¿Las empresas necesitan un ‘Hacker Ético’?
El cibercrimen le cuesta, y mucho, a las empresas. De acuerdo con datos del Internet Crime Complaint Center (IC3) las pérdidas a nivel global por ciberataques en 2021 ascendieron a $6,900 millones de dólares, una cifra que crece exponencialmente cada año y que se prevé que continúe al alza.
Por eso Strike, plataforma de ciberseguridad en Latinoamérica, señala que las empresas deben prevenir vulnerabilidades en sus sistemas mediante procesos periódicos de ciberseguridad como el ‘hacking ético’. Sí, tal y como ir al doctor y realizarse chequeos de salud.
¿Qué es el hacking ético?
Se trata del uso de técnicas como las que emplean los hackers maliciosos, pero con el objetivo de investigar, detectar vulnerabilidades, y proteger a las compañías. Es decir, el hacker se adentra al sistema y de forma pasiva “lo ataca”, pero una vez dentro, en lugar de robar información o cifrar datos para extorsionar a la compañía, le ayuda a prevenir los escenarios negativos y entrega un diagnóstico de las debilidades y/o vulnerabilidades que existen en el sistema.
Una estrategia, por ejemplo, es emplear la técnica del pentesting (penetration testing), que consiste en la realización de pruebas de penetración de sistemas para poner a prueba las vulnerabilidades del mismo.
¿Cómo funciona el pentesting?
Detectar las necesidades: Esta técnica que hace uso del hacking ético comienza con un formulario para determinar el objetivo con el que se realizará la prueba. En el mismo se indica si se busca el pentesting por prevención, por la exigencia de una certificación en particular, o incluso porque ya fueron víctimas de ciberataques en el pasado y no saben cómo fue que los atacaron.
El hacker ideal: Con esa información se determina qué ‘Striker’, será el encargado de realizar el pentesting correspondiente. “No todos los Strikers son iguales, existen desde los especialistas en lenguaje JavaScript, por mencionar un ejemplo, hasta los que se especializan en hackear un sistema operativo determinado. Ahí es en donde debemos buscar al mejor ‘Hacker ético’ que nos haga match con la necesidad de la compañía”, explica el experto.
Por ejemplo, la empresa cuenta con ‘Hackers éticos’ en diversas partes del mundo que trabajan de forma descentralizada y que se especializan en distintas industrias como crypto, e-commerce, healthtech y fintech. Esto permite contar con experiencias y métodos muy variados para atender a todo tipo de compañías.
Seguimiento: el Striker se adentra al sistema y está en constante comunicación con la empresa mediante un chat y un tablero en el que se carga la información a detalle para así poder realizar un seguimiento puntual.
Ahí las compañías pueden saber qué vulnerabilidades existen, el nivel de riesgo que implican y las recomendaciones que el ‘hacker ético’ emite para resolverlas, ya sea en ese preciso momento si el cliente lo decide, o posteriormente cuando se trata de vulnerabilidades de bajo riesgo.
Reporte: El pentesting concluye con un reporte en el que detallan todas las vulnerabilidades, la forma de resolverlas y las recomendaciones pertinentes, así como el impacto que pueden tener y el diagnóstico de la empresa.