Blog

Hacking ético: pensar como los ciberpiratas para defenderse mejor

Estos últimos años, hemos visto surgir en el área de la ciberseguridad la figura del “hacker ético”.

Y es que las amenazas son cada vez más frecuentes, “inteligentes” y costosas. Según un informe de nuestro partner Symantec, cerca de la mitad de la población adulta online española sufrió el año pasado un ciberataque. Concretamente, los usuarios de nuestro país han tenido que desembolsar más de 1.750 millones de euros – cerca de 70 euros por víctima-, según relata este estudio.

Para poder mitigar las amenazas, el hacker ético, como profesional cualificado atípico, realiza pruebas de penetración (pentesting) simulando ataques reales con los mismos métodos utilizados por los hackers delincuentes. Además de adelantarse a los posibles ataques, el hacking ético mejora los procesos de seguridad implantando planes de respuestas a incidentes, y detecta vulnerabilidades y brechas de seguridad en las aplicaciones, redes y sistemas informáticos.

Estos profesionales destacan por su capacidad analítica y por su curiosidad, lo que les permite encontrar los puntos débiles de seguridad, en forma de mala configuración del sistema, necesidad de actualización de una aplicación o la realización procesos que los usuarios deben de cambiar o redefinir. En general son perfiles creativos, con capacidad innovadora, acostumbrados a trabajar bajo presión, acostumbrados al estrés y dotados de cierto rigor metodológico.

La educación, un arma fundamental contra los ciberdelitos

Resulta difícil y hasta casi imposible convertirse en un hacker ético sin formación universitaria previa. Según un estudio elaborado por la plataforma de empleo alemana Joblift, 4 de cada 10 ofertas de trabajo exigen un nivel formativo muy alto, ser titulado en ingeniería informática.

Se requiere de los pentesters sean unos “cracks” de los lenguajes de programación: Python, Java, Ruby entre otros. Y dado el auge del Internet de las Cosas ( IoT), la seguridad móvil es a partir ahora una competencia valorada.

El informe precisa que el 35 % de las ofertas piden una certificación específica en hacking ético. Existen numerosas acreditaciones profesionales para esta área. Cómo ejemplo:

  • La Certificación Profesional de Hacking Ético (CPHE).
  • Global Information Assurance Certification Penetration Tester (GPEN)
  • GIAC Exploit Researcher & Advanced Penetration Tester (GXPN)
  • Offensive Security Certified Professional (OSCP)
  • EC-Council Licensed Penetration Tester (LPT) Master
  • Certified Ethical Hacker (CEH) de EC-Council

También se valora, como es lógico, los años de experiencia a la hora de seleccionar candidatos.