Ciberseguridad: ¿Qué es para y qué sirve el hackeo ético?
Esta medida preventiva busca poner a prueba las herramientas de seguridad y monitoreo de las empresas.
- T+
- T-
La ciberdelincuencia avanza a la par de la tecnología. Al tiempo que se acelera la digitalización y la transformación digital en las empresas, aumenta el riesgo de ciberataques con herramientas cada vez más sofisticadas.
Este escenario ha significado un alza en los presupuestos en ciberseguridad de organizaciones y el incremento de medidas preventivas para subsanar potenciales brechas. Una de las más populares es el hackeo ético, una alternativa por la que las empresas están apostando fuerte.
Alejandro Parodi, cofundador de la startup de servicios de ciberseguridad Hackmetrix y que tiene experiencia como hacker ético, resume esta práctica como “la forma de poner a prueba todas tus herramientas de seguridad y monitoreo de tu empresa en diferentes perspectivas, interna como externa” mediante una metodología de pruebas en los distintos componentes de las compañías.
Señala que hoy las organizaciones no son solo una aplicación, sino que abarcan más aspectos, entendidos como un conjunto de sistemas, donde algunos de estos están expuestos a Internet generando potenciales vulnerabilidades.
Parodi ejemplifica esta práctica como una cebolla, donde el corazón son los activos críticos de una empresa y, por ende, los que se deben proteger. Mientras que las capas externas vendrían siendo los controles, procesos y evidencias que se realizan para resguardar los activos.
“Básicamente es tener una visión holística de tu ciberseguridad, de tus nuevos productos, de cómo está tu infraestructura de adentro y afuera, de tus aplicaciones para poder en el tiempo reducir el riesgo de un hackeo”, explica el ejecutivo, quien añade que “no se trata de que no te ataquen, sino de que cuando pase te hagan el menor daño posible”.
Esta práctica, según Parodi, ha crecido fuertemente en los últimos años en la región y se explica principalmente por el boom tecnológico que se ha estado desarrollando. “Ya no tienes una empresa que cosecha y vende un producto, sino una Fintech (tecnología financiera) que ofrece servicios financieros y toda la operación es digital”, dice.
Por lo mismo, hace un llamado a empresas y emprendimientos a que no solo se queden con las exigencias de normativas -con un solo ejercicio anual-, sino que recomienda realizar pruebas de hackeo ético en base a la cantidad de modificaciones en algún código o infraestructura interna.
¿Las ventajas? Parodi argumenta que permitiría “cerrar mejores negocios con corporativos, expandirse regionalmente, o aumentar ventas”.
En práctica
Una industria en la que los ciberdelincuentes ponen su atención es la de las telecomunicaciones, principalmente por la cantidad de datos sensibles que manejan.
Miguel Cisterna, gerente de seguridad digital de Movistar Chile, asegura que trabajan con un modelo corporativo en el que todo sistema, aplicación y plataforma utilizada debe estar resguardada para cumplir con los estándares internacionales y con la legislación de cada país.
“Tenemos un estándar de cómo ejecutar un hackeo ético, con metodologías. La tecnología es dinámica y cambia constantemente, por lo que adoptamos mecanismos de revisiones periódicas y frecuentes”, comenta Cisterna.
La compañía creó un equipo especializado, llamado “Red Team”, un grupo de unas 20 personas con roles distintos encargados de velar por la identificación de vulnerabilidades mediante pruebas específicas de hackeo ético.
Estas prácticas, según el ejecutivo, aumentaron en un 40% el año pasado comparado a 2021. Y, a la vez, los intentos de ataque a la empresa incrementaron un 50% en el mismo período.
Eso ha significado una constante evolución del presupuesto exclusivo a procesos de ciberseguridad, con un alza del 25% cada año.
Otra empresa que utiliza el hackeo ético es la de soluciones y servicios TI, Sonda.
El vicepresidente corporativo de servicios de ciberseguridad de la compañía, Carlos Bustos, apunta a que desde hace años realizan ejercicios de ciberseguridad y hackeo ético. También cuenta con un equipo especializado para los requerimientos internos y los de los clientes.
Este departamento está compuesto por dos equipos: uno externo con socios que apoyan en ciertos aspectos, y otro a nivel interno con 18 personas que en forma constante busca brechas de seguridad.
En cuanto al número de ejercicios, el ejecutivo señala que dependerá de la aplicación, pero suelen ser de dos a cuatro testeos anuales.
“Es un proceso que debes hacer y realizarlo de forma sistemática dentro de la empresa. Se implementan procesos que permiten corregir y controles. Hay niveles de profundidad y se descubren de manera periódica”, afirma Bustos.
Para responder a estos niveles de profundidad, la inversión que destina Sonda a ciberseguridad aumenta anualmente, con alzas de 25 a 30 puntos porcentuales año a año, “lo que se traduce en entre un 0,8% y 1,2% de las ventas de la empresa”, afirma.