Noticias
<< Volver al listado de noticias

Los Expertos Opinan - El hacking ético para reforzar su ciberprotección
Publicado el 05-12-2022 Notícia sobre: Artículos
Laurent Oudot, Cofundador y CTO, TEHTRIS
Hoy en día, los ciberataques se multiplican y son cada vez más complejos pero las empresas pueden contar con varias herramientas para protegerse y consolidar su seguridad. El hacking ético es una de las prácticas para conseguirlo. ¿De qué se trata? ¿Qué puede aportar a las empresas u organizaciones? ¿Cuáles son los retos asociados?
El hacking ético es lo que entendemos como una actividad de un hacker a través de la cual consigue penetrar los sistemas de información y explotar sus vulnerabilidades con fines defensivos, a diferencia de los ciberdelincuentes cuyo propósito es malicioso (espionaje, sabotaje, extorsión). El hacker ético busca todas las vulnerabilidades que podrían ser explotadas por personas malintencionadas en un momento dado: destaca los peligros en los que incurre la empresa para que ésta pueda aprender de ellos y aumentar su nivel de seguridad.
Para sentar las bases del hacking ético, es importante comprender la diferencia fundamental que existe entre un ciberdelincuente y un hacker ético: y es que los valores, como su propio nombre indica, son éticos. La investigación y la movilización de conocimientos técnicos, a menudo aprendidos de forma autodidacta, se ponen al servicio exclusivo de la comunidad y contribuyen a su seguridad. El ciberdelincuente, por el contrario, se mueve principalmente por el afán de lucro o la postura política.
Además, debemos tener en cuenta que el hacking ético es una actividad muy a menudo enmarcada en un contrato con una empresa. Paralelamente a la utilización de soluciones de software de protección, el Hacking Ético asegura un buen nivel de protección permitido por las soluciones desplegadas, así como evolucionar sus configuraciones. Además, permite formar a sus equipos SOC y CERT Response en un marco ficticio pero realista de ciberataque en materia de respuesta a incidentes técnicos y gestión de crisis (Red Team vs Blue Team).
Se trata, por lo tanto, de una experiencia humana, neutra y complementaria a las herramientas hiperautomatizadas que se ha vuelto imprescindible para llevar a cabo misiones de pruebas de intrusión que requieren imaginar y probar una multitud de técnicas y tipos de ataque. En el contexto de ciberamenazas actual, hay que adoptar la postura del atacante, buscando en profundidad el más mínimo fallo que pueda ser explotado. El objetivo último está en conseguir una mezcla de conocimientos técnicos, ingeniería social y creatividad.
La dependencia de los seres humanos al mundo digital es cada vez mayor. Efectivamente, vivimos en un mundo cada vez más interconectado y en el que habrá 75.000 millones de objetos conectados (IOT) en el 2035. Todo se desarrolla muy rápido, pero ¿se toma realmente en cuenta la seguridad o se le da prioridad? ¿Qué pasaría si un Black Hat decidiera tomar el control de las cámaras de vigilancia de una casa, hackear el alumbrado público o los semáforos de una ciudad, escuchar las conversaciones de los ciudadanos, y mañana pilotar maliciosamente coches autónomos, etc.? Las consecuencias son un verdadero reto para toda la sociedad.
Las empresas, objetivo de Black Hat también, tienen importantes retos de competitividad: proteger su seguridad, sus operaciones, su propiedad intelectual, los datos de sus empleados y clientes, etc. Su supervivencia puede incluso estar en juego. De hecho, el 71% de las PYMES que sufren un ciberataque no se recuperan, según el estudio de Symantec.
Como White Hat, nuestra misión es actuar de forma proactiva, para reforzar la protección de los sistemas señalando los fallos existentes.
En definitiva, siguiendo con el ejemplo de la casa, si la puerta está cerrada, se prueba con la ventana, luego con el techo y finalmente con la chimenea. Nuestro objetivo como hackers éticos debe ser que no entre nadie.