Educación

Hackers éticos: atacando a las empresas para detectar sus puntos negros

¿Crees que un hacker podría averiguar tu contraseña con un centenar de intentos?
Escrito por Redacción TICbeat

¿Qué es un ‘hacker ético’? ¿En qué se diferencian de un consultor de seguridad al uso? Hablamos con Eduardo Arriols, profesor de U-tad, sobre este nuevo rol profesional.

La ciberseguridad se ha consolidado como una de las tendencias más destacadas de 2016, tras confirmarse que los ataques que sufren empresas y organismos de todo el mundo son más frecuentes, más avanzados y con peores consecuencias –económicas, sociales y reputacionales- para las organizaciones.

Un campo en el que los ataques dirigidos son el principal temor de los responsables de seguridad. Eduardo Arriols Nuñez, experto en seguridad informática y profesor en el Máster Indra en Ciberseguridad de U-tad, explica que “las empresas tienen cada vez más sistemas expuestos en Internet, pero no tienen la capacidad de comprobar todos los activos… y eso sin contar la parte humana, que siempre es la más débil”.

Unos ataques dirigidos que también han dejado al descubierto el esquema tradicional de seguridad cibernética, basado en estrategias defensivas (yendo por detrás del atacante, cubriendo las vulnerabilidades conocidas). “Si queremos protegernos de ataques dirigidos a nuestra organización debemos pasar a la ofensiva, por ejemplo con simulaciones de intrusión avanzada: ataques realistas para comprobar posibles vulnerabilidades, incluso empleando intrusiones físicas o ingeniería social”, añade Arriols.

Consejos de ciberseguridad para empresas en 2017

En su experiencia profesional, liderando un equipo de más de 40 expertos, Eduardo Arriols ha realizado más de una veintena de experimentos realistas de esta índole, todos ellos con éxito. “Hemos conseguido entrar en grandes entidades en media hora, incluso accediendo a través de la WiFi corporativa. El caso que más hemos tardado en hackear los sistemas nos llevó unas dos semanas”, afirma el profesor.

No es de extrañar, por tanto, que el término de ‘hacker ético’ sea cada vez más conocido en el panorama de la ciberseguridad. “Antes se formaba a un auditor, en muchas ocasiones incluso autodidacta, en una visión general de la seguridad informática. Ahora eso no vale: es necesario contar con un profesional formado en cada una de las vertientes de ataque potencial que pueden sufrir las compañías”, asegura Eduardo Arriols.

En ese sentido, podemos encontrar ‘hackers éticos’ que se han focalizado en probar la seguridad de aplicaciones web, aplicaciones móviles, sistemas TI o redes. “También cada vez estamos viendo perfiles más innovadores. Por ejemplo, en Estados Unidos ya están empezando a demandar gente capaz de hackear coches conectados”, añade el experto.

Junto a la formación, hay otros dos factores clave que distinguen a un ‘hacker ético’ de un consultor de seguridad al uso. En palabras de Arriols, “la curiosidad es la principal habilidad que tienen que tener estos profesionales, estar siempre pensando cómo ‘romper’ cualquier nuevo sistema o aplicación. También es necesario un poco de constancia y perseverancia”.

Cada vez más organizaciones, incluso de perfil medio o bajo, están haciendo este tipo de pruebas en entornos reales porque están adquiriendo conciencia del riesgo que corren. “En los últimos tres años, cada vez más pymes de entre 50 y 100 empleados están empezando a requerir servicios de auditoría y hacking ético para saber cuánto se tienen que preocupar y cuánto de expuesto están”, concluye el profesor de U-tad.

Algunas de las opciones para formarte en este ámbito es el Máster Indra en Ciberseguridad de U-tad, así como el Grado en Ingeniería en Desarrollo de Contenidos Digitales.

TICbeat para U-tad

Sobre el autor de este artículo

Redacción TICbeat

Actualidad y análisis en tecnología, tendencias, aplicaciones web, seguridad, educación, social media y las TIC en la empresa.