1

El Hackeo Etico: Una estrategia más vigente que nunca

ethical hackingLa práctica del ethical hacking o hackeo ético comenzó en Chile hacia el 2002, de la mano de las entidades financieras preocupadas por la seguridad de sus sistemas y la privacidad de sus clientes.

Tras el boom de los ataques informáticos del 2006, donde fue hackeado el Registro Civil, entre muchas otras entidades públicas y privadas, el hackeo ético no sólo se ha masificado en el país, sino también ha comenzado a ser una estrategia aceptada en diversos sectores.

De hecho, todos los Ministerios y Subsecretarías del Gobierno tienen un presupuesto asignado para la seguridad informática, donde el hackeo ético es utilizado para probar de manera permanente qué tan vulnerables pueden ser sus sistemas y redes. Lo mismo sucede en grandes corporaciones, instituciones educacionales y cualquier otra organización que entienda la importancia de mantener su entorno informático seguro.

Y es que una intromisión de verdad puede acarrear enormes daños y pérdidas, no sólo en lo financiero, sino en lo que puede ser mucho peor, en la imagen. Esto, porque la relación de confianza entre la empresa y su cliente o entre la organización y sus usuarios se rompe, lo cual es muy difícil de enmendar o restituir. Hoy, muchos proveedores exigen a sus partners de negocios cumplir con ciertas metodologías de seguridad, certificadas, por lo cual se hace indispensable contar con una política de seguridad informática contundente y robusta.

En concreto, el hackeo ético no es más ni menos que una serie de pruebas que el consultor realiza pretendiendo ser un hacker que quiere traspasar cualquier barrera de seguridad en los sistemas computacionales de una entidad. De esta manera, es posible saber dónde efectivamente están las vulnerabilidades, cuáles son éstas y de qué manera pueden enfrentarse y mitigarse.

Lo ideal es que estas prácticas sean parte de una política corporativa de seguridad con un presupuesto establecido, ya que dichas pruebas deben hacerse de manera periódica cada mes o, en su defecto, cada tres meses. Hoy, existen empresas especializadas para entregar ese servicio, con certificaciones que acreditan los conocimientos necesarios, como OWASP y OSSTMM, por mencionar algunas. Todo dependerá de las necesidades específicas de cada organismo y el presupuesto que maneje. No obstante, debe entenderse no sólo como un requerimiento, sino como una inversión.

Por  Pablo Soto Arias, Jefe del Area de Servicios de Preventa y Postventa de Makros- Chile