En Chile estamos en pleno desarrollo en estas materias, logrando un nivel bastante maduro en aspectos normativos y regulatorios, sin embargo, en la práctica esto no ocurre.
Sin el ánimo de ser pesimista, el hecho de que exista una ley no significa que se están haciendo las cosas bien. Como especialista y con todo el tiempo que llevo trabajando en distintos proyectos de tecnología pasando por infraestructura, desarrollo, redes y ciberseguridad, he notado cómo se cometen los mismos errores año tras año. Cambia la tecnología pero los errores que se cometen son los mismos. Solo a modo de ejemplo, año tras año vemos como las passwords más usadas siguen siendo del tipo 123456, asimismo, año tras año, las vulnerabilidades en los sistemas web siguen siendo del mismo tipo. Cambia la forma de explotar una vulnerabilidad, pero el error o el problema sigue siendo el mismo.
Por este motivo, es necesario contar con un roadmap establecido para la ejecución de pruebas de seguridad en las plataformas tecnológicas, de manera constante y en todas las etapas del desarrollo hasta su puesta en producción. Podemos llamarlos ethical hacking, pentesting, análisis de vulnerabilidades o red team, da igual, lo que importa es que se ejecuten este tipo de pruebas y que se gestionen correctamente las vulnerabilidades o debilidades que vayan apareciendo.
Descubrir y corregir vulnerabilidades a tiempo podría significar salvar la reputación de un negocio así como el negocio mismo y a futuro significa multas.
Algunos dirán que el ethical hacking pasó de moda, que ahora se realizan otro tipo de pruebas, pero yo no pienso así. Lo que ha ido evolucionando es la fase o la etapa donde se realizan estas pruebas, para complementar esta actividad conocida como hackeo ético.
Hoy en día las empresas grandes o las que tienen mejores recursos, están invirtiendo en mejorar todo el proceso de desarrollo de plataformas, desde que se genera el requerimiento o la idea, pasando por todo el proceso de diagramación, desarrollo, pruebas, marcha blanca, hasta su puesta en producción. Esto está obligando a que varios actores que antes no eran considerados como importantes en temas de ciberseguridad, ahora sí lo sean, como por ejemplo un product manager o un project manager. La ciberseguridad debe estar en todas las fases, por lo tanto las personas involucradas en cada fase, deben tener nociones de ciberseguridad.
Las pruebas de hackeo ético o ethical hacking terminan siendo una prueba más dentro de todo este largo proceso de desarrollo seguro. Antes en un ethical hacking se encontraban en promedio 30 vulnerabilidades con un porcentaje importante catalogado como crítica o alta, retrasando la salida a producción del producto o bien obligando a salir a producción con vulnerabilidades. Además, se debe considerar que estas vulnerabilidades corresponden a un porcentaje menor del total de vulnerabilidad que eventualmente podría tener la plataforma. Por este motivo, es importante implementar pruebas de seguridad complementarias desde el inicio del proyecto, con el fin de disminuir al máximo el riesgo y salir a producción con una aplicación relativamente segura.