El universo de la ciberseguridad contiene muchas variables y aproximaciones. Una de ellas es el hacking ético continuo que pretende identificar permanentemente vulnerabilidades en los softwares para poder solventarlas de forma preventiva durante su desarrollo.
El hacking ético podría definirse como la actividad que realizan expertos informáticos que son contratados para hackear un sistema e identificar posibles vulnerabilidades. Esto previene eficazmente la explotación por hackers maliciosos a futuro. Son expertos que se especializan en las pruebas de penetración de sistemas informáticos y de software con el fin de evaluar, fortalecer y mejorar la seguridad
El universo de la ciberseguridad contiene muchas variables y aproximaciones. Una de ellas es el hacking ético continuo que pretende identificar permanentemente vulnerabilidades en los softwares para poder solventarlas de forma preventiva durante su desarrollo.
hacking etico 2021
El hacking ético continuo, explicado por Vladimir Villa, CEO de Fluid Attacks, empresa colombiana especializada en el tema, sería la exposición del software, en todo el ciclo de desarrollo, a un hacking ético. Esto se debe a que si bien tomar una foto en un momento puntual de un sistema puede ayudar a identificar vulnerabilidades, en el momento en que el software cambia, la foto pierde vigencia. Por lo tanto, se hace necesario estar evaluando permanentemente para poder detectar de forma preventiva todas las vulnerabilidades que se presenten en el desarrollo del mismo.
Los softwares son sistemas dinámicos que pierden vigencia en términos de seguridad de forma muy rápida. Cada nueva actualización puede generar vulnerabilidades y ha cada rato aparecen nuevos factores de riesgo, lo que hace necesario una revisión permanente. Según Villa, las empresas que solo revisan vulnerabilidad eventualmente, tienen una efectividad del cierre de las mismas del 4%. Las empresas que evalúan constantemente durante el desarrollo por su parte tienen una efectividad de cierre del 60%. Y finalmente, organizaciones que logran «detener la construcción» (breaking the build), impidiendo que las aplicaciones sean desplegadas con vulnerabilidades ya identificadas, cuentan con una efectividad de cierre superior al 90%.
Las empresas que se dedican al hacking ético continuo deben constantemente enfrentarse a diferentes tecnologías, realizar certificaciones teóricas, entrenarse con sistemas diseñados para ser hackeados y entender y estar actualizados en los estándares internacionales de seguridad. Algunos de estos estándares son el: PCI DSS, OWASP, GDPR, HIPAA y NIST, entre otros.
Por lo tanto, empresas como Fluid Attacks deben crear sus productos para que detecten cualquier tipo de vulnerabilidad decretada por los estándares internacionales. Y entre más protocolos cumpla un sistema, mejor. Por eso trabajan permanentemente en crear un equilibrio entre la automatización y la capacidad humana. Lograr un proceso automatizado, con inteligencia artificial, que pueda identificar mejor y más rápido las vulnerabilidades de un software es la primera parte. Luego, es el talento humano capacitado el encargado de profundizar en los resultados iniciales automatizados.
Entonces, ¿debería una empresa permitir ser hackeada continuamente para sacar sistemas, software o aplicaciones con la menor cantidad posible de vulnerabilidades de seguridad? Eso dependerá de la compañía, pero sería recomendable.