El aumento a las violaciones de datos y los ataques cibernéticos han dejado de ser un evento noticioso, pero sí el hecho de que cada vez se vuelven más sofisticados. El problema se ha exacerbado a causa de las tecnologías emergentes como el Internet de las cosas, que les brinda a los piratas informáticos nuevos mecanismos y vehículos para el ataque.
De ahí que las empresas luchen por mantenerse al día con las motivaciones y tácticas cibercriminales que cambian tan rápidamente. También están optando por migrar grandes volúmenes de datos y aplicaciones a la nube, dejando atrás porciones de información desprotegida que los hackers pueden explotar.
¿Qué pasos deben seguir las empresas para evitar interrupciones? Una de las mejores formas de evaluar una amenaza de intrusión es contar con profesionales independientes de seguridad informática que busquen entrar en sus sistemas. Estos «hackers éticos» emplean las mismas herramientas y técnicas que los intrusos, pero con el propósito de evaluar la seguridad de los sistemas de destino e informar a los propietarios sobre las vulnerabilidades encontradas, junto con las instrucciones de cómo remediarlas.
El hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas, reparando las vulnerabilidades detectadas durante las pruebas. También está obligado a revelar todas las vulnerabilidades descubiertas.
Si bien puede parecer una mala idea el hacer uso de piratas informáticos para ayudar a planificar y probar ciberdefensas, es importante saber que su experiencia puede ser muy valiosa.
Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar cada vector de ataque posible, y así proteger las aplicaciones. El proceso debe ser planificado con antelación, los aspectos técnicos, de gestión y estratégicos deben ser sumamente cuidados, y llevar a cabo las etapas en un marco de control y supervisión constante.
Existen varias maneras de reclutar hackers éticos, el método más común es un esquema de «recompensa por vulnerabilidad» que opera bajo términos y condiciones estrictas. De esta manera, cualquier miembro del público puede buscar y enviar vulnerabilidades descubiertas y con ello ganar una retribución. Puede convertirse en una opción idónea para servicios públicos disponibles en sitios web o aplicaciones móviles. La compensación depende del nivel de riesgo percibido, una vez que la organización afectada confirme la validez de su descubrimiento.
Según el Informe Hacker 2019, la comunidad de hackers éticos se ha duplicado año tras año. El año pasado, $19 millones de dólares se repartieron en recompensas. El informe también estima que los piratas informáticos éticos que más ganan pueden lograr hasta cuarenta veces el salario medio anual de un ingeniero de software.
Diversas empresas optan por contratar de manera directa a piratas informáticos externos, algunos de ellos incluso con historial de actividad criminal, quienes sólo tienen en abundancia la experiencia práctica. Al final del día, un hacker es un hacker, la única diferencia es lo que hacen una vez que encuentran un error o vulnerabilidad.
Por: Carlos Ortiz Bortoni, Country Manager F5 Mexico.