las computadoras y para certificarlos cuando el entrenamiento esté completo.
El Departamento de Defensa no considera esto como hacking.
“El personal del Departamento no está aprendiendo a hackear. Están aprendiendo a defender la red contra hackers”, dijo el teniente coronel Eric Butterbaugh, portavoz del departamento.
Pero el EC-Council llama al programa “Certificación Ética de Hackers”. El propósito del entrenamiento es enseñar a los empleados del Departamento de Defensa a defender su red informática.
En la primera mitad de 2009 fueron reportados casi 45,000 ataques a las computadoras del Departamento de Defensa, según un reporte del gobierno. El reporte calcula que en 2009, el número de ataques sería 60% mayor que el año previo. Repeler los ataques cuesta al Pentágono casi 100 millones de dólares.
Bavisi dijo que el entrenamiento se enfoca en entrenar el arte del hacking, usando las mismas herramientas y trucos que un ciberdelincuente tradicional usa para romper penetrar redes informáticas.
El concepto básico es que los empleados del Departamento de Defensa usarían el entrenamiento para hackear las computadoras del departamento, dijo Bavisi.
Una vez que los hackers éticos encuentren los puntos vulnerables que los no éticos podrían usar para atacar, ellos aumentan la seguridad para remover la amenaza potencial. Dijo que ellos son como salvavidas para la red del Departamento de Defensa.
Su único objetivo es defender la red, incluso si los medios para hacerlo son similares a aquellos usados por los ciberatacantes, dijo Bavisi.
Este tipo de entrenamiento se ha hecho antes en el Departamento de Defensa con bases pertinentes, dijo Bavisi. Ahora cada agencia y unidad del Departamento de Defensa es obligada a incluir entrenamiento de ciberdelincuentes como una opción para empleados involucrados en seguridad informática.
EC-Council tiene 450 socios entrenadores que se encargarán del entrenamiento estándar del hacking ético, que ha sido usado por agencias civiles y negocios privados durante años.
Si una agencia del Departamento de Defensa quiere que sus empleados se enfoquen en un tipo particular de entrenamiento hacker, EC-Council brindará entrenamiento a la medida.
El entrenamiento requiere 40 horas de instrucción y leer 4,500 páginas con las últimas técnicas hacker.
Bavisi dijo que los empleados del Departamento de Defensa que completen el entrenamiento y la certificación no serán asignados para usar su nuevo conocimiento para hackear computadoras civiles o de propiedad privada. Pero dijo que cualquier tipo de entrenamiento, incluyendo el hacking ético, puede ser usado con propósitos nefastos.
“Tú me puedes enseñar a cortar una manzana con un cuchillo, y yo puedo dar la vuelta y apuñalarte con el cuchillo”, dijo Bavisi.
EC-Council recibirá un pago por cada estudiante, de entre 450 y 2,500 dólares, dependiendo de la extensión del entrenamiento y la certificación. Por meses no será claro cuántos estudiantes serán entrenados exactamente.