Cada vez son más comúnes los casos de empresas o instituciones públicas que sufren ciberataques que desembocan en pérdida de datos o extorsiones.
Ante ese escenario, las compañías de ciberseguridad trabajan en estrategias preventivas contra la lucha del ciberdelito, que implican una mejora permanente en las técnicas para evitar robos que representen pérdidas millonarias para sus negocios.
Por esta razón, una táctica que se emplea de forma cada vez más frecuente entre las firmas es el "hacking ético", una iniciativa que tiene como objetivo conocer de antemano qué vulnerabilidades internas presenta una organización.
"El ‘hacker ético’ es un juego de roles, en el que se pretende ser los malos, usar sus mismas técnicas y herramientas", aseguró Andrés Dandrau Lisboa, director de seguridad de la información en Security Advisor, empresa de seguridad que propone dos servicios de consultoría defensiva de gestión continua de vulnerabilidades.
Estas propuestas permiten que en lugar de tener una foto, se realice un monitoreo permanente del riesgo informático en el día a día.
El servicio permite ahorrar costos al detectar problemas de seguridad en etapas tempranas, en donde se testean todos lo nuevos desarrollos y los cambios que se hicieron.
"Cuanto más temprano se detecta algo, más barato sale en horas de trabajo y mejor se contribuye a llegar antes a producción", resaltó Dandrau.
Otra de las tácticas consiste en su servicio de análisis de inteligencia de amenaza, que tiene como fin extraer datos en tiempo real de un amplio rango de fuentes que incluyen la deep y dark web, foros, repositorios, plataformas de mensajería.
Quiénes contratan estos servicios atribuyen la importancia de reconocer potenciales peligros y buscan proteger su negocio, al tiempo que permite aprender y mejorar su seguridad, sin haber sufrido consecuencias negativas. Las organizaciones llegan a pagar miles de dólares como rescate de un ransomware para recuperar sus datos y volver a estar operativas.
El objetivo final de la contratación del hackeo ético, en definitiva, es disminuir el riesgo y con ello prevenir futuros problemas, como pérdidas económicas, afectación en los servicios o la reputación de una marca.
Otra firma abocada a estrategias de hackeo ético para reforzar la seguridad empresarial es BTR Consulting, especializada en riesgo tecnológico, la cual desarrolló una nueva herramienta para capacitar a las personas en ciberseguridad.
Este nuevo servicio consta de un trabajo dividido en dos fases: una interna, en la cual se llevan a cabo las acciones de descubrimiento rápido, enumeración, identificación de debilidades, explotación, movimiento lateral y obtención de datos; y otra externa, en la que se realizan las tareas de intrusión sobre la infraestructura expuesta así como las aplicaciones expuestas.
"Nuestro enfoque permite combinar capacidades clave en las distintas áreas de ciberseguridad y riesgo de toda organización para ofrecer soluciones innovadoras de la más alta calidad que permiten tomar acciones rápidas y con certificaciones internacionales que avalan nuestros servicios" sostuvieron desde BTR.
En ese sentido, Martín Scattini, partner de la firma que lleva adelante el proyecto, destacó que este servicio busca identificar rápidamente la posibilidad de explotación de vulnerabilidades expuestas que permita la obtención de información y, a su vez, se puede utilizar como prueba para observar la reacción del equipo de defensa interno de la compañía.