Según datos del Internet Crime Complaint Center (IC3) las pérdidas a nivel global por ciberataques en 2021 para las empresas ascendieron a USD $6,900 millones, una cifra que crece exponencialmente cada año y que se prevé que continúe al alza.
Por eso Strike, plataforma de ciberseguridad en Latinoamérica basada en el ‘hacking ético’, señala que las empresas deben prevenir vulnerabilidades en sus sistemas mediante procesos de ciberseguridad. “Un error que suelen cometer las empresas es acudir a soluciones de ciberseguridad únicamente por necesidad: es decir, cuando requieren una certificación, cuando una auditoría les exige el testigo de un tercero, o incluso cuando ya fueron víctimas de amenazas como el ransomware y quieren saber por qué sucedió”, explica Santiago Rosenblatt, CEO de Strike. Por el contrario, el especialista sostiene que para detener a los hackers, es importante poder pensar como ellos. Esto se logra mediante técnicas de hacking ético.
¿Qué es el hacking ético?
Se trata del uso de técnicas como las que emplean los hackers maliciosos, pero con el objetivo de investigar, detectar vulnerabilidades, y proteger a las compañías. Es decir, el hacker se adentra en el sistema y de forma pasiva “lo ataca”, pero una vez dentro, en lugar de robar información o cifrar datos para extorsionar a la compañía, le ayuda a prevenir los escenarios negativos y entrega un diagnóstico de las debilidades y/o vulnerabilidades que existen en el sistema. Strike, por ejemplo, emplea la técnica del pentesting, que consiste en pruebas de penetración de sistemas para poner a prueba las vulnerabilidades del mismo.
¿Cómo funciona el pentesting?
1. Detectar las necesidades: Esta técnica de hacking ético comienza con un formulario para determinar el objetivo con el que se realizará la prueba. En el mismo indican si buscan el pentesting por prevención, o porque ya fueron víctimas de ciberataques en el pasado.
2. El hacker ideal: Con esa información se determina qué ‘Striker’, será el encargado de realizar el pentesting correspondiente. “No todos los Strikers son iguales, existen desde los especialistas en lenguaje JavaScript, por mencionar un ejemplo, hasta los que se especializan en hackear un sistema operativo determinado. Ahí es en donde debemos buscar al mejor ‘Hacker ético’ que nos haga match con la necesidad de la compañía”, explica el experto.
3. Seguimiento: el Striker se adentra al sistema y está en constante comunicación con la empresa mediante un chat y un tablero en el que se carga la información a detalle , para así poder realizar cualquier seguimiento puntual. Allí las compañías pueden saber qué vulnerabilidades existen, el nivel de riesgo que implican, y las recomendaciones que el hacker ético emite para resolverlas.
4. Reporte: Al final, el pentesting concluye con un reporte en el que se da detalle de todas las vulnerabilidades, la forma de resolverlas y las recomendaciones pertinentes, el impacto que pueden tener y el diagnóstico de la empresa.
El hacking ético y las técnicas como el pentesting son una necesidad de mercado que debe tomarse con seriedad. Aunque el usuario final y las empresas no lo noten, los fabricantes de software y los sistemas están en constante cambio y evolucionan casi a diario, por lo que el experto de Strike concluye que “todos los updates y cambios de código que se ejecutan, abren nuevas vulnerabilidades y es complicado atenderlas cuando se realiza un escaneo de ciberseguridad anual. Hacer de la ciberseguridad un hábito, es necesario hoy en día en una época en la que, tan solo en Latinoamérica, se generan más de 289 mil millones de intentos de ciberataques al año”.