Synack y su método para revolucionar el 'pentesting' tradicional

Con el objetivo de revolucionar el sector del pentesting tradicional, la norteamericana Synack nace en 2013. Una década después, y tras asentarse en España de manera oficial en junio de 2022, cuenta con un nutrido grupo de cerca de 1.800 hackers éticos que tratan de encontrar vulnerabilidades en los sistemas de las compañías de una manera continua. “Aparentemente, puede parecer que nuestra actividad es muy parecida a los modelos de bug bounty, en los que los hackers van a éxito y las empresas pagan por las vulnerabilidades que encuentran. Nuestro diferencial es que cobramos una tarifa fija, e independientemente de si encontramos una o 1.000 brechas, el cliente tiene una estimación de costes, algo que con otros modelos es impredecible”, asegura a CSO Alejandro Novo, country manager de la organización en Iberia.

El directivo explica que Synack establece grupos de unas 100 personas que van rotando cada mes de manera que “tenemos siempre ojos nuevos y técnicas de ataque diferentes. Esto ha hecho que nos hayamos establecido muy rápidamente en muchos países por toda Europa”. Además, cuenta con un proceso de selección de personal con grandes requisitos; solo entre el 5% y el 10% de los aplicantes son admitidos. Como añadido, la compañía se guarda la responsabilidad frente a posibles errores. Por ejemplo, dice Novo, si esa persona que busca vulnerabilidades de repente te tira una base de datos, tradicionalmente la responsabilidad era del propio hacker con el cliente, “pero nosotros tomamos las riendas y si hubiera que pagar algo lo hacemos”.

De este modo, cree que el diferencial de su empresa pasa por la comunión del equipo humano con la plataforma, en la que se van publicando todos los datos y esas ‘brechas’ con instrucciones para remediarlas. “Este es nuestro punto de unión para que se produzca un programa real de pentesting”.

Actividad en España

El directivo reconoce que, tanto en el mercado español como en el internacional, no todas las compañías son candidatas a Synack. “Tienen que contar con activos muy críticos, y muchos cambios en el tiempo”, como las aplicaciones de entidades financieras, seguros, o telcos, entre otras. “Estas requieren de un pentesting continuo. Si solo lo haces una vez al año, pasado el test puede haber muchos cambios. En 24 horas, nosotros ya estamos trabajando con esos activos”. No obstante, sí que ve madurez en la empresa local a la hora de demandar estos servicios. "Están al día, equilibradas con otros países europeos, aunque los presupuestos no son tan grandes como nos gustaría”.

Por otra parte, las grandes cuentas ya empiezan a tener equipos internos de testers  de software. Una actividad que para Novo es complementaria a la de Synack. “De hecho, algunos clientes nos han homologado para ser una extensión de sus equipos de red team. Es decir, ellos tienen una división limitada, de cuatro, cinco, o seis personas, y si trabajan en corporaciones muy grandes no dan abasto. Por otro lado, muchos clientes nos contratan para analizar sus activas a sabiendas de que una vez al año van a ser auditados por sus equipos internos. Se trata de una especie de lucha para ver si somos capaces de salir exitosos de esa auditoría, y si lo logramos, significa que hemos hecho un trabajo excelente”.

Preguntado por dónde situaría al pentesting en el ciclo de la ciberseguridad, Novo dice que tradicionalmente se ha colocado en la última fase, cuando los activos ya están en producción y se intentan descubrir las vulnerabilidades. Pero, prosigue, en los últimos años, y al calor de las metodologías DevSecOps, ya se halla en la fase de preproducción y test. “Precisamente, cuando el pentesting es el modelo tradicional no hay capacidades de activarlo en los tiempos en que requieres. Y, por ello tenemos éxito porque podemos cubrir, por ejemplo, la actualización de un software cada dos semanas”, concluye el directivo, quien prevé crecer en España a doble dígito durante los próximos ejercicios.