El principal problema al que se enfrentan las organizaciones que utilizan herramientas de detección automática de vulnerabilidades es la incapacidad de estas para hackear. Los múltiples fallos y las debilidades relacionadas con seguridad en los sistemas informáticos son tan complejos, que aún la tecnología no es capaz de detectar muchos de ellos.
En la actualidad, existe una amplia brecha entre la oferta y la demanda de especialistas en ciberseguridad, específicamente en equipos rojos, que son quienes atacan intencionalmente sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada evolución de la tecnología, hace que algunas compañías se inclinen por adquirir herramientas que detectan de forma automática las vulnerabilidades en el software, y que pueden procesar grandes cantidades de información en tan solo unos minutos o un par de horas como mucho.
Sin embargo, el uso de estas herramientas genera dudas sobre su eficacia, y es que reportan con frecuencia falsos positivos, que son alertas de vulnerabilidades que, al ser verificadas por parte de los equipos de desarrollo, se descubre que no corresponden a vulnerabilidades reales. Las alarmas equivocadas, que los equipos reciben diariamente, pueden llegar a ser abrumadoras y constituir una gran pérdida de tiempo para las organizaciones en su verificación.
La problemática con las herramientas automáticas es aún mayor, porque para la detección de fallas de seguridad en los sistemas, las fugas, también conocidas como omisiones o falsos negativos, pueden llegar a representar valores cercanos a un 75%. Esto quiere decir que dichas herramientas no son capaces de identificar 7,5 de 10 vulnerabilidades presentes en un sistema; incluso, algunas pueden reportar hasta un 99% de fugas (por el contrario, los mismos indicadores para hackers capacitados suelen estar alrededor de un 5%). Esto genera que dentro de las organizaciones se genere una falsa sensación de protección, no siendo conscientes de todo el universo de vulnerabilidades presentes en sus sistemas de información.
Producto de la presencia de falsos positivos y falsos negativos, en los próximos años, la industria de ciberseguridad continuará dependiendo y necesitando de la intervención humana como recurso estratégico. Los analistas de seguridad o hackers éticos, en comparación con las herramientas automáticas, omiten menos vulnerabilidades en los sistemas evaluados, siendo más precisos, y además consiguen reunirse para lograr ataques de mayor complejidad. Los resultados que logran estos equipos permiten que las compañías conozcan los verdaderos riesgos que corren al tener en producción aplicaciones o sistemas con fisuras, y que en consecuencia de manera sensata inviertan los recursos necesarios para resolver dichos problemas.
Lo recomendable sería combinar las herramientas automáticas con equipos de hackers éticos especializados, ya que, al utilizar una mayor variedad de estándares y metodologías de búsqueda, pueden llegar a encontrarse todas las vulnerabilidades en un sistema de manera veloz y precisa, que es justamente lo que solicitan las organizaciones en la actualidad.
(*) LATAM Manager de Fluid Attacks.
Revista Gestión no se responsabiliza por las opiniones ni comentarios publicados por sus colaboradores en este espacio, quienes son los responsables del contenido difundido. Si va a hacer uso de este artículo, por favor cite la fuente original. Artículo de información (I).
Encuentre contenido relacionado en nuestro archivo histórico:
En fútbol y ciberseguridad, defenderse es lo fundamental
Ciberataques: una pandemia maliciosa para la seguridad empresarial
Lo que las empresas deben conocer para enfrentar la pospandemia
Ciberseguridad en la era digital: tendencias y desafíos en el sector financiero
Last modified on 2020-10-20