¿Sombrero blanco o negro?
El hacking ético y cómo las organizaciones pueden obtener valor al ser hackeadas.
Cuando escuchamos o leemos la palabra hacker o hacking en general lo asociamos a algo negativo o que representa una amenaza, en cierto punto tiene sentido. Según un informe publicado por la Casa Blanca en 2018 se estima que debido a incidentes relacionadas a seguridad de la información tanto en el sector público como privado, la economía norteamericana se ve afectada en el entorno de los 100 billones de dólares anuales.
Por otro lado, hay investigaciones que estiman que el 28% de los negocios online, ya sean grandes, medianos o pequeños tendrán algún problema relacionado a la seguridad en los próximos 2 años.
Entonces, ¿puede el hacking ser considerado como algo positivo o que busque otros fines? ¿Qué es el hacking ético y qué diferencias tiene sobre otros tipos? ¿Deberían las empresas u organizaciones estar dispuestas a ser hackeadas?
Entendemos por hacking a las acciones realizadas para obtener acceso a un sistema, red o aplicación en forma no autorizada. Dicho esto, hackear algo puede también tener diversos propósitos, ya sean estos bien o mal intencionados.
Los números mencionados anteriormente pueden alertar a cualquier organización y también a los usuarios en general, dado que nuestra información hoy en día viaja a la velocidad de la luz por un cable de fibra óptica y está dispersa por distintos puntos. Sin embargo, hay una variante de hacking que cada vez obtiene mayor reconocimiento y aporta un valor diferencial: el hacking ético.
¿Cómo el hacking puede ser ético?
A simple vista parece una contradicción, pero el hacker ético o de “sombrero blanco” tiene el objetivo de contribuir a detectar fallas y mejorar la seguridad de los sistemas y aplicaciones que usamos a diario. Por otro lado, están los hackers de “sombrero negro” cuyo fin es utilizar las mismas habilidades técnicas para explotar vulnerabilidades con un propósito personal.
El hacking ético se basa en dos principios fundamentales. En primer lugar, la organización o entidad a ser hackeada debe estar al tanto y permitir explícitamente este acto. Por otro lado el objetivo debe ser detectar vulnerabilidades y encontrar un mecanismo de mejora a las mismas, permitiendo que sean resueltas antes de ser explotadas en forma maliciosa.
Dada la clara diferencia entre sombrero blanco y negro, ¿cómo pueden las organizaciones verse beneficiadas al permitir que sus productos o servicios pasen por proceso de hacking ético?
Más allá de las características funcionales esperadas de una aplicación, las probabilidades de que tenga vulnerabilidades desde el punto de vista de la seguridad son altas. Ya sea por un error en el código, una falla en la etapa de testing o una configuración incorrecta en un ambiente de producción, sobran los motivos para lograr un grado de vulnerabilidad alto. La realidad es que este tipo de vulnerabilidades pueden originar pérdidas de gran magnitud tanto económicas como en la reputación de una organización.
Por estos motivos, las organizaciones deberían realizar constantes evaluaciones de vulnerabilidades (VA — vulnerability assessment) sobre los productos que lanzan al mercado, así como reconocer este proceso como un alto valor en la cadena de desarrollo de software y mantenimiento de los sistemas.
Es verdad que en términos de seguridad no existe una garantía absoluta y que cualquier sistema, con el tiempo y los recursos necesarios puede ser eventualmente comprometido. De todas formas, la seguridad de las aplicaciones requiere un esfuerzo constante y toda acción en este sentido puede prevenir el compromiso de nuestros sistemas.
En general, los principales activos de las organizaciones están relacionados a los datos de sus usuarios, la integridad/disponibilidad de sus sistemas o su propia reputación, entre otros. Teniendo en cuenta estos factores, es que existen diversos motivos por los cuales las empresas deberían contar con los servicios de hacking ético.
- Credibilidad y responsabilidad
Ya sea que nuestra empresa utilice algún estándar (HIPAA, PCI, ISO, etc) o no, la credibilidad de una organización o la responsabilidad de esta ante los datos de sus clientes puede verse seriamente afectada frente a un problema de seguridad. Es por este motivo que la tendencia de las empresas que cuentan con servicios que pueden ser vulnerados es la de abrir sus productos al hacking ético en una modalidad conocida como “bug bounty”, en la cual ofrecen una recompensa sobre fallas encontradas en la seguridad de sus sistemas o aplicaciones. - Enfrentar ataques sofisticados
El hacker ético tiende a pensar como un hacker y está preparado para implementar mecanismos de defensa para los posibles ataques que un hacker profesional podría llegar a desplegar. - Estrategia defensiva
Al contar con un hacker ético podemos incrementar las acciones para detectar las vulnerabilidades de nuestros sistemas, dado que seremos más capaces de encontrar debilidades para poder corregirlas. - Reducción de daños
Los daños ocasionados por maniobras de hacking son visibles, basta pensar qué sucedería si alguien obtuviera una base de datos con información sensible de nuestros clientes. Contar con un especialista en seguridad puede prevenir en gran medida los posibles efectos que representa una vulnerabilidad explotada en nuestros sistemas.
