El hacking ético como estrategia de ciberseguridad para las empresas
México ha visto un incremento significativo en el número de ciberataques en los últimos años. Según un reporte de la Asociación Mexicana de Internet, el país enfrenta alrededor de 85 mil millones de intentos de ataques anuales a la ciberseguridad. Respecto a la gestión de este tipo de incidentes, a pesar de que 80% de las empresas realiza análisis de riesgos informáticos, sólo 33% los efectúa de manera periódica.
En un contexto en el que cada día aparecen nuevos recursos para vulnerar la ciberseguridad de las empresas, van surgiendo también herramientas y estrategias de prevención y defensa para evaluar y mejorar la seguridad informática. Es el caso del hacking ético, el cual vale la pena explorar, analizar cómo se implementa en una empresa, y cuáles son sus ventajas y limitaciones.
Israel Gutiérrez, Country Manager de A3Sec, enfatiza: “En un entorno tan dinámico y de rápido crecimiento, los riesgos aumentan cada vez , se vuelve indispensable que las empresas implementen estrategias efectivas de prevención y protección para salvaguardar sus activos digitales y mantener la confianza de sus clientes”.
La Asociación Mexicana de Internet también indica que en México el compromiso con la ciberseguridad varía según el tamaño de la empresa. El 36% de las empresas medianas y grandes invierten entre 100 mil y 1 millón de pesos anuales en ciberseguridad, un 29% destina entre 1 y 10 millones de pesos, y un 14% supera los 200 millones de pesos. Sin embargo, el 75% de las Mipymes no asigna presupuesto a ciberseguridad.
Hacking ético en breve
El hacking ético es una práctica legal de seguridad informática en la que expertos en la materia, conocidos como hackers éticos, intentan identificar vulnerabilidades de seguridad en sistemas, redes o aplicaciones. A diferencia de los ciberatacantes, los también conocidos como “pentesters” utilizan técnicas autorizadas para fortalecer la seguridad. Estas estrategias resultan cruciales para la ciberseguridad de empresas de todos los tamaños, ya que les permiten detectar, prevenir y corregir fallos antes de ser explotados con fines perniciosos o criminales.
Israel Gutiérrez señala que “Estas prácticas de ciberseguridad, realizadas por expertos y de forma continua permiten a las organizaciones conocer sus puntos débiles desde una perspectiva externa, lo que les proporciona una visión clara de las posibles brechas de seguridad”.
El hacking ético en la práctica
Implementar el hacking ético en una empresa implica varios pasos cruciales. Primero, se realiza el reconocimiento, recopilando información valiosa, como contraseñas y datos de acceso de los empleados. El siguiente paso es el escaneo, en el que se utilizan herramientas diversas para identificar datos como las direcciones IP y credenciales. La tercera fase consiste en aprovechar las vulnerabilidades para obtener acceso a los datos e información más delicada. Al concluir esta fase, los hackers éticos mantienen el acceso al sistema que han vulnerado, y para ello utilizan numerosas técnicas, como troyanos y puertas traseras. Finalmente, se limpian las huellas para eliminar rastros del ataque y, posteriormente, se genera un informe exhaustivo sobre las brechas de seguridad, su impacto potencial y recomendaciones para mitigarlas.
Ventajas y limitaciones
Las ventajas incluyen la identificación proactiva de vulnerabilidades, lo que permite detectar fallos de seguridad antes de que sean explotados; el cumplimiento normativo, que ayuda a las empresas a cumplir con las normativas y estándares de seguridad; la mejora continua, que proporciona una evaluación constante de la seguridad y permite mejorarla frecuentemente; y la confianza del cliente, que se refuerza cuando comprueban un compromiso proactivo de las empresas con la seguridad de sus datos.
Como todo recurso, el hacking ético tiene algunas limitaciones. Puede ser complejo de desplegar si no hay un objetivo claro, especialmente para pequeñas y medianas empresas. Además, los hackers éticos sólo pueden probar un conjunto limitado de sistemas y aplicaciones, la efectividad depende de la habilidad y experiencia del profesional que realiza la prueba. Si no se maneja adecuadamente, también puede haber puntos ciegos que dejen espacio para los atacantes.
Esta práctica, la cual requiere que los hackers éticos tengan un profundo conocimiento de las redes y sistemas de ciberseguridad, es crucial para la protección de las empresas, ya que previene, por ejemplo, la inutilización de equipos, el espionaje corporativo y la filtración de datos sensibles; y, al mismo tiempo, propone soluciones para reforzar los protocolos de seguridad de las compañías.
Israel Gutiérrez concluye que “esta práctica de ciberseguridad se vuelve una inversión para el negocio ya que apoya fuertemente la seguridad y la continuidad del negocio que ninguna empresa puede permitirse ignorar”.