¿Qué es el hacking continuo y cómo beneficia a la ciberseguridad de las empresas?

¿Qué es el hacking continuo y cómo beneficia a la ciberseguridad de las empresas?
  • Fluid Attack es una empresa que se ha especializado en el hacking para hacer que las compañías mejoren sus sistemas de ciberseguridad ayudando a encontrar sus vulnerabilidades y haciendo que se cree en un sistema de mejora continua.

Por: Alejandra Samayoa Editora M&T

(ITNOW)-.   La ciberseguridad se ha convertido en algo fundamental para las empresas, y más aún, desde que la pandemia obligó a tomar medidas digitales que permitiera que muchos trabajadores pudieran acceder a la información de las compañías desde fuera de las instalaciones.

En este sentido, varias empresas mejoraron su oferta en aspectos tecnológicos, entre ellos, el de la ciberseguridad en diversas áreas. Siendo un panorama tan amplio y conociendo una de las novedades, entrevistamos a Mauricio Gómez de quién es  co-fundador de Fluid Attacks experto en ciberseguridad en la red y hacking ético, quién nos ayudó a conocer más sobre el tema, cómo se encuentra el panorama en la actualidad y cómo funciona este interesante sistema.

Mauricio Gómez de Fluid Attacks

¿Cómo se encuentra el panorama de la ciberseguridad en este momento?

La pandemia aceleró procesos de transformación digital. De tener canales o negocios tradicionales pasamos a tener que hacer eso de forma virtual, de alguna manera lo que hizo la pandemia fue acelerar que adquiriéramos tecnología para poder continuar prestando los servicios que tiene una empresa.

Ocurrió que por la velocidad que tuvimos, se construyó el software de alguna manera, aumentando más las vulnerabilidades y de alguna manera solicitando más servicios como los de Fluid Attacks para soportar ese crecimiento tan rápido que, por el cambio tecnológico y de poder salir en vivo con protocolos de acceso a la información, se pueda evitar fraudes y cosas de ese estilo.

Ver más: Costarricense entre las más poderosas del mundo: ¿Cómo ser lideresa en la industria tecnológica?

¿Cree que las empresas han fomentado un buen sistema de ciberseguridad para su información?

Yo pienso que cada vez más van siendo conscientes de que la tecnología hay que implementarla bien, y eso de alguna manera, los ha hecho más conscientes.

Nos ha tocado aprender sobre la marcha, sin embargo, si noto que las empresas están más enfocadas en proteger la información.
Además la regulación de los diferentes países ha ido mejorando y solicitando cada vez más preservarse la información de terceros que hay en nuestras propias bases de datos, como por ejemplo la Comunidad Económica Europea, localmente la agencia que maneja los bancos también ha aumentado la regulación para proteger la información que esta en las plataformas tecnológicas y eso hace cada vez más que hagamos más por software.

Pensemos en la seguridad, especialmente por proteger los negocios, la reputación de los negocios y si de alguna manera a ti te hackean y eres una pequeña empresa, vas a tener inconvenientes. A las grandes no les pasa nada, históricamente si hackean una gran corporación no pasa nada, simplemente baja un poco y luego se recupera. Pero los pequeños, en las startups, las fintech, etc. Si los golpea tener un problema de hacking a temprana edad.

En conclusión, si viene mejorando grandemente.

¿Qué es el hacking continuo y que beneficios tiene?

El 85% de las vulnerabilidades se inyectan cuando se construye el software, el código está susceptible a problemas cuando se va creando.

El hacking es un servicio que presta Fluid Attacks que se encarga de revisar cómo quedo escrito el código fuente con unos lentes de seguridad, de tal forma, que protejamos del principio la información que va a procesar ese software, ahora bien, cuándo nosotros encontramos vulnerabilidades en etapas tempranas le podemos decir al editor que escribió el código que lo arregle, nosotros damos feedback rápidamente al desarrollador para que arregle desde el principio.

Para colocar en contexto, la ciberseguridad está dividida en dos equipos, quienes atacan y quienes defienden, y lo que hay en la industria, es un juego de roles, “yo te ataco, tú te defiendes”, para que este ataque no vaya a pasar a más.

Fluids Attacks lo que hace es solo atacar, por eso nuestro nombre.

A una empresa la hackean por tres vías, por el código fuente, los puertos de comunicación para escuchar los software y a través de los campos que tienen las aplicaciones.

Entonces, lo que hace el hacking continuo es que desde el principio en el momento en el que se crea la tecnología y se empiezan a hacer pruebas de seguridad, se provee un feedback rápido para verificar la vulnerabilidad y para que la arregle. Que pasaba antes, no te encontraba la vulnerabilidad y los clientes no eran capaces de arreglar, en los siguientes seis meses regaban el 4% de la vulnerabilidades y terminaban conviviendo con el riesgo, pero ahora si veo que hay un error y lo corrijo, desde el principio, la taza de remediación que es la relación entre las vulnerabilidades, las reparadas en el total de las encontradas empezó a subir.

En este sentido, los clientes cada vez más van mejorando su perspectiva de cerrar esas vulnerabilidades, no es suficiente encontrarlas, no es suficiente decirte cuáles son tus riesgos si tú no haces algo más para solucionarlos.

Entonces, lo que hace el hacking continuo es encontrarlas a una temprana edad para que sea solucionada lo más pronto posible, de tal forma, que cuando la tecnología ya esté lista para lanzarla a internet, por ejemplo, para ponerla en servicio, tanto las características de la aplicación que se armó cómo las vulnerabilidades estén cerradas para que la organización no conviva con el riesgo.

Nosotros mitigamos el riesgo, nunca va a estar protegido al 100% pero lo podemos llevar a unas tazas muy manejables, clientes maduros nuestros tienen tazas de remediación de cerca del 93%. Ahí es dónde manejamos nuestro servicio, manejo temprano de vulnerabilidades.

¿Cree que las empresas están conscientes de la importancia de la ciberseguridad para sus operaciones?

Cada vez más. Los virus, el impacto, la mejora en ransomware que lo vemos desde Fluid Attacks, ya que cada vez más la conciencia de construir bien la tecnología por parte de los clientes se viene incrementando.

¿Cree que la inversión es un punto clave para mejorar aspectos tecnológicos en una empresa?

Indudablemente si. No solo en términos tecnológicos, porque también hay que tener otros factores, pero evidentemente si hay que invertir para crear buena tecnología. Cuando tu compras tecnología es porque estas automatizando procesos que ya tienes creados en tu compañía, eso, de alguna manera, vas a recuperar esa inversión.

Yo si diría a los empresarios que inviertan en tecnología, hágalo bien, si va a pensar en ciberseguridad piense desde el principio y no al final cuándo ya está todo construido, ya está todo listo y dicen “se me olvidó hacer un chequeo de seguridad”, ahí va a salir muy costoso, si tu inviertes en ciberseguridad desde el principio, estoy absolutamente seguro que vas a tener un muy buen retorno en esa inversión.

También: ENTREVISTA: ¿Cuál es el impacto que tienen datos de la NASA en la humanidad?

¿Cómo el hacking podría funcionar para mi empresa?

Lo que hace el hacking para que sea efectivo es hacer pruebas desde el principio, desde el momento en el que se construye, nosotros comenzamos a trabajar en paralelo con los desarrolladores de software verificando lo que escriben, para dar feedback rápido de tal forma que se arregle rápido.
¿Qué información clave debería tener una empresa que usa soluciones tecnológicas pero que no sabe qué buscar o cotizar?Se trata de adquirir lo que el negocio necesita, si tienes que desarrollar software para cumplir con tu misión, con tu promesa de valor hacia el mercado, pienso que una buena estrategia es empezar a crear un primer prototipo y comenzar a crear valor de lo menos hacia lo más, arrancamos de lo que necesitamos en la medida en lo que vamos construyendo vamos ampliando, pienso que esa estrategia podría ser mejor que simplemente empezar a comprar, comprar y tratar de armar algo que de pronto no necesita la empresa, de hecho muchas veces tenemos sobre controles que vuelven muy costosa la operación.Arranquemos desde lo pequeño y vamos aumentando.

¿Qué consejos podría darle a las empresas para mejorar el uso de las herramientas tecnológicas almacenamiento de datos y uso de la nube?

El código va a ser el rey, todo, absolutamente todo, se va a mirar desde el código fuente. La infraestructura que tiene la tecnología para funcionar también se está convirtiendo en código. Veo con muy buenos ojos la migración a la nube, nos da escalabilidad, nos da movilidad, es costo eficiente, ahora creo que parte del teletrabajo llegó para quedarse y pienso que no estar atados a un lugar físico para prestar el servicio puede ayudar fuertemente a las empresas.

¿Qué servicios tiene Fluids Attacks para ayudar a las empresas?

Es una empresa de ciberseguridad y de tecnología, nos dedicamos a encontrar vulnerabilidades y reportarlas lo antes posible, lo que mejor sabemos hacer es entregar feedback rápido a los clientes, en el momento de la creación de la tecnología para que arreglen desde el principio

¿Qué diferencia a fluid attack de otras empresas?

Somos una empresa de seguridad que solo se dedica a atacar, no tenemos servicios complementarios, utilizamos la tecnología para encontrar rápidamente las vulnerabilidades, por ejemplo, utilizamos la inteligencia artificial que hemos creado para prestar nuestros servicios.

La industria tiene dos problemas, las tazas de falsos positivos que son vulnerabilidades que fueron reportadas que no eran, y eso molesta mucho a la tecnología. Porque tú paras todo el proceso aquí hay una vulnerabilidad y la comienzan a tratar de arreglar cuando no había un problema.

Por otro lado, está la taza de falsos negativos u omisiones, vulnerabilidades que no fueron vistas cuando se hizo el proceso de testing.

¿Dónde está nuestro valor agregado o donde nos diferenciamos sustancialmente? Es que tenemos muy bajas tazas de falsos positivos y falsos negativos, ambas en menos del 10%, eso si lo comparamos con herramientas automáticas que tiene el 80% en omisiones y tiene un poco más del 50% en falsos positivos.

Nuestro servicio es un servicio es productizado porque nosotros mismos creamos la tecnología que permite tener un adecuado balance y eso se llama la precisión de la prueba.

Somos bastantes precisos en la prueba.

Otra diferencia, reportamos al vuelo, significa que una vez que encontramos la vulnerabilidad, la documentamos y a través de nuestra tecnología notificamos a los clientes para que él tenga el reporte ya, rápido, generamos valor todos los días.

Otra ventaja que tenemos es cómo reportamos las vulnerabilidades, nosotros hemos pensado en eliminar la barrera de entendimiento de los informes, si yo soy el que tengo que leer el reporte y yo no entiendo lo que dice, no voy a ser capaz de arreglar nada, la forma en la que Fluid Attacks presenta sus reportes, son pensando en que el equipo que defienda entienda, incluso, hemos actualizado en incluir animaciones gif y pequeños videos para que entienda como fue hackeado y el entienda para que después pueda poner en marcha una solución, a la cual, después nosotros re atacamos.

Tenemos modelos de inteligencia artificial, suponte que llegamos a un proyecto de construcción de una tecnología de una empresa, esa tecnología ya los desarrolladores ya han hecho el código fuente, nuestra propuesta de valor es encontrar todas las vulnerabilidades y reportarlas lo antes posible, esa es nuestra meta. Entonces, lo que nosotros hacemos priorizar entre todo ese código y hacemos un triage basados en inteligencia artificial que va a priorizar el trabajo del equipo técnico de los hackers para encontrar vulnerabilidades y así ayudarle a los clientes a que mitiguen las vulnerabilidades de alto impacto lo antes posible.

Somos cerca de 90 tester que tiene la empresa 24/7 solo atacando, para encontrar vulnerabilidades.

Crear nuestra propia tecnología, desde América Latina para el mundo, ha sido un reto, que hemos llevado a tener un 100% en eficacia evitando los falsos positivos, que es todo un reto.

¿Qué proyectos tiene la empresa para el futuro?

Continuar creando tecnología. Tenemos actualmente unos 25 desarrolladores creando nueva tecnología donde seguimos batallando contra los falsos positivos y los falsos negativos, donde queremos cumplir con nuestra misión de encontrar todas las vulnerabilidades, bajar esos números de tazas falsos positivos y negativos, cada vez, a niveles mejores donde tengamos menos efectos residuales en las vulnerabilidades.

Queremos seguir construyendo tecnología, especialmente en América Latina y el mundo. Verdaderamente América Latina tiene muy buena capacidad técnica, muy buena capacidad donde cualquier latino es capaz de pararse en cualquier foro mundial de ciberseguridad y dar una excelente conferencia, pienso que estamos al mismo nivel de cualquier país desarrollado.

Con la pandemia también vino la aceleración de la internacionalización, y queremos considerar consolidarnos con los diferentes mercados donde estamos haciendo presencia, donde queremos ser actores representativos en el campo de ciberseguridad. Especialmente, en lo que hacemos atacar, atacar y atacar.

Lo último: ENTREVISTA: ¿Cuál es la hoja de ruta del sector tecnológico en Costa Rica? Micitt responde