BT anunció servicio de hacking ético

Ante el escenario de ataques cibernéticos más frecuentes BT presentó “Assure Ethical Hacking for Finance” el cual está diseñado para analizar la exposición de instituciones financieras ante los ataques cibernéticos.

Con los datos personales cada vez más sensibles, las instituciones financieras deben tener precaución de que ataques maliciosos y delincuentes cibernéticos busquen vulnerar la información de sus usuarios. Ya que, el riesgo, a decir de BT, se ha intensificado por la incursión de operaciones móviles, en línea y de comercio electrónico.

Assure Ethical Hacking for Finance utiliza metodologías experimentadas que imitan a las de los “black hats” o atacantes maliciosos para proporcionar una gama de análisis dirigidas a los distintos puntos de entrada de los sistemas de TI de los bancos y a los considerados “puntos débiles” de una organización. Entre ellos se incluyen las estafas de phishing, dispositivos móviles y hardware que va de equipos portátiles a impresoras, redes internas y externas, bases de datos y complejos sistemas de planificación de recursos empresariales. BT no sólo analiza y verifica los sistemas que pueden acceder a la red sino que también comprueba los riesgos de fallo humano mediante, por ejemplo, el uso de la ingeniería social para analizar cómo se aplican por parte de los empleados las políticas que están en vigor.

El nuevo servicio está basado en la experiencia de hacking ético adquirido durante casi dos décadas trabajando en estrecha colaboración con grandes instituciones financieras de EE.UU. Dentro de los límites de las estrictas reglas de intervención, los hackers éticos de BT han sido capaces de realizar volcados de bases de datos de decenas de miles de números de la seguridad social y de tarjetas de crédito; invertir flujos de codificación de ingeniería propietaria; generar grandes cantidades de tarjetas de regalo válidas con datos de pago de otras cuentas de prueba; crear cuentas de administrador simplemente cuando un empleado abre un correo electrónico; salir de sesiones de acceso remoto y obtener acceso shell a los sistemas, incluyendo la posterior creación de túneles en la compañía; transferir fondos entre cuentas de prueba no autorizadas o recolectar datos de cuentas completas para todos los usuarios atacando las comunicaciones de máquina a máquina.

El objetivo fundamental es la identificación de las vulnerabilidades que podrían afectar a los procesos de negocio esenciales de una organización y por lo tanto a su imagen de marca y reputación.

De tal manera que con esta herramienta las instituciones financieras podrán preveer delitos informáticos y así proteger a sus clientes.