top of page
Foto del escritorJuan K LiBre

Herramientas automáticas carecen de precisión al detectar vulnerabilidades

* Las tasas de fugas disminuyen cuando se combinan equipos de hackers éticos especializados con herramientas automáticas.

* Hay una falsa sensación de seguridad dentro de las organizaciones, porque no conocen la existencia de todo el universo de vulnerabilidades en sus sistemas. 

Fluid Attacks, compañía dedicada al hacking ético en los sistemas informáticos empresariales, entrega detalles sobre el problema que hoy presentan las empresas que cuentan sólo con herramientas automáticas dentro sus esquemas para detectar las vulnerabilidades de seguridad en sus sistemas. 

Felipe Gómez, LATAM Manager de Fluid Attacks

“Hoy existe en el mercado una brecha de oferta y demanda de especialistas en ciberseguridad, específicamente en equipos rojos, que son quienes atacan sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada evolución de la tecnología, hace que algunas compañías se inclinan por adquirir herramientas que detectan de forma automática las vulnerabilidades en el software, y que pueden procesar grandes cantidades de información en tan solo unos minutos o un par de horas como mucho”, explica Felipe Gómez, LATAM Manager de Fluid Attacks.


El principal problema al que se enfrentan las empresas que utilizan herramientas de detección automática de vulnerabilidades es la incapacidad de dichas herramientas para hackear. Los múltiples fallos o debilidades relacionados con seguridad en los sistemas informáticos son de tan variable complejidad, que aún la tecnología no es capaz de detectar muchos de ellos.


Una gran dificultad que presenta este tipo de herramientas automáticas es los denominados falsos positivos. Estos se dan cuando las herramientas reportan la existencia de vulnerabilidades en seguridad, y, al realizarse su verificación por parte de los equipos de desarrollo, se descubre que dichas vulnerabilidades son inexistentes. Estas falsas alarmas o mentiras, que los equipos de ciberseguridad reciben diariamente, pueden ser abrumadoras y constituir una gran pérdida de tiempo al tratar de verificarlas.


“Debido a los falsos positivos y a los falsos negativos (también conocidos como fugas), en los próximos años la industria de ciberseguridad va a seguir dependiendo y necesitando de la intervención humana como recurso estratégico. Los analistas de seguridad o hackers éticos omiten menos vulnerabilidades en los sistemas, siendo más precisos y logrando correlacionar vulnerabilidades para lograr ataques de mayor complejidad, elemento del que hoy carecen las herramientas automáticas. Por lo tanto, la precisión contribuye a que las compañías conozcan el riesgo que corre el negocio al tener al aire aplicaciones o sistemas con vulnerabilidades presentes y consecuentemente asignen los recursos necesarios para resolver estos problemas de seguridad”, menciona Gómez, de Fluid Attacks. 

“Otra gran dificultad en la tecnología de detección de problemas de seguridad en los sistemas es la presencia de tasas de fugas del 75%. Esto quiere decir que estas herramientas no son capaces de identificar 7.5 de 10 vulnerabilidades presentes en un sistema. Incluso, algunas pueden llegar a reportar tasas de fugas de hasta un 99%. Como consecuencia, se genera falsa sensación de seguridad dentro de las organizaciones, ya que no conocen la existencia de todo el universo de vulnerabilidades en sus sistemas. Por el contrario, dichas tasas de fugas en hackers capacitados suelen estar alrededor del 5%, lo que indica que los humanos tienden a equivocarse menos al buscar vulnerabilidades”, agrega el vocero de Fluid Attacks.


Un proceso que encuentre todas las vulnerabilidades en un sistema puede ser veloz y preciso combinando herramientas automáticas y equipos de hackers éticos especializados, al utilizarse así una mayor variedad de estándares y metodologías de búsqueda.

Comments


Leyendas
bottom of page