El papel de un hacker ético en la ciberseguridad de una empresa.

El papel de un hacker ético en la ciberseguridad de una empresa.

La tribuna

¿Dónde encontrar un hacker?

16 septiembre, 2019 12:42

Los ciberataques aumentan de forma significativa y los hackers utilizan tácticas cada vez más sofisticadas, lo que complica la vida de las empresas a la hora de intentar proteger sus datos.

El tema se agrava con la llegada de tecnologías emergentes, como el internet de las cosas (IoT en sus siglas en inglés), que amplían exponencialmente la superficie atacable. Al mismo tiempo, grandes volúmenes de datos y aplicaciones se están moviendo desde los centros de datos corporativos a la nube, algo que puede dejar sin protección a una parte importante de la información de la organización si no se lleva a cabo de una forma apropiada,

Los responsables de seguridad TI de las compañías cuentan con todos los conocimientos necesarios para hacer frente a los posibles ciberataques, sin embargo, no siempre entienden la dinámica de los hackers -cómo desarrollan la labor de reconocimiento sobre posibles víctimas, cómo ponen en práctica sus estrategias encadenando múltiples ataques o cómo consiguen acceder a las redes corporativas-. A la hora de proteger las aplicaciones y los datos, resulta fundamental tener en cuenta cada posible vector de ataque, y en esta situación muchas empresas han decidido combatir el fuego con fuego y buscar la colaboración de un hacker ético. Puede ser una medida arriesgada, pero también puede resultar definitiva para la protección de la compañía.

El hacker ético cuenta con todas las habilidades y conoce las prácticas de los ciberdelincuentes. Al darle permiso para introducirse en las redes de la empresa, es muy probable que descubra vulnerabilidades que hasta el momento pasaban desapercibidas, teniendo la oportunidad de poner en marcha medidas para corregirlas.

De acuerdo con el 2019 Hacker Report, la comunidad de hackers éticos se duplica año tras año. En 2018 las compañías destinaron 19 millones de dólares en recompensas para pagar vulnerabilidades detectadas por hackers, casi lo mismo que durante los seis años anteriores. Este informe también dice que algunos hackers pueden llegar a ganar hasta cuarenta veces más que un ingeniero de software.

¿Cómo contactar con un hacker?

El método más común a la hora de trabajar con hackers es implantar un modelo de recompensas por vulnerabilidad detectada. De esta forma, cualquiera puede buscar errores en la página web o en las aplicaciones públicas de la empresa y conseguir una recompensa económica una vez detectada y comunicada la vulnerabilidad. Es necesario establecer unos términos y condiciones bien definidos si queremos que este sistema funcione, así como el valor económico de las recompensas, que suele depender de su nivel de riesgo.

El uso de una metodología de crowdsourcing y el pago de recompensas por vulnerabilidad detectada es un sistema beneficioso para ambas partes. Los hackers, además de dinero, consiguen incrementar su prestigio, al poder demostrar públicamente sus capacidades. La empresa optimiza e incrementa su inteligencia con respecto a su seguridad.

Por otra parte, la opción de algunas empresas es contratar a hackers directamente. En estos casos se valora la experiencia por encima de otras consideraciones, como puede ser el historial delictivo del hacker. Hay que tener en cuenta que un hacker siempre va a ser un hacker y que la única diferencia va a ser lo que haga al encontrarse con un error o una vulnerabilidad.

Contratar a un ciberdelincuente siempre va a ser una decisión arriesgada que debe valorarse caso por caso. Tener en cuenta, solamente, los antecedentes penales de una persona no es suficiente, ya que no indican la realidad actual de la misma. Es decir, el que un hacker provocara un ataque tipo DDoS en su juventud no quiere decir que ahora sea una criminal con una carrera internacional. De hecho, algunos delincuentes juveniles acaban transformándose en consultores de seguridad y en líderes de opinión de la industria.

La misma empresa puede ser un buen terreno para captar hackers. Seguramente, entre el personal dedicado al desarrollo de aplicaciones, código e infraestructura de red hay algunos profesionales a los que les encanta curiosear y que pueden estar ya detectando vulnerabilidades, aunque no alertando sobre ellas, simplemente porque no les pagan por ello. Identificar y aprovechar el talento de los empleados para ponerlos al servicio de la seguridad de la empresa puede ser una buena opción.

Finalmente, las universidades son otro caladero a tener en cuenta. Además, la piratería informática se está institucionalizando. Muchas universidades ya incluyen títulos como Certificación de Hacker Ético, Profesional Certificado en Seguridad Ofensiva (OSCP) o Certificación de Aseguramiento de la Información Global (GIAC). Aunque una parte de los hackers se resistan, aparentemente, a estas evoluciones educativas, sin duda saben que el pirateo ético se está convirtiendo en una práctica cada vez más normalizada.

Daniel Varela, ingeniero especialista de Seguridad para el sur de Europa en F5 Networks

Toys "R" Us inicia en Madrid el despliegue de su red de tiendas de ciudad

Anterior

Serie histórica del PIB 1995-2018 tras la revisión del INE

Siguiente

Operar con instrumentos financieros o criptomonedas conlleva altos riesgos, incluyendo la pérdida de parte o la totalidad de la inversión, y puede ser una actividad no recomendada para todos los inversores. Los precios de las criptomonedas son extremadamente volátiles y pueden verse afectadas por factores externos como el financiero, el legal o el político. Operar con apalancamiento aumenta significativamente los riesgos de la inversión. Antes de realizar cualquier inversión en instrumentos financieros o criptomonedas debes estar informado de los riesgos asociados de operar en los mercados financieros, considerando tus objetivos de inversión, nivel de experiencia, riesgo y solicitar asesoramiento profesional en el caso de necesitarlo.

Recuerda que los datos publicados en Invertia no son necesariamente precisos ni emitidos en tiempo real. Los datos y precios contenidos en Invertia no se proveen necesariamente por ningún mercado o bolsa de valores, y pueden diferir del precio real de los mercados, por lo que no son apropiados para tomar decisión de inversión basados en ellos. Invertia no se responsabilizará en ningún caso de las pérdidas o daños provocadas por la actividad inversora que relices basándote en datos de este portal. Queda prohibido usar, guardar, reproducir, mostrar, modificar, transmitir o distribuir los datos mostrados en Invertia sin permiso explícito por parte de Invertia o del proveedor de datos. Todos los derechos de propiedad intelectual están reservados a los proveedores de datos contenidos en Invertia.

© 2024 El León de El Español Publicaciones S.A.