Herramientas automáticas para detectar vulnerabilidades carecen de exactitud

Herramientas automáticas para detectar vulnerabilidades carecen de exactitud

Las tasas de fugas disminuyen cuando se combinan equipos de hackers éticos especializados con herramientas automáticas.

La empresa dedicada al hacking ético en los sistemas informáticos empresariales, Fluid Attacks, ofreció detalles sobre el problema que tienen las empresas que cuentan sólo con herramientas automáticas dentro sus esquemas para detectar las vulnerabilidad de seguridad en sus sistemas.

“Hoy existe en el mercado una brecha de oferta y demanda de especialistas en ciberseguridad, específicamente en equipos rojos, que son quienes atacan sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada evolución de la tecnología, hace que algunas compañías se inclinan por adquirir herramientas que detectan de forma automática las vulnerabilidades en el software, y que pueden procesar grandes cantidades de información en tan solo unos minutos o un par de horas como mucho”, explica Felipe Gómez, LATAM Manager de Fluid Attacks.

Le puede interesar: Gestión del Futuro

El problema principal que enfrentan las empresas que usan estas herramientas de detección es la incapacidad de dichas herramientas para hackear. Múltiples fallos y debilidades relacionadas con seguridad en los sistemas informáticos son de tan inestable complejidad, que la tecnología todavía no los puede detectar.

Los falsos positivos es una de las grandes dificultades que se encuentran en este tipo de herramientas. Esto sucede cuando la herramienta anuncia la existencia de vulnerabilidades en seguridad y al hacer la verificación se descubre que no hay dichas vulnerabilidades.

“Debido a los falsos positivos y a los falsos negativos (también conocidos como fugas), en los próximos años la industria de ciberseguridad va a seguir dependiendo y necesitando de la intervención humana como recurso estratégico. Los analistas de seguridad o hackers éticos omiten menos vulnerabilidades en los sistemas, siendo más precisos y logrando correlacionar vulnerabilidades para lograr ataques de mayor complejidad, elemento del que hoy carecen las herramientas automáticas. Por lo tanto, la precisión contribuye a que las compañías conozcan el riesgo que corre el negocio al tener al aire aplicaciones o sistemas con vulnerabilidades presentes y consecuentemente asignen los recursos necesarios para resolver estos problemas de seguridad”, menciona Gómez, de Fluid Attacks.

Además: ¿Cómo reforzar la seguridad en la era de computación post-cuántica?

Por otro lado, la tecnología de detección de problemas de seguridad en los sistemas tiene una tasa de fugas del 75%, lo cual significa que dichas herramientas no son capaces de identificar 7.5 de 10 vulnerabilidades presentes en un sistema. Esto genera una falsa sensación de seguridad dentro de las organizaciones, es importante mencionar que las tasas de fugas en hackers capacitados son del 5%.

Un proceso que encuentre todas las vulnerabilidades en un sistema puede ser rápido y exacto, esto combinado con herramientas automáticas y equipos de hackers éticos especializados, se estará utilizando una mayor variedad de estándares y metodologías de búsqueda.

Lea también: DeathStalkers: conozca más sobre estos espías y cómo proteger a su empresa