El
aumento a las violaciones de datos y los ataques cibernéticos han
dejado de ser un evento noticioso, pero sí el hecho de que cada vez se
vuelven más sofisticados. El
problema se ha exacerbado a causa de las tecnologías emergentes como el
Internet de las cosas, que les brinda a los piratas informáticos nuevos
mecanismos y vehículos para el ataque.
De
ahí que las empresas luchen por mantenerse al día con las motivaciones y
tácticas cibercriminales que cambian tan rápidamente. También están
optando por migrar grandes
volúmenes de datos y aplicaciones a la nube, dejando atrás porciones de
información desprotegida que los hackers pueden explotar.
¿Qué
pasos deben seguir las empresas para evitar interrupciones? Una de las
mejores formas de evaluar una amenaza de intrusión es contar con
profesionales independientes
de seguridad informática que busquen entrar en sus sistemas. Estos
"hackers éticos" emplean las mismas herramientas y técnicas que los
intrusos, pero con el propósito de evaluar la seguridad de los sistemas
de destino e informar a los propietarios sobre las
vulnerabilidades encontradas, junto con las instrucciones de cómo
remediarlas.
El
hacker ético está legalmente autorizado a explotar las redes de
seguridad y mejorar los sistemas, reparando las vulnerabilidades
detectadas durante las pruebas. También
está obligado a revelar todas las vulnerabilidades descubiertas.
Si
bien puede parecer una mala idea el hacer uso de piratas informáticos
para ayudar a planificar y probar ciberdefensas, es importante saber que
su experiencia puede
ser muy valiosa.
Los
hackers éticos pueden desempeñar un papel fundamental para ayudar a los
equipos de seguridad a considerar cada vector de ataque posible, y así
proteger las aplicaciones.
El proceso debe ser planificado con antelación, los aspectos técnicos,
de gestión y estratégicos deben ser sumamente cuidados, y llevar a cabo
las etapas en un marco de control y supervisión constante.
Existen
varias maneras de reclutar hackers éticos, el método más común es un
esquema de "recompensa por vulnerabilidad" que opera bajo términos y
condiciones estrictas.
De esta manera, cualquier miembro del público puede buscar y enviar
vulnerabilidades descubiertas y con ello ganar una retribución. Puede
convertirse en una opción idónea para servicios públicos disponibles en
sitios web o aplicaciones móviles. La compensación
depende del nivel de riesgo percibido, una vez que la organización
afectada confirme la validez de su descubrimiento.
Según
el Informe Hacker 2019, la comunidad de hackers éticos se ha duplicado
año tras año. El año pasado, $19 millones de dólares se repartieron en
recompensas. El informe
también estima que los piratas informáticos éticos que más ganan pueden
lograr hasta cuarenta veces el salario medio anual de un ingeniero de
software.
Diversas
empresas optan por contratar de manera directa a piratas informáticos
externos, algunos de ellos incluso con historial de actividad criminal,
quienes sólo tienen
en abundancia la experiencia práctica. Al final del día, un hacker es
un hacker, la única diferencia es lo que hacen una vez que encuentran un
error o vulnerabilidad.
No hay comentarios:
Publicar un comentario