Hackeo ético: por qué las empresas pagan para ser vulneradas
Existen piratas informáticos morales que utilizan sus habilidades para identificar vulnerabilidades en sistemas, apps o redes de computadoras con el permiso explícito del propietario.
Cada día es más común escuchar que una empresa o instituciones públicas sufren ciberataques que terminan en pérdida de datos o extorsiones millonarias. De hecho, el 69% de las organizaciones de América Latina sufrió algún incidente de seguridad durante el último año, según reveló un informe reciente de la compañía de ciberseguridad ESET.
En Argentina, tan sólo en el período entre mayo y agosto se registraron cuatro ataques dirigidos contra organismos estatales: el Instituto Nacional de Tecnología Agropecuaria (INTA), la Comisión Nacional de Valores (CNV), el Ministerio de Mujeres, Géneros y Diversidad, y el Programa de Atención Médica Integral (PAMI).
Frente a este escenario las compañías comenzaron a adoptar estrategias preventivas en la lucha contra el ciberdelito tales como el “hacking ético”. Se trata de una solución que ofrecen organizaciones especializadas en seguridad informática como Security Advisor y que tiene como objetivo conocer de antemano qué vulnerabilidades tecnológicas presenta una compañía.
En tanto, las empresas contratan a expertos en las pruebas de penetración de sistemas informáticos y de software, pero que usan sus conocimientos para fines beneficiosos; para quebrantar las bases de datos o esquemas de las firmas y ayudarlas a identificar y solucionar las brechas de seguridad.
A este tipo de pirata informático se lo conoce como hacker de ‘sombrero blanco’ (White hat), con el fin de diferenciarlo de los ciberdelincuentes, que a menudo llevan el nombre de hackers de ‘sombrero negro’.
“El ‘hacker ético’ es un juego de roles, en el que se pretende ser los malos, usar sus mismas técnicas y herramientas”, afirmó Andrés Dandrau Lisboa, director de seguridad de la información en Security Advisor.
Más allá de las constantes actualizaciones de los sistemas y las inversiones en softwares antivirus, los hackers éticos representan una de las armas más poderosas en la batalla contra los piratas de ‘sombrero negro’. Es que sólo estos profesionales pueden anticiparse a las maniobras de los actores maliciosos e implementar su expertise a modo de cortafuegos.
“Cuanto más temprano se detecta algo, más barato sale en horas de trabajo y mejor se
El hacking ético es una solución para saber antes la vulnerabilidad tecnológica de una empresa.
En el último ataque informático al PAMI los ciberdelincuentes exigieron un rescate en bitcoins.
contribuye a llegar antes a producción”, aseguró Dandrau. El énfasis en el abaratamiento de costos no es una cuestión menor en medio de un contexto donde las organizaciones llegan a pagar cientos de miles de dólares como rescate de un ransomware para recuperar sus datos y volver a estar operativas.
Basta con recordar el caso del ataque informático al PAMI en el mes de agosto, cuando el grupo de ciberdelincuentes llamado Rhysida exigió un monto de 25 bitcoins equivalentes a u$s 735.000 a cambio de millones de datos sensibles que dejaban vulnerables a unos cinco millones de afiliados, médicos de cabecera y otros prestadores de la organización estatal.
En julio, en cambio, un hacker ético consiguió arrebatar a un explotador unos 2.879 Ether (ETH), valorados en unos u$s 5.4 millones, y devolverlos a la plataforma de intercambio de criptomonedas Curve Finance, después de haber sufrido un exploit en sus protocolos descentralizados.
El objetivo de la contratación del hackeo ético es disminuir el riesgo y con ello prevenir un futuro problema, pérdidas económicas, afectación en los servicios o la reputación de una marca. Esta forma de trabajo aumenta drásticamente las capacidades de resiliencia, y puede implicar ser el primero en enterarse cuando haya una filtración.