En el mundo del boxeo cuando un púgil está trabajando duro para preparar una pelea próxima, perfecciona su estado de forma física y prepara las estrategias, ofensiva y defensiva, que utilizará contra su rival, simulando situaciones de combate. Recrearlas le sería imposible de no existir la figura del sparring, nombre importado del inglés que designa a quien ayuda a un boxeador a entrenar peleándose con él
El entrenamiento con un sparring tiene como objetivo simular una situación de combate lo más real posible. Durante ella, el púgil ayudante imitará incluso los movimientos de ataque más importantes del rival a quien se enfrentará su compañero, con el fin de que este pueda conocerlos y preparar una defensa adecuada frente a ellos. Si conoce bien su oficio, el sparring sabrá poner a su compañero en aprietos sin llegar a hacerle daño, para ayudarle así a alcanzar su mejor nivel antes de jugarse “el todo por el todo” entre las doce cuerdas.
Hay quienes consideran que “hacer guantes” con un sparring y aprender a serlo para otros es un paso imprescindible a dar para llegar a ser un buen boxeador. Gracias a ello se aprende realmente a pelear, a ver lo que funciona y lo que no, y se percibe en qué aspectos se ha de mejorar tanto técnica como tácticamente.
En el ámbito de la seguridad informática se podría considerar que los test de penetración equivalen a ese “hacer guantes” con el sparring, solo que en este caso lo que se pone a prueba es la fortaleza de los sistemas y aplicaciones corporativos sin dañarlos, siendo los “pentesters” quienes cumplen con el papel del boxeador ayudante que lanza sus golpes “con la peor intención” para hacer el test lo más real posible.
Incluso podríamos llevar el paralelismo más lejos ya que, tanto en el boxeo como en la ciberseguridad, la explotación de un solo fallo puede ocasionar el total desplome de las funciones del sistema. Es decir, llévalo al K.O. Así las cosas, incluso cuando el entrenamiento ha arrojado buenos resultados, en ambos ámbitos conviene aplicar la máxima “Zero Trust” y evitar confiarse demasiado.
La diferencia entre los ámbitos del boxeo y la informática está en que, a medida que la transformación digital se ha ido generalizando, en éste último hay pelea casi todos los días, lo que reduce drásticamente el tiempo del que disponen organizaciones y empresas para trabajar con “pentesters” con el fin de fortalecer su seguridad y reducir vulnerabilidades
Pero como bien sabemos, en un contexto en el que el uso de las tecnologías de la información se ha vuelto imprescindible en todos los sectores para optimizar los procesos de negocio, ganar en agilidad y generar ventajas competitivas clave, garantizar su seguridad es una tarea irrenunciable. Si los ciberdelincuentes están cada vez mejor organizados y han reducido el tiempo que necesitan para perpetrar sus ataques, las organizaciones habrán de disponer de mejores “sparrings” para combatirlos, esto es, de tecnologías que permitan simular situaciones de ataque a un ritmo mayor, y por supuesto sin poner en riesgo las infraestructuras, redes y aplicaciones del cliente.
En el ámbito de la informática, la ventaja con respecto al boxeo está en que de que podemos diseñar sparrings a medida de las necesidades de seguridad de cada empresa y ponerlos a “hacer guantes” con sus sistemas y aplicaciones de forma automatizada.
Desde Factum lo hacemos con “Breach and Attack”, solución que brindamos a modo de servicio a las entidades que quieran automatizar sus testeos de penetración y conocer la madurez de sus sistemas de seguridad con rapidez y eficacia, atacándolos, sin dañarlos, con la crudeza con la que lo haría un ciberdelincuente, y cotejando su capacidad de respuesta a los ataques con los modelos de evaluación de riesgos más potentes y reconocidos.
Iosu Arrizabalaga
Director de Factum