Entrevista hecha por Omar Gracia de Buena Economía
a Andrés Roldán, Offensive Team Leader de Fluid Attacks 1a. parte
1.-¿Qué es el ethical hacking y para qué se utiliza?
El término ethical hacking hace referencia a una actividad de hacking con propósitos contrarios a los de los ciberdelincuentes. En este caso, los hackers pertenecen al grupo clasificado como ‘white hat’, y cuentan con los permisos suficientes para llevar a cabo evaluaciones de sistemas informáticos y detectar en ellos todo tipo de vulnerabilidades de seguridad que, de no ser remediadas, podrían ser aprovechadas por los hackers maliciosos (pertenecientes al grupo ‘black hat’) para generar daños u obtener algún tipo de beneficio. De tal manera, las personas que ejercen el ethical hacking hacen uso de herramientas y métodos similares a los empleados por los cibercriminales, pero con el objetivo central de contribuir con su astucia y dedicación a que muchas organizaciones puedan ser conscientes de qué es aquello que deben solucionar o fortalecer para que sus infraestructuras y aplicaciones estén sólidas y sus activos de información (incluyendo los de sus clientes) permanezcan protegidos.
2. ¿Dónde se utiliza (ejemplos)?
En Fluid Attacks, empresa enfocada en ofrecer el ethical hacking como servicio, hemos tenido amplia experiencia sobre todo con compañías de los sectores financiero y bancario, salud, servicios públicos, transporte, telecomunicaciones y tecnología. Más allá de estas industrias, podemos decir que este servicio puede ser aplicado sobre cualquier sistema o software de una organización pública o privada, muchas de las cuales administran —incluso sin saberlo— datos sensibles de empleados o usuarios y dependen del funcionamiento óptimo y seguro de dicha tecnología.
3. ¿Cuáles son las mejores instituciones para estudiar esto y qué conocimientos son necesarios para realizar este trabajo?
Actualmente en Internet pueden encontrarse variedad de cursos relacionados con, u orientados hacia, el ethical hacking, como por ejemplo en SANS, eLearnSecurity, EC-Council, Pentester Academy y Offensive Security. Es precisamente esta última compañía la que en Fluid Attacks —tal como hacen muchas otras empresas en el mundo enfocadas en la ciberseguridad— tomamos como referencia con sus cursos y certificaciones para extender y fortificar el conocimiento de nuestro personal del equipo rojo, es decir, nuestros hackers éticos o analistas de seguridad. Para llevar a cabo el trabajo de ethical hacking suelen requerirse inicialmente conocimientos básicos en redes, sistemas operativos y programación, pero prontamente van siendo necesarias unas especializaciones en diferentes niveles de hacking, para luego usar el conocimiento adquirido de una forma creativa.
4. ¿Han visto algún incremento en la solicitud de estos servicios? Si ese es el caso, ¿tienen alguna proyección de más o menos qué tanta demanda en porcentaje esperan que incrementen la solicitud de sus servicios?
Si nos enfocamos en el servicio de ethical hacking de Fluid Attacks, puedo decir que el crecimiento en su solicitud, comparando el año 2019 con el ya transcurrido 2020, fue de alrededor de un 47%. Ya en lo que respecta a este año 2021, dentro de la compañía, esperamos lograr un crecimiento del 65% en la solicitud de nuestros servicios.
2a. Parte
5. ¿De qué giro son las empresas que generalmente solicitan un ethical hacker?
Como mencioné previamente, puede tratarse de cualquier compañía que haga uso de la tecnología de la información y necesite mantener protegidos unos activos determinados y/o unas funcionalidades de las cuales depende su actividad. Generalmente, una empresa busca que el ethical hacker evalúe sus controles de seguridad a profundidad, y que identifique, clasifique y valore los riesgos a los que se podría enfrentar el negocio, para que de allí se establezcan medidas suficientes para su reducción y logre evitarse el mayor número de incidentes posible. Cabe aclarar que las evaluaciones a través de ethical hacking deberían llevarse a cabo en una compañía de forma continua, puesto que un servicio limitado a una única ocasión puede solo revelar una fotografía de la situación mas no una evolución.
6. ¿Se necesita contratar a un personal de esta área para que esté full-time en una empresa?
No es estrictamente necesario que una compañía tenga entre su personal uno o varios ethical hackers, pero sí suele ser prioridad poseer al menos un individuo especializado en ciberseguridad. Los ethical hackers por ahora siguen resultando escasos a nivel mundial para cumplir con la demanda. Aún así, el servicio de compañías como Fluid Attacks permite una amplia e inteligible transmisión de información desde los hackers hacia los desarrolladores de software en una empresa cualquiera, para que las vulnerabilidades halladas en los sistemas puedan ser procesadas como se debe y logren cerrarse con presteza. Así pues, sin hacer parte del personal de una compañía, el equipo rojo (hackers) de Fluid Attacks, por ejemplo, puede tener el consentimiento para penetrar en los sistemas de esta; y sí, preferiblemente para hacerlo de forma continua, conforme avanzan el desarrollo y la actualización de aplicaciones, junto con los cambios que pueden presentarse en las infraestructuras de los sistemas, significando nuevas fuentes potenciales de explotación para los hackers maliciosos.
7. ¿Es cierto que este es uno de los trabajos que serán mejor pagados en los años que vienen?
No es algo que pueda yo establecer sin realizar una previa investigación al respecto, definiendo unos claros puntos de comparación en amplios o estrechos conjuntos de sectores laborales. Sin embargo, es sabido que son muchas las empresas que hoy día están solicitando este tipo de personal, pero no se está contando con el suficiente. Inclusive se estima que para el 2022 haya un déficit de 2 millones de personas en el mundo con este tipo de perfil. Es por esto que su ejercicio es muy bien valorado, y seguramente lo seguirá siendo, en una época en la que sobran los sucesos relacionados con el robo de información y otros activos, además de los perjuicios sobre el funcionamiento de sistemas internos y externos de diversidad de organizaciones, entre las que resaltan aquellas en sectores como el bancario, gubernamental y salud pública.
8. ¿Hay algún caso famoso en donde un ethical hacker haya protegido la información o infraestructura de software de una empresa?
Siempre que un ethical hacker encuentra una vulnerabilidad en un sistema, es una vulnerabilidad menos (una vez reparada) que un atacante real puede aprovechar. De tal manera, no es una cuestión de casos famosos, sino un hecho del día a día en el ethical hacking, el contribuir con la protección de los activos de información y las infraestructuras de software de las empresas.
9. Si una empresa contrata a una persona o equipo para este trabajo, ¿en qué rango de salario estaría?
Esto depende mucho del país en cuestión. En USA, por ejemplo, el promedio de salarios es alto (se dice que es superior a los 80,000 dólares al año), mientras que en Latinoamérica los promedios son más bajos. El valor del pago a otorgar a un ethical hacker por sus labores no va a depender necesariamente de unos títulos universitarios, sino que va a estar más asociado con la experiencia que este posea. Además, cuando se trata de contratar a un grupo externo especializado, los precios por los servicios de ethical hacking van a variar, por ejemplo, de acuerdo a la duración del programa de evaluación y a la cantidad de autores o desarrolladores activos de la compañía cliente en cada proyecto.