Fluid Attacks, compañía especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas, resuelve los mitos más frecuentes sobre el hacking ético, resaltando sus beneficios para las organizaciones.
Actualmente, existen estándares internacionales de ciberseguridad para mitigar el riesgo en ciberseguridad de las operaciones en industrias como la financiera, farmacéutica, automotriz, aeronáutica y telecomunicaciones. Una de las acciones para asegurar su cumplimiento es la aplicación continua del hacking ético, una metodología confiable en la que se hacen pruebas de penetración a los sistemas para encontrar vulnerabilidades que un hacker malicioso podría hallar, de modo que las organizaciones puedan remediarlas y así prevenir ataques o situaciones críticas.
Para Andrés Roldán, partner y offensive team leader de Fluid Attacks, “existen grandes avances tecnológicos y formas de detectar riesgos y amenazas cibernéticas que se han desarrollado gracias al trabajo de expertos comprometidos a mejorar la ciberseguridad, pero cuyas virtudes suelen malinterpretarse por la idea errónea de lo que es ser hacker”. A continuación, Fluid Attacks resuelve los mitos más recurrentes sobre el hacking ético:
- Mito: los hackers son malos
Realidad: si bien el término “hacker” comúnmente se asocia a un criminal en Internet, la definición más acertada de hacker es: Una persona experta en computadores, y cuyos intereses por la tecnología de la información y la ingeniería de sistemas la han llevado a desempeñarse en probar la seguridad de los sistemas, arquitectura, aplicaciones y código fuente.
De ahí que existan los hackers éticos, que se enfocan en realizar ataques a una organización con el consentimiento de la empresa con el fin de encontrar vulnerabilidades en sus sistemas e informarlas de forma oportuna para que las personas encargadas de su remediación actúen prontamente, mitigando el riesgo de ataques por cibercriminales.
- Mito: los activos informáticos de la organización quedan expuestos al realizar una prueba de seguridad con hacking ético.
Realidad: uno de los principios del hacking ético es la confidencialidad e integridad de los blancos de ataque, es decir, no solo todas las pruebas se realizan con el permiso de las organizaciones, sino que además no se centran en robar información o afectar los sistemas; en cambio, sí lo hacen en encontrar posibles fallas y debilidades. Un mito asociado es que es arriesgado para las compañías compartir su código fuente para realizarle pruebas de seguridad.
La realidad es que los hackers éticos pueden encontrar vulnerabilidades de mayor impacto. Con acciones preventivas como esta lo que se busca precisamente es evitar que la información y seguridad de los sistemas queden expuestos.
- Mito: el hacking ético es un gasto innecesario para una empresa.
Realidad: el uso de la tecnología en el desarrollo de las organizaciones es tan alto, que pensar en la ciberseguridad de forma preventiva es realmente una inversión indispensable, previendo situaciones críticas y gastos evitables mucho más grandes.
“Las empresas que aseguran sus sistemas con hacking ético continuo reducen los costos de remediación de vulnerabilidades hasta en un 90%”, explica Roldán.
- Mito: hacer hacking ético una vez es suficiente para una organización.
Realidad: los diagnósticos de ciberseguridad muestran el estado de los sistemas en un tiempo específico, por lo que la articulación de nuevos servicios y el uso de tecnologías cambiantes abren la posibilidad de que surjan nuevas vulnerabilidades no detectadas en el momento en que se hizo una prueba de seguridad.
Así mismo, las técnicas de los hackers maliciosos se diversifican.
Por eso es conveniente que los hackers éticos, quienes también se encuentran plenamente actualizados, realicen pruebas constantes, durante todo el ciclo de vida del desarrollo del software, identificando las amenazas emergentes para las organizaciones y permitiendo a las empresas obtener una tasa de cierre de vulnerabilidades mayor.
- Mito: solo las empresas de bases tecnológicas o que administran dinero deben contratar el servicio de un hacker ético.
Realidad: los cibercriminales buscan sacar provecho de cualquier tipo de oportunidad, sin importar la actividad a la que se dedique una empresa. La ciberseguridad, entonces, no es un tema exclusivo de las compañías tecnológicas o financieras, sino que compete a todo tipo de sectores económicos, organizaciones y, por supuesto, entidades gubernamentales.
“Cualquier organización que tenga presencia en Internet o que desarrolle productos digitales debería hacer pruebas de seguridad en sus sistemas con un equipo de hacking ético, para evitar sufrir por culpa de ciberataques”, comenta Roldán.
El hacking ético ha demostrado su gran aporte a la ciberseguridad, hasta el punto de potenciar competitivamente a compañías que ya lo han incorporado por encima de las que no lo han hecho. Los usuarios y clientes en todo el mundo son cada vez más conscientes de su importancia y buscan organizaciones que lo ofrezcan para mejorar la protección de sus operaciones e información.
“La idea de un mundo conectado ya es parte de la realidad, esto implica que las organizaciones estén enteradas de todas las herramientas y metodologías disponibles para mantener seguras sus actividades, articulando a sus prioridades en seguridad el contrato de empresas que provean hackers éticos, como expertos de gran valor para sus operaciones”, concluye Roldán.