Según Beaming, el proveedor de servicios de Internet (ISP), 2020 fue el año más activo registrado en ciberataques contra empresas del Reino Unido, lo cual no es ninguna sorpresa, dado que la dependencia de la tecnología aumenta cada año.
Dado el aumento en el número y la variedad de ataques, uno esperaría que las empresas estén listas para defenderse. Desafortunadamente, ese no es el caso. Reciente investigación del Scottish Business Resilience Centre encontró que el 38% de las empresas escocesas no se sienten preparadas para un ciberataque.
Por lo tanto, es más importante que nunca que las empresas fortalezcan sus defensas cibernéticas para adelantarse a los ciberdelincuentes, pero es evidente que necesitan ayuda. Ingrese: piratas informáticos éticos o probadores e investigadores de seguridad ofensivos.
Comprender la piratería ética
La mejor manera de comprobar que su empresa puede resistir un ciberataque es atacándolo usted mismo. De esta manera, si tiene alguna vulnerabilidad en sus defensas, no corre el riesgo de compartir datos confidenciales.
Los piratas informáticos éticos, a veces denominados piratas informáticos de sombrero blanco, suelen ser expertos en seguridad de la información a los que se les concede permiso para entrar en un sistema empresarial y descubrir vulnerabilidades de seguridad. Al hacerlo, pueden demostrar a la empresa cómo evitar que los delincuentes obtengan acceso. La piratería ética también puede implicar probar las respuestas de los empleados a un intento de ataque. Las empresas se están dando cuenta cada vez más de los beneficios de esto y recurren a piratas informáticos éticos para probar y fortalecer su resiliencia cibernética.
Declan Doyle, Centro de Resiliencia Empresarial de Escocia
Después de un ataque ético, los expertos en seguridad internos pueden identificar y ayudar a resolver cualquier vulnerabilidad, incluida la educación del personal cuando sea necesario.
Encontrar piratas informáticos y confiar en ellos
La piratería ética requiere un nivel de confianza entre el pirata informático y la organización; específicamente, la organización debe confiar en que el pirata informático tiene experiencia, está bien capacitado y no tiene intenciones maliciosas. Si bien todavía es una función de trabajo relativamente nueva, no se requieren licencias, ahora existen certificaciones que garantizan que el pirata informático comprenda tanto la tecnología como las responsabilidades éticas.
El EC-Council y el Sans Institute ofrecen títulos y certificaciones en torno a la piratería ética, y la Universidad de Abertay en Escocia es el hogar del primer título de piratería ética del mundo para capacitar a la próxima generación de expertos en sombrero blanco.
Independientemente de la certificación, la responsabilidad recae en la organización contratante para garantizar la confiabilidad del pirata informático. Trabajar con un proveedor de seguridad confiable en lugar de un pirata informático independiente es una forma de hacerlo, en particular porque muchos proveedores analizarán los antecedentes penales de sus piratas informáticos para ayudar a garantizar la legitimidad.
Superando preocupaciones
Puede resultar extraño invitar a alguien a hurgar en sus sistemas, especialmente porque algunos de los piratas informáticos éticos más famosos comenzaron como ciberdelincuentes. Una de esas personas es Kevin Mitnick, que anteriormente figuraba en la lista de Fugitivos más buscados del FBI y ahora dirige una empresa de consultoría en seguridad informática.
Es importante recordar el origen de la palabra “piratería”. El término apareció por primera vez en este contexto en la década de 1960. Luego, se refería a aplicar técnicas de ingeniería creativa para hackear maquinaria para hacerla más eficiente, por lo que tenía connotaciones positivas y era una habilidad digna de admirar.
La piratería ética, en cierto modo, se trata de llevar a los piratas informáticos a estos orígenes, para ayudar a las organizaciones destacando las vulnerabilidades y cerrando cualquier brecha en la seguridad.
Por extraño que pueda parecer alentar a las personas a exponer y acceder a datos privados, los piratas informáticos son efectivamente como cualquier otro empleado. Están contratados y se les puede solicitar que firmen un acuerdo de confidencialidad si existe alguna inquietud sobre la información que descubren.
Construyendo defensas seguras
A pesar de esto, dada la amplia gama de tipos de ataques cibernéticos, no es suficiente confiar únicamente en los piratas informáticos éticos para la seguridad. Los mejores piratas informáticos éticos del mundo no pueden evitar que un empleado envíe accidentalmente por correo electrónico datos confidenciales a la persona equivocada o haga clic en un enlace fraudulento. Sin embargo, los piratas informáticos éticos ayudarán a una organización a encontrar agujeros en su seguridad y pueden aconsejar cómo cambiar los procesos internos para ajustar las cosas.
Existen innumerables procesos internos para ayudar a aumentar la seguridad, que van desde exigir buenas prácticas de contraseñas y mantener los dispositivos actualizados, hasta capacitar al personal para identificar correos electrónicos sospechosos. Esto se puede resumir en asegurar que todos los empleados reconozcan que la seguridad no es solo responsabilidad del equipo de TI, y que ellos también tienen un papel que desempeñar en la construcción de defensas.
Con el aumento de los delitos cibernéticos, es vital que las empresas utilicen todas las tácticas que puedan para construir sus defensas. La piratería ética es la mejor manera de poner su seguridad a prueba sin riesgo y, como tal, debe ser una parte clave del arsenal de seguridad cibernética de todas las empresas.
Como jefe de piratería ética en el Scottish Business Resilience Center (SBRC), Declan Doyle es responsable de administrar a los estudiantes de piratería ética y ayudar al equipo cibernético a brindar la gama completa de servicios y soporte cibernéticos que ofrece la organización. Es un graduado del curso de sombrero blanco de la Universidad de Abertay.