México, un mercado potencial para los hackers de ‘sombrero blanco’
Meses antes de que el grupo de hackers Impact Team diera a conocer una base de datos de casi 10 GB de información personal de 37 millones de usuarios del portal de citas Ashley Madison, un hacker ético o de sombrero blanco ya había alertado a la empresa sobre una serie de vulnerabilidades en sus sistemas, sin embargo, la plataforma fundada por Noel Biderman hizo caso omiso.
En México, CSI (Consultores en Seguridad de la Información) se dedica justo a hacer lo que realizó el hacker: vulnerar los sistemas de empresas, para encontrar las fallas antes de que lo haga un ciberatacante de sombrero negro o aquellos dedicados a robar información y penetrar sistemas de firmas para obtener un beneficio propio.
“Nosotros lo que hacemos es, nos ponemos la gorrita de hackers. La única forma de medir si la seguridad de una empresa está preparada es simular esos ataques Lo que hacemos es, yo como hacker, una vez dentro, analizo hasta dónde podríamos llegar. Ofrecemos una evaluación completa sobre hasta dónde podría llegar un atacante si pudiera comprometer alguno de los equipos”, dijo en entrevista con Expansión Jorge Osorio, cofundador y director del área de Consultoría y Servicios de Seguridad de CSI.
LEE TAMBIÉN: El plan de Trump para detener a hackers
El mercado mexicano ha representado en los dos últimos años un buen negocio, asegura Osorio.
De acuerdo con el ejecutivo, tan solo en 2016, CSI tuvo un crecimiento en las ventas de 150% comparado con 2015.
“Particularmente fue en pruebas de penetración donde mayor crecimiento registramos”, agrega Osorio.
El ejecutivo señala que el interés de las compañías, en su mayoría grandes, por adoptar este tipo de medidas responde a la serie de ataques que firmas en México han tenido, así como el aumento en el ransomware “que hizo que las compañías se dieran cuenta de su deficiencia en temas de ciberseguridad”.
Uno de los casos más sonados fue el del ciberataque a la empresa de tiendas departamentales Liverpool en 2014 que comprometió las cuentas bancarias de sus clientes y otra serie de datos. Un reporte reciente de la compañía Norton mostró que en 2016 el phishing en México se tradujo en extorsiones que ascendieron a los 5,500 millones de dólares.
“En México lo que hemos visto en el transcurso es que sí hay una preocupación fuerte ya que hay muchos ataques locales. Hace 5 años era muy ajeno, hoy empiezan a sonar empresas de aquí mismo, lo que empuja a los ejecutivos a preocuparse por la ciberseguridad”, precisa.
El equipo de hackers éticos de CSI está integrado por al menos cuatro elementos que se encargan de llevar a cabo las pruebas de vulnerabilidad dentro de los sistemas de la empresa.
CSI ofrece tres tipos de servicio en estas pruebas de penetración. En analogía del directivo, la primera consiste en revisar qué ventanas o que puertas dentro de los sistemas de la empresa están abiertas. Qué tan difícil o fácil es entrar a esas ventanas es el segundo nivel y el último corresponde a atender objetivos especializados dentro del sistema de la empresa en donde se hace todo lo posible para vulnerarlo.
Dentro de los principales competidores de CSI está IBM, que el año pasado anunció el lanzamiento de IBM X-Force Red, su división en el país de hackers éticos.
La mayor demanda por contratar estos servicios, dice Osorio, está en empresas del sector financiero y gubernamental.
UNA BUENA PROFESIÓN
Pese a que los sueldos de los hackers de sombre blanco de CSI no fueron detallados, en Estados Unidos, el sueldo promedio anual de los hackers éticos certificados es de 71,331 dólares por año. Los pagos anuales oscilan entre los 24,760 dólares y hasta lo 111,502 dólares de acuerdo con el reporte 2017 de la Certified Ethical Hacker (CEH) Certification.