Las cifras son alarmantes: España es el tercer país del mundo donde más ciberataques se registran. El pasado año el Instituto Nacional de Ciberseguridad (Incibe) gestionó un total de 115.000 ataques informáticos, un 130% más si se compara con los 50.000 detectados el año pasado. Otro estudio de la aseguradora Mapfre maneja cifras similares (unas 100.000 agresiones), de las que el 70% las sufrieron las pequeñas y medianas empresas. Un delito de este tipo genera un gasto a las pymes de entre 20.000 y 50.000 euros, según el mismo informe.
A pesar de estas cifras y de los daños que puede causar un ciberataque, otro estudio recientemente publicado por la consultora KPMG revela que las empresas españolas están indefensas ante este tipo de agresiones debido a la falta de preocupación al respecto de sus directivos. Así, ocho de cada diez empresas admiten que carecen de protección completa contra los ciberataques. La protección contra estos asaltos es la quinta preocupación entre los consejeros delegados consultados, aunque hay que especificar que el estudio se realizó un mes antes de que se produjera el ciberataque masivo internacional conocido como Wannacry.
Como indica Carlos Martínez, presidente de IMF Business School, cada día las empresas están expuestas a ser hackeadas debido al mundo hiperconectado en el que vivimos: “El problema ya no es un molestomalwareo perder algunos archivos, sino que las consecuencias pueden ser más serias como el robo de datos bancarios o el espionaje industrial. Por eso, el hacking ético es hoy más importante que nunca y las empresas buscan expertos informáticos para realizar pruebas en sus propias redes y encontrar posibles fisuras”.
¿Qué es un hacker de sombrero blanco?
Cada vez son más las empresas que para conocer los elementos que son vulnerables dentro de una empresa y corregirlos antes de que el ciberataque ocurra contratan servicios de lo que se conoce comohackingético. Porque la mejor forma de combatir a los ciberdelincuentes es con sus propias armas. A los profesionales informáticos que realizan esta tarea se les conoce como hackers de sombrero blanco. El trabajo de estas empresas dehackingético consiste en realizar pen tests (penetration tests), pruebas en las que el hacker intenta de todas las formas que conoce burlar la seguridad de la red de la empresa en cuestión con el único fin de adelantarse a los ciberdelincuentes:
“El hacking ético no es más que una herramienta de prevención y protección de datos. Con los conocimientos en ciberseguridad, se pretende adelantarse a los ciberataques y evitar que ocurran, gracias a expertos informáticos entrenados para conocer y detectar los ciberataques”, explica Carlos Martínez, presidente de IMF Business School, escuela de negocios que junto Deloitte imparte cursos y talleres relacionados con ciberseguridad.
Qué indicios te dicen que puedes estar siendo víctima de un ciberataque
Los expertos afirman que existen indicios que pueden poner en alerta a una empresa y que indican que está siendo víctima de un ciberataque. “Pueden ser comportamientos inusuales de los ordenadores de la compañía, indisponibilidad puntual de los sitios web y de sus servicios y alteraciones en la información o en los datos que se gestionan”, advierte Martínez.
Rubén Garrote, security architecten el Cibersoc (Centro de Operaciones en Ciberseguridad) de Deloitte, explica que la monitorización activa y el aprendizaje del comportamiento normal de los sistemas permiten identificar situaciones anómalas: “En Deloitte existe un equipo humano y técnico dedicado 24 horas, 7 días a la semana a la monitorización de nuestros clientes, que se denomina SOC (Security Operation Center): cuando se identifican comportamientos anómalos se analizan en profundidad, se reacciona automáticamente o de forma manual y se llevan a cabo las acciones pertinentes para evitar el ataque”.
¿Por qué conviene contratar a un hacker?
“Muchos de los problemas de seguridad no se pueden detectar si no se conocen las mecánicas de ataque que pueden permitir nuestros sistemas y aplicaciones con su configuración actual. Por tanto, estos perfiles son los más cualificados para detectar dicha vulnerabilidad puesto que conocen profundamente todas estas técnicas gracias a su formación y la participación en comunidades muy activas e informadas en esa materia”, detalla el presidente de IMF Business School. Los beneficios principales, añade Martínez, son la reducción de riesgos y unos servicios de información más robustos y de mejor calidad. Indirectamente, también puede beneficiar a la reputación de las empresas.
¿Dónde puedes encontrarlos?
Estos perfiles expertos en ciberseguridad son cada vez más demandados por empresas, instituciones y gobiernos. La Unión Europea calcula que en 2020 se crearán más de un millón de empleos relacionados con la seguridad informática. Sin embargo, actualmente es difícil dar con profesionales de este tipo por su escasez en el mercado. ¿Dónde se pueden encontrar este tipo de candidatos?: “
En comunidades de Internet. “La comunidad hacker se caracteriza por ser autodidacta, ya que lo que hace no se enseña en ningún sitio, al menos cuando empezamos todos los de mi generación”, confiesa Rubén Garrote. El experto en ciberseguridad de Deloitte añade que, por esa razón, “gracias a Internet se formaron muchas comunidades, que continúan a día de hoy, en las que la gente se juntaba para exponer sus investigaciones y para solicitar ayuda o información técnica”. En este ámbito, todo el mundo se conoce por sus trabajos, aportes a la comunidad o pertenencia a ciertos grupos (abiertos o cerrados): “Así en estas comunidades podemos proponer candidatos a nuestra empresa”.
En empresas especializadas en seguridad informática. También se pueden encontrar en empresas especializadas en seguridad informática que cuentan con hackers que han reclutado y que suelen estar muy bien formados, sostiene Carlos Martínez. Puedes encontrar un listado de estas empresas en la web del Incibe (Instituto Nacional de Ciberseguridad): www.incibe.es. También se puede recurrir a consultoras como Deloitte, que llevan a cabo procesos de selección específicos de expertos en seguridad para incorporar en los equipos de hacking ético dedicados a sus clientes.
En las bolsas de empleo de escuelas de negocio que imparten cursos de ciberseguridad. Como, por ejemplo, en IMF Business School. “Nuestros alumnos conocen perfectamente todas las técnicas y herramientas necesarias para hacer este trabajo gracias a los cursos y talleres en ciberseguridad que impartimos junto a la consultora Deloitte”, explica el presidente de la mencionada escuela de negocios.
En redes sociales como LinkedIn. Para Marco A. Lozano, experto en Ciberseguridad del Incibe, LinkedIn es una de las principales redes sociales que acoge mayor número de perfiles relacionados con ciberseguridad. Hay expertos de todo tipo y especialistas en seguridad de diferentes ámbitos: analistas forenses, analistas demalware... “Según las necesidades que nuestro negocio requiera, seleccionaremos un perfil u otro. Por ejemplo, si nos dedicamos a desarrollo web, deberemos optar por un perfil de experto en pruebas de penetración web”, añade.
¿Qué perfil define a un hacker de guante blanco?
Carlos Martínez responde: “Son personas con conocimientos de programación, infraestructuras informáticas, sistemas operativos y redes. Tienen que tener una fuerte orientación a la práctica y leer mucho para estar al día, testando continuamente los posibles modos de ataque que se publican.
El background de estas personas suele ser técnico o científico, pero también conviene que tengan conocimientos de legislación, regulación y normativa técnica”. El presidente de IMF Business School añade que aunque hay mucho hacer autodidacta, para ser un profesional cotizado es necesario disponer de una formación completa y especializada.
¿Cómo es el proceso de selección?
Reconocimiento y confianza. Desde IMF Business School explican que antes de contratar a estos profesionales del ciberespacio es importante que las empresas o compañías comprueben que la empresa para la que trabaja o que representa posee una certificación por entidades u organizaciones con reconocimiento a nivel mundial. Dado que las personas que van a realizar las pruebas para conocer qué tipo de vulnerabilidad tienen los sistemas informáticos en cuestión van a tener acceso a información confidencial se recomienda confianza con el consultor, añaden desde la Escuela de Negocios.
Entrevistado por otro hacker. El experto Rubén Garrote opina que para comprobar que el hacker candidato tiene las capacidades deseadas, técnicas y de actitud es necesario que sea evaluado por otro hacker. O en su defecto, por alguien que haya trabajado con grupos de hackers y esté muy relacionado con este sector y pueda, de alguna forma, identificar rasgos comunes con el candidato. En este sentido, algunas consultoras, como por ejemplo, Deloitte, llevan a cabo procesos de selección específicos de expertos en seguridad para incorporar en los equipos de hacking ético dedicados a los clientes.
Comprobar que la información que nos facilita es fidedigna. Para Marco A. Lozano, siempre debemos valorar las capacidades del candidato, aptitudes y certificaciones relacionadas con la especialidad en ciberseguridad que queremos que tenga y verificar su experiencia a través de cartas de recomendaciones y vida laboral, por ejemplo. Además, sugiere: “¿Y por qué no realizar una búsqueda por Internet para comprobar que la información que nos facilita se ciñe a la realidad?
Pedir información sobre qué técnicas y herramientas se van a utilizar, además de preguntar por los riesgos y el impacto que puede causar la intervención, es lo que aconseja Carlos Martínez, sin olvidar pedir información sobre la persona o empresa que nos va a proporcionar el servicio (proyectos, clientes anteriores, etc.).
¿Cuánto cobra un hacker de guante blanco?
Este tipo de perfiles expertos en seguridad son muy especializados y demandados, lo que los hace estar bien valorados frente a otros perfiles técnicos. Como indica Rubén Garrote los rangos salariales son muy variados y dependen, principalmente, de la experiencia profesional del técnico a contratar. “Pero, en España, loshackerscon conocimiento pero sin experiencia profesional (o muy poca) pueden tener buenos sueldos. Y en el caso de aquellos con muchos años de experiencia, los sueldos están por encima de la media”, explica.
Para Carlos Martínez, el coste varía mucho en función del alcance de la protección buscada o del riesgo a evitar: “No es lo mismo proteger un blog que una infraestructura de misión crítica compuesta por varios servidores, apps móviles y múltiples usuarios. La reputación, formación y certificaciones de la compañía que presta el servicio (en caso de contratarlo, en vez de incorporar a unhacker) puede hacer variar también mucho el presupuesto”.
¿Qué alternativas existen en caso de no poder asumir el coste de un hacker?
Si el volumen de negocio de una pyme es insuficiente para contratar a un empleado más, siempre se puede contratar servicios de hacking ético a una consultora. Otras opciones pasan por considerar, según Lozano, las medidas básicas de un Plan Director de Seguridad (implementar contraseñas robustas, establecer una política de copias de seguridad adecuadas y mantener los sistemas y aplicaciones actualizados). O puedes adquirir tu mismo conocimientos de hacker a través de los cursos de las escuelas de negocio o la formación online que ofrece Incibe, que también cuenta con diversas herramientas y servicios dirigidos a empresas que puedes consultar en www.incibe.es/protege-tu-empresa.
Ver fuente