¿Por qué es importante el hacking ético para las empresas?

¿Es buena idea hacer hacking ético?

Fluid Attacks, una compañía especializada en realizar pruebas de seguridad continuas en los sistemas de las empresas, indica que trae muchos beneficios a las empresas, pues existen estándares internacionales de ciberseguridad para mitigar el riesgo en ciberseguridad de las operaciones en industrias como la financiera, farmacéutica, automotriz, aeronáutica y telecomunicaciones.

Para Andrés Roldán, partner y Offensive Team leader de Fluid Attacks, “existen grandes avances tecnológicos y formas de detectar riesgos y amenazas cibernéticas que se han desarrollado gracias al trabajo de expertos comprometidos a mejorar la ciberseguridad, pero cuyas virtudes suelen malinterpretarse por la idea errónea de lo que es ser hacker”.

Si a esto se le suma la escasez de especialistas el problema se convierte en un asunto de negocios. En México, por ejemplo, una de cada cuatro empresas nacionales sufrió un ataque de ransomware durante el 2020, según la firma Sophos, la cual detalló que sus costos de recuperación ascendieron a 2.03 millones de dólares.

Mitos alrededor del hacking ético

Existen algunos prejuicios en torno a tener este tipo de servicios o profesionistas dentro de las empresas, pero los más destacados son:

Los hackers son malos.

Si bien el término “hacker” comúnmente se asocia a un criminal en Internet, la definición más acertada de hacker es: Una persona experta en computadores, y cuyos intereses por la tecnología de la información y la ingeniería de sistemas la han llevado a desempeñarse en probar la seguridad de los sistemas, arquitectura, aplicaciones y código fuente.

De ahí que existan los hackers éticos, que se enfocan en realizar ataques a una organización con el consentimiento de la empresa con el fin de encontrar vulnerabilidades en sus sistemas e informarlas de forma oportuna para que las personas encargadas de su remediación actúen prontamente, mitigando el riesgo de ataques por cibercriminales.

Los activos informáticos de la organización quedan expuestos al realizar una prueba de seguridad con hacking ético.

Uno de los principios del hacking ético es la confidencialidad e integridad de los blancos de ataque, es decir, no solo todas las pruebas se realizan con el permiso de las organizaciones, sino que además no se centran en robar información o afectar los sistemas; en cambio, sí lo hacen en encontrar posibles fallas y debilidades.

Un mito asociado es que es arriesgado para las compañías compartir su código fuente para realizarle pruebas de seguridad. La realidad es que, si los hackers éticos pueden acceder a este, pueden encontrar vulnerabilidades de mayor impacto. Con acciones preventivas como esta lo que se busca precisamente es evitar que la información y seguridad de los sistemas queden expuestos.

El hacking ético es un gasto innecesario para una empresa. El uso de la tecnología en el desarrollo de las organizaciones es tan alto, que pensar en la ciberseguridad de forma preventiva es realmente una inversión indispensable, previendo situaciones críticas y gastos evitables mucho más grandes.

“Las empresas que aseguran sus sistemas con hacking ético continuo reducen los costos de remediación de vulnerabilidades hasta en un 90%”, explica Roldán.

Hacer hacking ético una vez es suficiente para una organización.

Los diagnósticos de ciberseguridad muestran el estado de los sistemas en un tiempo específico, por lo que la articulación de nuevos servicios y el uso de tecnologías cambiantes abren la posibilidad de que surjan nuevas vulnerabilidades no detectadas en el momento en que se hizo una prueba de seguridad.

Así mismo, las técnicas de los hackers maliciosos se diversifican. Por eso es conveniente que los hackers éticos, quienes también se encuentran plenamente actualizados, realicen pruebas constantes, durante todo el ciclo de vida del desarrollo del software, identificando las amenazas emergentes para las organizaciones y permitiendo a las empresas obtener una tasa de cierre de vulnerabilidades mayor.

Solo las empresas de bases tecnológicas o que administran dinero deben contratar el servicio de un hacker ético.

La realidad es que los cibercriminales buscan sacar provecho de cualquier tipo de oportunidad, sin importar la actividad a la que se dedique una empresa. La ciberseguridad, entonces, no es un tema exclusivo de las compañías tecnológicas o financieras, sino que compete a todo tipo de sectores económicos, organizaciones y, por supuesto, entidades gubernamentales.

“Cualquier organización que tenga presencia en Internet o que desarrolle productos digitales debería hacer pruebas de seguridad en sus sistemas con un equipo de hacking ético, para evitar sufrir por culpa de ciberataques”, comenta Roldán.

El hacking ético ha demostrado su gran aporte a la ciberseguridad, hasta el punto de potenciar competitivamente a compañías que ya lo han incorporado por encima de las que no lo han hecho. Los usuarios y clientes en todo el mundo son cada vez más conscientes de su importancia y buscan organizaciones que lo ofrezcan para mejorar la protección de sus operaciones e información.