El papel lo soporta todo; por ello, a pesar de lo detallada y minuciosa que sea una estrategia de seguridad, es conveniente ponerla a prueba. Conozca los tipos y la naturaleza del llamado White Hat Hacking, Penetration Testing o más conocido como Ethical hacking.
En 1995, John Patrick, en aquel entonces vicepresidente de IBM, inventó un nuevo término que se volvería famoso: «Ethical hacking». Lo usó para referirse a un nuevo servicio que consistía en acceder a los sistemas informáticos de sus clientes para probar su seguridad.
Casi 30 años después, el Ethical Hacking dejó de ser una rareza y es considerado una parte fundamental de las estrategias de ciberseguridad en el mundo, al permitir probar, sobre el terreno, la robustez de estas implementaciones.
De hecho, el mercado global del Penetration Testing supera los 3.400 millones de dólares en 2023 y se proyecta que alcanzará los 10.240 millones en 2028. Las razones para su crecimiento son numerosas, pero el incremento en el número de ciberataques encabeza la lista.
Sectores más atacados
Para ser más exactos, en 2022, los ciberataques se incrementaron en 38% en comparación con el año anterior, siendo los sectores más atacados los de manufactura, finanzas y servicios. Ante este desafío, las pruebas de penetración (pentesting) y el ethical hacking se hicieron más importantes.
Aunque están emparentados, el Penetration Testing y el ethical hacking no son lo mismo. Este último es un término más amplio que incluye al primero. Si somos más estrictos, podemos decir que el ethical hacking consiste en utilizar los métodos y herramientas de un criminal con la finalidad de mejorar la seguridad de una organización.
O dicho de otra forma, el Ethical hacking es una metodología de evaluación de sistemas informáticos para simular lo más fielmente los métodos de ataque de los cibercriminales y, por medio de ello, ayudar a las empresas a detectar puntos débiles en sus organizaciones.
¿Entonces, cada cuánto se debe realizar?
Por las cualidades de esta disciplina, se recomendaba que las organizaciones hicieran sus pruebas de penetración al menos una vez cada año, pero dada la complejidad del mercado y las empresas, esta cifra puede cambiar. Por ello, a la hora de pensar en realizar pruebas de penetración se deben tener en cuenta diversos factores como:
- La probabilidad de ser atacado: ser una empresa de alto perfil o un objetivo de alto valor lo puede hacer más llamativo para los criminales.
- Mala prensa: una mala imagen aumenta la probabilidad de ciberataques, especialmente cuando se presentan crisis de alto impacto en las redes sociales.
- Cambios recientes y grandes en la infraestructura de la empresa: todo cambio implica un aprendizaje y es un momento de vulnerabilidad llamativo para los hackers.
- Porque lo exige una regulación: a veces es necesario realizar pruebas para cumplir con algunas obligaciones o regulaciones.
Por cierto, un dato curioso, los hackeos venían desde antes de la llegada de Internet y donde lo que más se atacaba eran las redes telefónicas para pincharlas o hacer llamadas de larga distancia gratis en una modalidad conocida como phreaking (phone + freak).
Si quieres saber cómo desde Movistar Empresas te podemos ayudar a proteger la integridad de tus proyectos ingresa aquí.
Foto de Freepik