¿Qué tan buena idea es contratar un hacker ético en las empresas?

Conforme avanza la penetración de Internet en México y el Internet de las Cosas (IoT) comienza a ganar terreno en el ámbito empresarial, las posibilidades de intrusiones y vulnerabilidades a su seguridad aumentan exponencialmente. ¿Contratar un hacker ético sería opción?

Tan solo en nuestro país, en el año 2016, 87% de las empresas reconocieron haber tenido un incidente de seguridad con un costo promedio de aproximadamente 1.5 millones de dólares,y en este año electoral, se espera que los ciberataques aumenten.

Las acciones meramente defensivas o reactivas ya no son suficientes, por lo que transitar a un esquema proactivo y ofensivo se vuelve importante, y ¿quién mejor que un hacker ético que pueda anticiparse a potenciales amenazas para evitar los costos financieros y de reputación asociadas a estas?

Contrario al hacking como tradicionalmente lo conocemos, el hacking ético se caracteriza por ser una estrategia de prevención en la que las propias empresas ponen a prueba y llevan al límite de manera periódica sus activos de seguridad para detectar posibles fallas que las conviertan en blancos de posibles ataques.

Esta modalidad de hacking utiliza exactamente las mismas técnicas y herramientas que los piratas informáticos, pero con el objetivo de detectar vulnerabilidades y errores de seguridad para subsanarlos en lugar de lucrar con ellos.

Además, opera bajo criterios de cumplimiento normativos y corporativos, y alineados a los objetivos de negocio de las empresas.

Si bien implementar una estrategia de hacking ético es amplia y requiere de constante actualización conforme evoluciona el panorama de ataques, existen pasos o acciones fundamentales que las empresas deben seguir para su correcto desarrollo:

 

  1. Definirlos principales riesgos informáticos asociados al quehacer de la empresa y su potencial impacto en términos económicos o de reputación. Los huecos de seguridad pueden derivar en obtención de bases de datos, acceso a redes internas, inyección de código malicioso, modificación de páginas web, negación de servicios tanto a clientes internos como externos, fraudes a nombre de la compañía, entre otros.

 

  1. Identificar qué activos informáticos tienen más riesgo de ser vulnerados.Pueden variar dependiendo del giro de la empresa, sin embargo, los más comunes los encontramos en las aplicaciones web y sistemas, seguido de redes, software, o cualquier otro entorno físico o virtual.

 

  1. Establecer un plan de auditoría partiendo de los sistemas más críticos. Para ello, existen tres tipos o niveles de auditoría:
    1. De vulnerabilidad:aquí se desarrollan pruebas básicas para detectar posibles huecos o debilidades que pueden ser aprovechados por atacantes enaplicaciones web, sistemas internos y externos, redes internas de la empresa, incluido Wi-fi, o cualquier activo informático; este nivel de auditoría se centra en elementos específicos de una infraestructura tecnológica.
    2. Test de intrusión: aquí se planea y simula un ataque real para comprobar la capacidad de respuesta de los diferentes elementos de seguridad informática. Este tipo de pruebasofrecen un diagnóstico en condiciones y momentos específicos y usualmente está dirigido, en su mayoría, a la red interna de la compañía.
    3. Red Team:igual que las pruebas de intrusión, aquí se simula un ataque con la diferencia que busca encontrar debilidades en diferentes momentos y circunstancias y a un nivel transversal de toda la estructura tecnológica. Su objetivo es identificar vulnerabilidades críticas para medir la capacidad de respuesta real y el grado de exposición, además de poner a prueba los conocimientos y habilidades del personal de TI frente a un ataque; usualmente pueden durar 3 meses o más.

 

  1. Documentar las principales incidencias y diseñar un plan de acción. A diferencia del hacking tradicional que solo se trata de “romper cosas”, el hacking ético plantea soluciones concretas. Una vez detectadas las debilidades del sistema o potenciales amenazas, es necesario documentarlas y a partir de esto establecer un plan de acción enfocado a su corrección y posterior prevención.

 

  1. Volver a empezar.El hacking ético no es un proceso que termine, es continuo e incremental, una vez implementado se pueden hacer varias mejoras, como:
    1. Automatizar las auditorías y con ello ahorrar costos y tiempo de personal dedicado a estas tareas
    2. Formar un equipo de seguridad interno, permanente y bien capacitado cuyas funciones serían proponer planes de acción, dentro de las cuales incluirían:
      1. Ofensivas:realización de auditorías y pruebas de intrusión a nivel interno, ejercicios de RedTeam e inteligencia para detectar qué información asociada a la empresa publicada en Internet pueda convertirse en una vulnerabilidad
      2. Defensivas: Inventario de los sistemas que se tienen y mantenerlos actualizados, establecimiento de un centro de operaciones de seguridad, implementación de medidas de seguridad, ofrecer formación al personal de TI para incrementar el conocimiento y la capacidad de reacción.
    3. Concientizacióna todos los empleadosde la organización sobre la correcta gestión de los activos informáticos y los riesgos de ataques a los que se exponen frente a posibles descuidos o negligencias.

Para tener éxito es fundamental cambiar la mentalidad de “si funciona no lo toques” que previene a las empresas de actualizar sus sistemas y cuestionar sus vulnerabilidades. Los procesos de hacking ético ayudan a reconocer los riesgos y acabar con esa falsa y peligrosa sensación de seguridad. Por tanto, tener un hacker en una empresa puede ser una muy buena inversión.

 

Por: Eduardo Arriols, instructor de Udemy y especialista en hacking ético.