Este es un tema que seguramente a muchos les hará saltar de su silla porque se tiene la idea de que todas las especializaciones en ciberseguridad tienen un futuro prominente y lleno de oportunidades. Esta idea a mi juicio es un poco errónea, y es que, como todas las disciplinas, la ciberseguridad debe también saber evolucionar con los tiempos a riesgo de quedar obsoleta en las soluciones que promete.
Lo cierto es que la discusión respecto al Pentesting como actividad profesional no es nueva. Hace muchos años que viene dando vuelta en algunos círculos la idea de que esta especialidad cada vez más va perdiendo su eficacia en el mercado, al menos en lo que se conoce como su variante más tradicional, que básicamente consiste en realizar análisis perimetral de recursos expuestos a Internet en búsqueda de vulnerabilidades que puedan eventualmente ser explotadas por un tercero y comprometan la seguridad de la infraestructura afectada.
La raíz de esa idea yace en que, por una parte, las herramientas automatizadas de escaneo de vulnerabilidades con capacidades de IA y Machine Learning han abaratado los costos enormemente para empresas de ciberseguridad dedicadas a este negocio (sí, los hackers igual están siendo desplazados en algún grado por la automatización) haciendo que los especialistas de esta área deban tener capacidades superiores a las máquinas para poder detectar amenazas que ellas no pueden debido a sus propias limitaciones de funcionamiento y de esa manera usarlas como recurso en sus trabajos sin que los profesionales del área sean absorbidos por las aplicaciones automáticas y también, por otra parte, al hecho de que no es menor la cantidad de empresas que buscan, como estrategia de ciberseguridad corporativa, simple y únicamente adherirse a algún estándar que las valide a nivel de compliance (PCI DSS, HIPAA, ISO 27001, etc) más que buscar una protección efectiva. Esto último ya se ha convertido en un clásico de la discusión de ciberseguridad que pone frente a frente a las gerencias versus los implementadores (analistas de seguridad, pentesters, operadores SOC, etc), siendo estos últimos muy entusiastas de aplicar rigurosamente hasta el último control de seguridad versus los primeros que son responsables de aplicar el correcto balance entre eficacia y presupuesto disponible (todo un arte a estas alturas del juego).
A lo anterior se suma que las medianas y grandes empresas pueden aprovechar la oleada de especialistas para lanzar campañas de tipo Bug Bounty que les garantiza buenos dividendos en cuanto a los resultados de la búsqueda de vulnerabilidades de sus sistemas versus una reducción en los costos de esos trabajos, pues ya no necesitan buscar una empresa boutique que ejecute un análisis de seguridad, sino que hackers de todo el mundo pueden (por una suma normalmente menor) dedicarse a explotar esas vulnerabilidades de forma profesional.
El perfil de Pentester de hoy debe ser mucho más amplio que solo aquel que se ha dedicado a buscar riesgos perimetrales. La proliferación del ransomware (que no se detendrá) y las cada vez más increíbles técnicas utilizadas por grupos APT para vulnerar sus objetivos hace que los defensores tengan que dedicar gran parte de sus vidas a perfeccionarse, capacitarse y aprender más para adoptar nuevas técnicas de protección de sistemas con una velocidad tan rápida como sea posible, para poder hacer frente a los bad boys que cuentan con recursos casi ilimitados y que ni siquiera deben respetar leyes, acuerdos comerciales, NDAs, condiciones de operación, ventanas de trabajo ni restricciones administrativas para ejecutar sus intenciones y lograr sus objetivos.
Aunque debo reconocer que el título de este artículo tenía la intención de clickbait, ya que sé que es una discusión que desata las pasiones, mi opinión personal es que en sí el Pentesting como tal no morirá tan pronto, pero sí debe evolucionar hacia técnicas más efectivas que tan solo golpear la puerta de la casa para ver si se puede abrir o no, y eso es algo que no muchos logran adoptar eficientemente. La historia nos enseña que prácticamente todo en ambientes tecnológicos o evoluciona o muere y lo importante es que esa evolución sea continua para que cimiente las bases de nuevas, mejores y mas eficientes soluciones. Por ejemplo, hoy en día nadie se acuerda de las clásicas Palm, pero todos usamos teléfonos inteligentes que derivaron de esa tecnología. Lo mismo puede suceder con la ciberseguridad en el futuro cercano.
EVOLUCIONAR O MORIR
El desafío, tanto para compañías dedicadas al tema como para los propios especialistas, está en adaptarse a los vaivenes del mundo de la ciberseguridad intentando agarrarse siempre de las tendencias y ver como evoluciona también el mercado, pues ese es el valor que tiene este trabajo. No sacamos mucho con tener una estrategia de súper defensa perimetral si los ransomware nos van a hacer puré por dentro de la red, pero si está claro que el trabajo de Pentester se está volviendo cada vez más algo estándar en la industria y ya no es visto como una joya única e irrepetible cuyo valor es inmesurable o una actividad elitista, debido a que básicamente quienes tenían estos conocimientos solo podían haberlos obtenidos desde fuentes provenientes casi que del ocultismo underground y comunidades hacker de comienzos de los 2000, forjados a pura experiencia, dedicación y entusiasmo donde hasta un scanner de puertos necesitaba dedicación porque no existía Metasploit, Mimikatz, OpenVAS ni Kali, mientras que hoy existe una enorme oferta de capacitiación y formación en el área que era impensable hace unos 20 años atrás.
Solo como resumen, pienso que es relevante que se adopten medidas de transformación en los servicios de Pentesting a fin de no quedar obsoletos en un mundo donde los criminales nos sorprenden todos los días con técnicas nuevas que dejan hasta los más preparados mirándose las caras sin saber como reaccionar y así como les exigimos a los clientes que pongan más dinero sobre la mesa para comprar soluciones "o si no tarde o temprano se los van a hackear", también debemos invertir en capacitar contínuamente a nuestros Pentesters y convertirlos en soldados de élite ya que los atacantes muchas veces si lo son.
