Un reciente estudio sobre el coste de la ciberdelincuencia para las organizaciones ahondó en la creciente preocupación por el hacker de sombrero gris; es decir, un profesional de la seguridad que participa en actividades de sombrero negro.
Los investigadores descubrieron que el 12% de los profesionales de la seguridad encuestados han considerado actividades de sombrero negro, y el 22% han sido contactados para participar en ellas. En algunos casos, los profesionales de la seguridad legítimos se han pasado completamente al “lado oscuro” y se han convertido en hackers de sombrero negro.
Osterman Research Inc. encuestó a 900 profesionales de la seguridad en cinco países -Estados Unidos, Reino Unido, Alemania, Australia y Singapur- durante mayo y junio de este año. Los profesionales de la seguridad encuestados trabajaban para organizaciones de diversos sectores, como servicios financieros/seguros, 10%; manufactura, 10%; comercio minorista, 9%; tecnología, 9%; y sanidad, 9%. El porcentaje percibido de hackers de sombrero gris aumentó con el tamaño de la organización, desde el 2,8% de los profesionales de la seguridad informática en las pequeñas empresas hasta el 4,2% en las medianas empresas y el 5,7% en las grandes entidades. Según los investigadores, “las organizaciones medianas (de 500 a 999 empleados) son las que se ven más presionadas, y es ahí donde la escasez de habilidades y el atractivo de convertirse en un sombrero gris pueden ser mayores”. Los datos de la encuesta indicaron que las empresas medianas se enfrentaron a aproximadamente el mismo nivel de eventos de seguridad importantes en 2017 que las empresas más grandes, 0,9 y 1,0, pero carecían de la infraestructura de seguridad que se encuentra en las grandes organizaciones.
La investigación mostró, desafortunadamente, que la actividad de sombrero negro entre los profesionales de la seguridad no es infrecuente. Según la encuesta, el 41% de los profesionales de la seguridad conocen o han conocido a un profesional de la seguridad legítimo que es un hacker de sombrero gris o que ha participado en actividades de sombrero negro. Alrededor de la mitad de los encuestados en Estados Unidos (51%) admitió conocer a un colega que era un hacker de sombrero gris, en comparación con el 26% en Alemania. La razón principal de este cambio: Los sombreros negros tienen la percepción de ganar más dinero que los profesionales de la seguridad, según el 63% de los encuestados.
Sin embargo, el beneficio económico no es la única razón, señalan los investigadores. Mientras que el 47% de los encuestados estaba de acuerdo en que “es fácil entrar en la ciberdelincuencia sin que te pillen”, la mitad creía que los hackers de sombrero gris se sienten atraídos por las actividades de sombrero negro por “los retos que ofrece”. Además, el 11% de las organizaciones a nivel mundial ha contratado a un hacker de sombrero negro con fines de consultoría.
El informe global, “White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime”, basado en encuestas realizadas por Osterman Research, y patrocinado por Malwarebytes, está disponible en este enlace (requiere registro).
