Escuchar
El término hacker no está ligado solamente a los ciberdelincuentes; también puede ser una persona que trabaja para reforzar la seguridad de las compañías.
A esta práctica se le conoce como hacking ético, la cual consiste en que una empresa contrate los servicios de un especialista de seguridad informática para que vulnere sus sistemas y redes.
Los hackers éticos juegan el rol de atacantes al utilizar los mismos métodos que usarían los delincuentes informáticos para perpetrar una estafa.
LEA MÁS: ¿Cuáles son los riesgos tecnológicos para el 2020?
Con estos resultados, las empresas podrán tener mayor claridad acerca del impacto que les representaría ser víctimas de ataques informáticos.
Una vez que el especialista detecta los puntos débiles, se efectúan una serie de recomendaciones para que se refuerce la seguridad.
El objetivo del hacking ético es estar un paso adelante de los atacantes.
Autoanálisis
Actualmente toda empresa debe cerciorarse que sus plataformas sean seguras desde el momento que empiezan a crearse hasta cuando están de cara al cliente.
Cada servicio de hacking ético es diferente según la industria y características de las organizaciones, sin embargo existen puntos en común acerca de las mejores prácticas, según Miguel Ángel Mendoza, especialista en Seguridad Informática de ESET Latinoamérica.
Los puntos claves a tomar en cuenta son:
- Contratar servicios de calidad. Si bien no se puede garantizar por completo la satisfacción del servicio, es posible reducir el riesgo al contratar servicios de empresas reconocidas y que cuenten con el personal capacitado para realizar las tareas.
Es necesario firmar contratos que estipulen las responsabilidades de los participantes (en caso de ser necesario), penalizaciones por incumplimiento de contrato, niveles de servicio y costos.
- Establecer objetivos y alcance. Una vez seleccionada la empresa que prestará los servicios, se deben definir los objetivos, así como el alcance –los elementos sujetos a la investigación que generalmente son los activos críticos para la empresa–.
- Seleccionar metodologías y marcos de trabajo. Es importante conocer y aplicar metodologías reconocidas en la industria, especialmente si se tiene que cumplir con alguna normativa o legislación.
- Acordar un cronograma. Es necesario establecer tanto las actividades como el periodo de pruebas, ya que de esta manera se formalizan las actividades, se definen fechas, horarios y responsabilidades.
- Definir entregables. Al concluir las pruebas, es necesario conocer los resultados, por lo que generalmente se entregan informes de índole técnico y ejecutivo para plasmar los hallazgos y recomendaciones de seguridad, para remediar las vulnerabilidades identificadas.
Las empresas que más invierten en seguridad cuentan con equipos de especialistas que realizan este tipo de pruebas de forma recurrente.
“Mediante ambientes controlados, –los hackers– buscan vulnerar la seguridad de las organizaciones. Utilizar equipos tanto internos como externos, permiten contar con distintas perspectivas y la experiencia de más personas involucradas”, señaló Mendoza.
Un pensamiento común en las industrias es que solamente las entidades financieras, o compañías que manejan datos personales son quienes requieren realizar pruebas de vulnerabilidades, y no es así.
Toda compañía que tenga presencia en Internet necesita saber dónde están sus vulnerabilidades en los diferentes productos digitales. Los ciberdelincuentes están en constante movimiento y atacando a diferentes blancos.
La evolución de las industrias trae consigo el uso de nuevas tecnologías, cada vez más complejas y con nuevas características. Esto representa diferentes ventanas para que los delincuentes puedan entrar.
El hacking ético varía en función de los dispositivos y las tecnologías utilizadas en cada industria. Lo recomendable es que especifique cada una de ellas para que sean sometidas a evaluación.
Si las compañías dan prioridad a mejorar su ciberseguridad, podrán reducir las consecuencias de los ataques y generar valor económico en el futuro. Un nivel alto de confianza es el mejor incentivo para los clientes, señala el más reciente estudio sobre costos del cibercrimen elaborado por Accenture.
El costo promedio de una violación de datos para una empresa es de $4 millones, es decir, la inversión en ciberseguridad ya no es opcional.
| ¿Por qué es importante el hacking ético? |
|---|
| Protege el software y las redes: Para prevenir ciberataques, un hacker ético se centra en identificar las vulnerabilidades de seguridad que pueda tener una red o sistema antes de que alguien pueda penetrar y abusar del sistema de una organización. |
| Control de normativas: En general las entidades financieras y las empresas que crean nuevos productos, como aplicaciones y software, requieren del servicio de un hacker ético porque conocen las regulaciones que les exigen para probar sus productos. |
| Los cibercriminales no se detienen: Ya sea actualizando sus estrategias o desarrollando nuevos métodos para penetrar sistemas, los cibercriminales siempre estarán buscando la forma de concretar sus amenazas. Los ataques evolucionan constantemente, por lo que los sistemas deben ser probados continuamente. |
| Industria en constante crecimiento: Cada vez hay más organizaciones que deciden adoptar nuevas tecnologías, las cuales tienen sus propias deficiencias en materia de ciberseguridad. Con cada nueva tecnología surgen nuevas amenazas. |
| Entrena la Inteligencia Artificial (IA): Existen herramientas automáticas de detección de vulnerabilidades, basadas en Inteligencia Artificial, que pueden arrojar falsos positivos, es decir que se detecta una anomalía en un programa o archivo, lo que hace pensar que existe una vulnerabilidad, cuando en realidad no es así. También sucede que las herramientas automáticas poseen fugas que pasan por alto vulnerabilidades y no se procede a su solución. |
| Fuente: Vladimir Villa, CEO de Fluid Attacks. |
