Así es el perfil de los ‘hackers’ que se dedican a detectar vulnerabilidades informáticas
La ciberseguridad es uno de los mayores desafíos a los que se enfrentan las empresas en la era digital. España ocupa la preocupante cuarta posición mundial en ciberataques contra compañías, con sonados casos como los de Air Europa, el Ayuntamiento de Sevilla, Telemadrid o el Clínic de Barcelona. Ante esta amenaza constante, la filosofía de ‘la mejor defensa es un buen ataque’ cobra más vigencia que nunca en el ámbito cibernético.
Esta es la premisa de Zerod, el primer marketplace global de hackers éticos o ‘white hackers’ que permite a las empresas contratar a estos expertos en ciberseguridad para que, mediante simulaciones de ataques controlados, detecten vulnerabilidades sin explotar en sus sistemas antes de que lo hagan los ciberdelincuentes. “Siempre ha existido la figura del especialista que ha puesto a prueba los sistemas de terceros y, al detectar vulnerabilidades en ellos, ha optado por tomar la decisión más ética posible: informar”, explica Alejandro Capdevila, cofundador y responsable de operaciones de la startup española.
Pero, ¿cómo trabajan estos hackers éticos? Estos profesionales trabajan directamente en el seno de grandes compañías o lo hacen como consultores a través de compañías dedicadas a la ciberseguridad como Zerod. “Es importante entrevistar y realizar una verificación de antecedentes antes de contratar a un hacker ético. Por esta razón, el hecho de que forme parte de una firma y/o cuente con las certificaciones profesionales necesarias brindan seguridad y confianza”, mantiene Alejandro Capdevila.
El cofundador de Zerod sostiene que “en sectores críticos como el energético, bancario, o el sanitario, entre otros, que están en el punto de mira de los ciberatacantes, resulta indispensable contar con profesionales sumamente capaces de anticiparse y encontrar las brechas de seguridad antes que los hackers maliciosos o ciberdelincuentes lo hagan”.
Estos ethical hackers o pentesters son auténticos detectives cibernéticos que, utilizando sus amplios y avanzados conocimientos en criptografía, ingeniería inversa, redes, lenguajes de programación, electrónica, blockchain, entre otros, emplean las mismas tácticas que los ciberdelincuentes para poner a prueba las defensas corporativas. Su labor es identificar posibles puntos de entrada y notificarlos para que puedan ser subsanados a tiempo.
Sin embargo, convertirse en un hacker ético requiere mucho más que conocimientos técnicos. “Aunque no es un requisito fundamental poseer determinadas certificaciones, sí es algo que se deba tomar en consideración. En nuestro caso, los hackers que trabajan en Zerod tienen una sólida formación, gran experiencia y varias acreditaciones en la mayoría de estándares y certificaciones de ciberseguridad, programación, cloud, entre otros; destacando que es imprescindible un estricto código ético y excelentes habilidades interpersonales para trabajar en equipo con otros expertos en seguridad”, asegura Alejandro Capdevila.
El experto de Zerod, además, añade que “evaluamos si el hacker posee CVEs a su nombre (Zero Days reportados), ranking en reconocidas empresas de bug bounty, registro en cybersecurity hall of fame en compañías por haber detectado y reportado vulnerabilidades zero days en sus sistemas. Por último, le realizamos una prueba técnica donde evaluamos las habilidades del hacker y la forma de reportar las vulnerabilidades encontradas. Este último punto es imprescindible ya que, todo el trabajo hecho por el hacker, se resume en ese reporte entregado al cliente que debe explicar de una forma clara y eficiente la vulnerabilidad, evidencias de la explotación y como solucionar estas vulnerabilidades detectadas por el hacker”.
En el escenario global actual, hay que tener en cuenta que cada hacker ético emplea una metodología, herramientas, experiencia y pruebas manuales distintas en su análisis, lo que asegura que las pruebas de penetración nunca sean idénticas. De esta forma, al asignar un profesional diferente en cada evaluación, se maximizan las probabilidades de descubrir brechas de seguridad que pudieron pasar desapercibidas en revisiones previas. Es por ello por lo que Zerod apuesta por contar con un extenso pool de hackers éticos a nivel global.
“Esta diversidad de talentos y perspectivas a escala mundial constituye una poderosa fuerza ofensiva al servicio de las empresas. Lejos de conformarse con un solo punto de vista, en Zerod aglutinamos los conocimientos de una amplia comunidad de hackers éticos para ofrecer a sus clientes un escrutinio en profundidad desde todos los ángulos posibles”, explica Alejandro Capdevila.