En el mundo de las empresas, sean pequeñas, medianas o grandes, existe un consenso: la ciberseguridad nunca es suficiente. Se debe estar en una constante revisión: una mínima brecha puede ser uno de los puntos más críticos y significar, también, una de las mayores vulneraciones.

Secuestro de información y robos de bases de datos pueden ser el resultado de una mala adminstración de seguridad digital. Por eso, muchas empresas están recurriendo a servicios de hacking ético o pentesting, que básicamente se encarga de comprobar la efectividad interna de los sistemas de vigilancia.

De acuerdo con el Hacker Report 2020 y el Cuarto Informe de Seguridad-Impulsado Por Hackers, HackerOne -de McAfee y que recoge Nokia- un hacker es aquel que disfruta el desafío intelectual de superar ciertas limitaciones en el mundo virtual, pero de forma creativa. Esa es la definición que se hace a nivel de industria, y que se diferencia de un cibercriminal.

Un ataque hacker tiene lugar cada 39 segundos. Un 68% de estos cibercriminales piratean por “el desafío” y el 49% por mera entretención. De estos últimos, hay quienes se dedican a “vulnerar” o descubrir estas brechas para que las mismas empresas u organizaciones puedan enmendar sus sistemas.

Aquí es donde entra el término de “hacking ético”, en el que cada vez más empresas comienzan a indagar. Lorenzo Martínez, ingeniero informático y director de Securízame, empresa española especializada en ciberseguridad, explica que este consiste en llevar a cabo labores informáticas que permiten a un profesional identificar vulnerabilidades en sistemas y aplicaciones de una organización con la finalidad que sean corregidas.

“Dependiendo del alcance del contrato, puede pedirse únicamente la identificación de las vulnerabilidades -’vulnerability assessment’- o una prueba de la existencia de las mismas, mediante la explicitación de ellas”, comenta desde España el experto.

La relevancia de este tipo de prácticas es alta, asegura, porque el descubrimiento de estos puntos débiles de los servicios de una organización, ya sea que estén expuestos a internet o no, permiten a la empresa adelantarse al bloqueo o “parcheo” antes de que las vulnerabilidades sean explotadas por un atacante con intenciones maliciosas. Hay quienes cuentan con unidades dentro de las propias compañías, que se orientan a resolver este tipo de situaciones o prevenciones, así como hace Google, o incluso compañías privadas dedicadas a estos temas.

“El hacking ético es muy importante para las empresas que proveen servicios de ciberseguridad, porque les permite adquirir el conocimiento necesario sobre la capacidad de seguridad de sus aplicaciones e infraestructura con el fin de estar en control de las posibles amenazas y poder prevenirlas”, explica Francisco Guzmán, director de Claro empresas. “Ser proactivos en materia de seguridad permite reducir riesgos y costos ante un posible incidente de seguridad”.

Según indica el estudio recogido por Nokia, en ocasiones estos mismos “hackers éticos”, cuando son particulares y no pertenecen a ninguna empresa dedicada a ello, no se pronuncian al respecto. De hecho, un 63% de los que han encontrado alguna vulnerabilidad en una empresa u organización no lo reportan por miedo a que existan represalias. Según Ricardo Seguel, docente de la Universidad Adolfo Ibáñez y director del diplomado en Hacking Ético de esa casa de estudios, al menos en Chile no debiera existir problema alguno, puesto que la nueva Ley de Delitos Informáticos señala que cualquier acción de este tipo debe ser autorizada por una organización.

“Es muy importante que el hacking ético sea una práctica recurrente en las organizaciones, y que se lleve a cabo por una entidad externa a la misma, bajo un escenario controlado o de simulación para no interrumpir la continuidad operacional”, plantea el también director académico del Magíster en Ciberseguridad de la UAI. “Si se realiza de forma interna, debe ser una práctica periódica en el año para la gestión de vulnerabilidades que debe realizar el área de T.I, que es muy relevante para la mitigación a tiempo de vulnerabilidades y mantener las defensas de la organización”, añade.

En el mundo de la seguridad interna, existen términos como “hacking ético”, pero también está el “pentesting”. En ocasiones pueden incluso llegar a confundirse, pero todo depende de lo que requieran las compañías. Fabián Rodríguez, CEO de la startup de ciberseguridad Camel Secure, dice que las diferencias son sutiles. “En general, se habla de distintas cosas por el nivel de profundidad que tenga una y otra, aunque el objetivo sea el mismo: buscar debilidades o vulnerabilidades en los sistemas”, comenta desde Estados Unidos.

El “pentesting”, que es básicamente un “test de penetración”, en algunos casos puede ser automatizado y busca errores en la infraestructura, a diferencia del hacking ético, que busca entrar en las medidas de defensa de algún cliente o empresa mediante distintas técnicas que también pueden ser físicas. “Hay casos en que se usan incluso credenciales de acceso falsas para entrar a una empresa, o engañar a las personas de seguridad para que los dejen entrar, robar correos o cosas así”, plantea el ejecutivo.

Si bien las distintas compañías cuentan con sus propios servicios, áreas o compañías del sector a las que recurren, lo normal es que sean tareas que queden casi en la exclusividad de la organización. No es usual “ventilar” quién tiene el mejor sistema de seguridad ni qué brechas han encontrado abiertas, o incluso a qué firmas han recurrido para estas prácticas. La idea no es llamar la atención de los cibercriminales.

Lorenzo Martínez, de Securízame, dice que la diferencia es mayor cuando se habla de auditorías y pentesting. Las primeras muchas veces se limitan al análisis de todas las posibles vulnerabilidades existentes en todos los puntos de entrada. Pero en el test de penetración en general se suele buscar la profundidad a la que se puede llegar desde un punto en concreto.

“En un pentesting la amplitud es menor y la profundidad mayor. No importando cuántas formas distintas hay de llegar a comprometer un sistema o red, lo que se busca es comprometerlo completamente de la forma que sea posible, pero a veces se para en ese punto, sin buscar todas las maneras posibles y/o puntos de entrada”, explica el experto.

Para prevenir ataques de cibercriminales, en las propias organizaciones existe el concepto que “hay que pensar como uno”, y las defensas deben ser planeadas de esa manera. Por eso, en caso de no contar con equipos o unidades especializadas en estas labores al interior de la empresa, si un hacker ético encuentra alguna de estas brechas no debiera tampoco existir castigo alguno.

Finalmente, según comentan algunos personeros del mundo empresarial, es “como si alguien viera la ventana de tu casa abierta y te avisara”. Por eso, en el sentido legal, las represalias no son algo que ayude a estos “sombreros blancos”.

Siempre y cuando se haga un contrato o con un permiso específico para llevar a cabo las acciones definidas en un documento firmado por ambas partes, con deber de profesionalidad, secreto y confidencialidad por el lado de la empresa que provee el servicio y con deber de pago, no debieran existir problemas legales, argumenta Martínez.

Fabián Rodríguez, de Camel Secure, dice que hoy existe una nueva ley de responsabilidad civil que castiga algunas de estas prácticas cuando son realizadas sin el permiso del cliente, “pero debemos avanzar a una legislación acorde a los tiempos que vivimos”; en especial formar a más especialistas en ciberseguridad, que hoy están lejos de ser suficientes. El escenario reciente comprobó la necesidad de este tipo de profesionales y servicios, mucho más considerando lo ocurrido con el EMCO hace unos meses.