Cómo el hacking ético puede mejorar la seguridad

Los profesionales de la ciberseguridad tienden a ver a atacantes y elementos externos únicamente como el enemigo. No obstante, resulta importante desafiar estas concepciones: si comprendemos bien cómo piensan y trabajan estos elementos externos, podremos proteger mejor nuestra organización. Con esto en mente, empresas de todo el planeta han recurrido a hackers para poner a prueba sus infraestructuras de seguridad y así desarrollar prácticas de seguridad más sólidas y robustas.

Antes incluso de integrar los testeos de penetración en nuestra política de seguridad, resulta importante comprender cuáles son los diferentes tipos de hackers que existen. Cada grupo tiene sus propias motivaciones y deberemos tener claro cuáles de sus habilidades podremos usar para beneficio de nuestra organización.

Hackers Black hat

Los hackers black hat (sombrero negro) son ciberdelincuentes motivados por el beneficio personal o económico. Suelen ser hackers de todo tipo: desde adolescentes aficionados a individuos con gran experiencia o equipos con una intención muy específica. Sin embargo, a lo largo de estos últimos años, varios hackers black hat célebres han cambiado de prioridades y han pasado a utilizar sus habilidades para proteger a las organizaciones. Un ejemplo es Kevin Mitnick, alias Cóndor, que con solo 16 años logró acceder a un ordenador del Ministerio de Defensa estadounidense. Tras este y muchos otros hackeos, Mitnick acabó pasando cinco años y medio en prisión. Una vez fue puesto en libertad, fundó su propia compañía, Mitnick Security Consulting, que ofrece realizar testeos de penetración para sus clientes.

Aún a día de hoy, la idea de colaborar con un antiguo hacker black hat sigue suscitando bastante polémica. Algunos, entre los que se cuenta David Warburton, evangelista jefe en materia de amenazas para F5 Networks, consideran que contratar a antiguos hackers resulta crucial para mantenerse un paso por delante de las amenazas. No obstante, otros se muestran preocupados a la hora de ofrecer acceso a este grupo a sistemas corporativos y a los datos de los clientes. Estos últimos deberían considerar otros planteamientos a la hora de colaborar con hackers.

Hackers white hat

También denominados como hackers éticos con cierta frecuencia, los hackers white hat (sombrero blanco) son aquellos que ofrecen sus servicios a organizaciones para buscar vulnerabilidades en sus medidas de seguridad. A pesar de utilizar las mismas tácticas que los hackers black hat, estos hackers cuentan con el permiso de la organización, por lo que su actividad es totalmente legal. Aunque estos hackers utilizan sus conocimientos para dar con formas de sortear la ciberseguridad de las empresas, posteriormente trabajan en colaboración con ellas para implementar correcciones antes de que otros descubran estas vulnerabilidades.

Muchas de las empresas más grandes del planeta, entre las que se encuentran General Motors y Starbucks, recurren con frecuencia a hackers white hat con el fin de identificar posibles grietas en la seguridad y así mejorar sus medidas de forma proactiva. El hacking ético puede representar una carrera interesante y lucrativa para aquellos que cuenten con las habilidades y conocimientos técnicos necesarios. Atraer la atención del público sobre el papel tan importante que los hackers éticos desempeñan puede motivar a muchos jóvenes de talento a seguir una senda positiva y evitar así que se conviertan en hackers black hat.

Estimulando el talento

Actualmente, existen muchos programas que buscan dar con nuevas generaciones de hackers éticos, animarles a trabajar en este ámbito y darles cuanto necesitan para hacerlo. Así, por ejemplo, r00tz Asylum, que cuenta con el apoyo de AWS, es una conferencia creada específicamente para enseñar a los jóvenes cómo pueden convertirse en hackers éticos. Los participantes aprenden cómo trabajan los hackers y cómo se defienden los expertos en ciberseguridad ante sus ataques. El objetivo de este evento es animar a jóvenes con pericia técnica a usar sus habilidades para algo positivo y a labrarse una carrera profesional haciéndolo. Al dotar a los jóvenes que aspiran a convertirse en profesionales de la ciberseguridad de los conocimientos y destrezas que necesitan, estaremos garantizando que integrarán la seguridad en sus infraestructuras desde la base. Desde AWS apoyamos r00tz porque entendemos que es nuestra oportunidad para contribuir al desarrollo de nuevas generaciones y de dar a los jóvenes interesados en la ciberseguridad entornos seguros en los que aprender y acceder a mentores.

Creando seguridad desde una base sólida

Para quienes trabajan en mantener la confianza de los consumidores y proteger sus datos, resulta crucial plantearse la seguridad como algo integral. Como ya hemos visto, trabajar en colaboración con hackers éticos es una forma muy efectiva de conseguir ver nuestra seguridad desde la perspectiva del ciberdelincuente, para así poder identificar y abordar nuestras vulnerabilidades. Sin embargo, también resulta importante recordar que la seguridad debe integrarse de forma nativa en todos los elementos de la infraestructura de la organización. Es en este apartado en el que puede resultarnos beneficioso trabajar con proveedores de servicios en la nube, ya que han sido desarrollados para cubrir las necesidades de las organizaciones más vulnerables ante riesgos e imprevistos. Además, las plataformas en la nube también ofrecen servicios de seguridad automatizados, capaces de gestionar proactivamente análisis de seguridad, detección de amenazas y gestión de políticas de seguridad. Los mecanismos automatizados de estas plataformas permiten aliviar a los profesionales de la seguridad -entre los que se cuentan los hackers éticos- de buena parte de su carga de trabajo.