Hacking ético: es mejor prevenir que lamentar
Hacemos simulacros preventivos para enfrentar los riesgos sísmicos. ¿Por qué no hacer lo mismo con la ciberseguridad?
Vulnerar un sistema informático es el sueño diario de todo hacker. Pero en cuestión de hackers, hay que decir que los hay de varis colores. Las técnicas de hacking pueden ser utilizadas para cometer delitos, pero también para perfeccionar la seguridad digital de las organizaciones. El imaginario popular asocia el término “hacker” con un personaje oscuro, representado generalmente con capucha, sentado en algún sitio lúgubre en donde solo emana luz de la pantalla del computador a través del cual perpetra toda clase de infamias. Hollywood contribuyó notablemente a la construcción de esta representación algo retorcida.Al menos los hackers de sombrero blanco no lucen así. Se trata de especialistas en seguridad informática que trabajan en empresas cuyo negocio – absolutamente lícito – es poner a prueba los sistemas computacionales de cualquier organización que lo solicite. El hacking ético – así se denomina este campo de la ciberseguridad – es la práctica de irrumpir en los sistemas informáticos de una organización con su consentimiento y sin causar daños, para informar sobre los fallos o vulnerabilidades de seguridad que podrían ser explotados por ciberdelincuentes. Este tipo de especialistas se ponen los zapatos de los cibercriminales, lanzan ataques preventivos y ayudan a fortificar las defensas de cualquier empresa.
La idea es verificar – bajo una situación controlada, es decir, una penetración autorizada – cómo se comportan los mecanismos de defensa digital de la organización, para identificar los talones de Aquiles y corregirlos antes que se presente un ataque real.
El hacking ético funciona actualmente bajo el modelo de servicio, también conocido como PTaaS (pruebas de penetración como servicio) y es suministrado por compañías que acompañan la digitalización de los negocios. ComWare, de hecho, provee un servicio como este a numerosos clientes en el país.
La principal diferencia entre un hacker ético y un hacker malintencionado es la legalidad de sus acciones. Un hacker ético trabaja dentro de los límites legales y éticos, y se enfoca en proteger y fortalecer la seguridad de los sistemas.
Los expertos coinciden en que hay debilidades normativas en Colombia y en América Latina que alientan una actitud laxa de las organizaciones públicas y privadas frente a la ciberseguridad. En Estados Unidos, por ejemplo, es obligatorio para cualquier empresa informar públicamente cuando ha sido víctima de un ciberataque. Esto hace que las organizaciones inviertan en prevención, para evitar los riesgos reputacionales, con lo que están mejor preparadas para afrontar incidentes de cualquier tipo. En nuestro país no existe tal requerimiento legal y ninguna empresa está obligada a informar cuando ha sido atacada. “En Colombia la regulación es liviana y promueve respuestas tardías“, opina el experto Felipe Gómez.
La importancia de una estrategia preventiva mediante hacking ético se explica comparando la ciberseguridad con otros tipos de riesgos. Por ejemplo, en los países en donde se presentan frecuentes terremotos existen regulaciones estrictas sobre la construcción de edificios, como en Japón y en Chile. La ley promueve y obliga a actitudes preventivas en materia de construcción, y se realizan en estos países muchos simulacros para entrenar a la población sobre cómo protegerse cuando ocurran movimientos sísmicos reales.
Con la ciberseguridad debería hacerse algo similar. El hacking ético ofrece simulaciones y estrategias preventivas que resultan claves para blindar a las empresas ante el cibercrimen. No tenemos que esperar a ser víctimas de ciberataques para valorar la ciberseguridad.
La industria automotriz ofrece otro ejemplo. Antes de llegar a los mercados, cualquier nueva línea de vehículo debe pasar pruebas de choque. Desde hace varias décadas se estableció este requisito, para comprender y mejorar el diseño de los autos antes de que se presenten los siniestros reales en las calles.
Por fortuna, en la actualidad un número creciente de compañías contratan hackers éticos para ayudar a identificar vulnerabilidades y errores en sus sistemas de seguridad. Uber, Starbucks, Airbnb, Spotify, e incluso el Departamento de Defensa de los Estados Unidos, son algunos casos conocidos.
Para una empresa no es fácil tomar la decisión de acudir a pruebas de penetración. Supone autorizar a terceros para que vulneren sus sistemas. Eso implica asegurarse de: 1) establecer un acuerdo de confidencialidad con la compañía que realizará las tareas de hacking, la cual deberá hacer explícita su metodología y comprometerse a un riguroso y detallado reporte de resultados de las pruebas. La finalidad principal es recibir un informe de los hallazgos, para subsanarlos.
Las empresas tendrían que prepararse seriamente en relación con la ciberseguridad. De nada sirve curar heridas. Las vulnerabilidades de los sistemas informáticos pueden Identificarse antes de que los delincuentes ataquen, no después. No es posible evitar un ataque del cibercrimen, pero si es posible prepararse bien y estar listos cuando se presente.
¿Qué piensas?