En el mundo de las empresas, sean pequeñas, medianas o grandes, existe un consenso: la ciberseguridad nunca es suficiente. Se debe estar en una constante revisión: una mínima brecha puede ser uno de los puntos más críticos y significar, también, una de las mayores vulneraciones.
Secuestro de información y robos de bases de datos pueden ser el resultado de una mala adminstración de seguridad digital. Por eso, muchas empresas están recurriendo a servicios de hacking ético o pentesting, que básicamente se encarga de comprobar la efectividad interna de los sistemas de vigilancia.
De acuerdo con el Hacker Report 2020 y el Cuarto Informe de Seguridad-Impulsado Por Hackers, HackerOne -de McAfee y que recoge Nokia- un hacker es aquel que disfruta el desafío intelectual de superar ciertas limitaciones en el mundo virtual, pero de forma creativa. Esa es la definición que se hace a nivel de industria, y que se diferencia de un cibercriminal.
Un ataque hacker tiene lugar cada 39 segundos. Un 68% de estos cibercriminales piratean por “el desafío” y el 49% por mera entretención. De estos últimos, hay quienes se dedican a “vulnerar” o descubrir estas brechas para que las mismas empresas u organizaciones puedan enmendar sus sistemas.
Aquí es donde entra el término de “hacking ético”, en el que cada vez más empresas comienzan a indagar. Lorenzo Martínez, ingeniero informático y director de Securízame, empresa española especializada en ciberseguridad, explica que este consiste en llevar a cabo labores informáticas que permiten a un profesional identificar vulnerabilidades en sistemas y aplicaciones de una organización con la finalidad que sean corregidas.
“Dependiendo del alcance del contrato, puede pedirse únicamente la identificación de las vulnerabilidades -’vulnerability assessment’- o una prueba de la existencia de las mismas, mediante la explicitación de ellas”, comenta desde España el experto.
La relevancia de este tipo de prácticas es alta, asegura, porque el descubrimiento de estos puntos débiles de los servicios de una organización, ya sea que estén expuestos a internet o no, permiten a la empresa adelantarse al bloqueo o “parcheo” antes de que las vulnerabilidades sean explotadas por un atacante con intenciones maliciosas. Hay quienes cuentan con unidades dentro de las propias compañías, que se orientan a resolver este tipo de situaciones o prevenciones, así como hace Google, o incluso compañías privadas dedicadas a estos temas.
“El hacking ético es muy importante para las empresas que proveen servicios de ciberseguridad, porque les permite adquirir el conocimiento necesario sobre la capacidad de seguridad de sus aplicaciones e infraestructura con el fin de estar en control de las posibles amenazas y poder prevenirlas”, explica Francisco Guzmán, director de Claro empresas. “Ser proactivos en materia de seguridad permite reducir riesgos y costos ante un posible incidente de seguridad”.
Según indica el estudio recogido por Nokia, en ocasiones estos mismos “hackers éticos”, cuando son particulares y no pertenecen a ninguna empresa dedicada a ello, no se pronuncian al respecto. De hecho, un 63% de los que han encontrado alguna vulnerabilidad en una empresa u organización no lo reportan por miedo a que existan represalias. Según Ricardo Seguel, docente de la Universidad Adolfo Ibáñez y director del diplomado en Hacking Ético de esa casa de estudios, al menos en Chile no debiera existir problema alguno, puesto que la nueva Ley de Delitos Informáticos señala que cualquier acción de este tipo debe ser autorizada por una organización.
“Es muy importante que el hacking ético sea una práctica recurrente en las organizaciones, y que se lleve a cabo por una entidad externa a la misma, bajo un escenario controlado o de simulación para no interrumpir la continuidad operacional”, plantea el también director académico del Magíster en Ciberseguridad de la UAI. “Si se realiza de forma interna, debe ser una práctica periódica en el año para la gestión de vulnerabilidades que debe realizar el área de T.I, que es muy relevante para la mitigación a tiempo de vulnerabilidades y mantener las defensas de la organización”, añade.
