Tal y como las empresas adoptan soluciones de Internet de las Cosas (IoT) a sus operaciones, también incrementan las posibilidades de intrusiones y vulnerabilidades a su seguridad, por lo que tener un hacker en sus filas no sería una mala idea, según a especialistas de Udemy.
Hablamos de un hacker ético, uno que pueda anticiparse a potenciales amenazas para evitar los costos financieros y de reputación que conlleva un ataque. Tan solo en México, en 2016, el 87 por ciento de las empresas reconocieron haber tenido un incidente de seguridad con un costo promedio de 1.5 millones de dólares, según Eduardo Arriols, instructor de Udemy y especialista en hacking ético.
Un hacker ético puede ser aquel especialista en programación y tecnologías de la información o Ingeniero en Sistemas e Informática, pero que tenga la convicción de utilizar su conocimiento para realizar acciones éticas.
Contrario al hacking como tradicionalmente se le conoce, el hacking ético se caracteriza por ser una estrategia de prevención en la que las propias empresas ponen a prueba y llevan al límite sus activos de seguridad para detectar posibles fallas que les conviertan en blancos de atacantes.
“El hacker ético utiliza exactamente las mismas técnicas y herramientas que los piratas informáticos, pero para detectar vulnerabilidades y errores de seguridad para subsanarlos en lugar de lucrar con ellos, además de operar bajo criterios de cumplimiento normativos y corporativos”, dijo a El Financiero.
Para hacerlo, el empresario debe generar un proceso de filtros con la intención de tener un elemento seguro, como la firma de acuerdos de confidencialidad, ya que en caso de que la relación laboral no sea exitosa, podrían quedar expuestos.
Una vez contratado el hacker ético, el primer paso, según Arriols, es definir los principales riesgos informáticos asociados al quehacer de la empresa y su potencial impacto en términos económicos. Dichos huecos de seguridad detectados pueden derivar en la obtención de bases de datos, acceso a redes internas, inyección de código malicioso y fraudes a nombre de la compañía.
Se deben identificar los activos informáticos que más riesgo tienen de ser vulnerados. Posteriormente se debe establecer un plan de auditoría partiendo de los sistemas más críticos y documentar las principales incidencias para diseñar un plan de acción.
“A diferencia del hacking tradicional, no solo se trata de ‘romper cosas’, el hacking ético plantea soluciones concretas. Una vez detectadas las debilidades del sistema o potenciales amenazas, es necesario documentarlas y a partir de esto establecer un plan de acción enfocado en su corrección y posterior prevención”, dijo Arriols.
El último paso, según el especialista, es volver a empezar el proceso. “El hacking ético no es un proceso que termine, es continuo, incremental, una vez implementado se pueden hacer varias mejoras”, indica el experto.
“Para tener éxito es fundamental cambiar la mentalidad de ‘si funciona no lo toques’ que previene a las empresas de actualizar sus sistemas y cuestionar sus vulnerabilidades. Los procesos de hacking ético ayudan a reconocer los riesgos y acabar con esa falsa y peligrosa sensación de seguridad. Por tanto, tener un hacker en una empresa puede ser una muy buena inversión”, concluyó.
