ISO 27001
ISO 27001
ISO 27001
Entrevista a Rocco Sicilia, hacker ético, consultor de ciberseguridad e investigador
27 de octubre de 2025
En esta entrevista, Rocco Sicilia — hacker ético, consultor de ciberseguridad e investigador— explica cómo se construye una postura de seguridad eficaz, capaz de unir tecnología, gobernanza y cultura empresarial. Sicilia expone cómo las empresas pueden transformar la seguridad de una obligación técnica a un valor compartido, fortaleciendo la resiliencia organizativa y la conciencia interna.
Rocco, ¿cómo se define la postura de seguridad de una empresa y de qué manera tu experiencia en seguridad ofensiva contribuye a este camino?
Para mí significa analizar críticamente cómo está estructurada la organización, empleando mi experiencia en seguridad ofensiva para observar tanto desde dentro como desde fuera sus vulnerabilidades y puntos fuertes.
El objetivo último es construir una postura de seguridad eficaz, no limitada al componente tecnológico, sino que integre la cultura empresarial, reglas y gobernanza.
Una postura sólida parte de la conciencia de que es fundamental difundir la cultura de la seguridad. Las políticas y normativas, de las cuales derivan los procedimientos operativos, deben apoyar al TI, pero también ayudar a las figuras no técnicas a comprender mejor un mundo hiper-tecnológico y complejo, que a menudo parece ajeno a sus competencias.
Según mi experiencia, una gran parte de la madurez en la seguridad empresarial nace precisamente de aquí: cuando la regulación y las políticas se convierten en herramientas culturales, capaces de hacer de la seguridad un valor compartido y no solo una obligación técnica.
¿Cómo te convertiste en un hacker 'ético', una figura positiva en este ámbito?
Este camino se ha desarrollado de forma natural como fruto del periodo histórico. Cuando inicié esta profesión, a principios de los años 2000, no existían las figuras de los penetration testers como las entendemos hoy, pocas empresas tenían necesidades estructuradas en este ámbito. No había un verdadero mercado que demandara estas figuras profesionales. En la segunda década, sin embargo, ocurrió algo a nivel mundial: el desarrollo de las criptomonedas y la elevada informatización de los procesos abrieron de hecho un nuevo negocio para la criminalidad. Una auténtica “tormenta perfecta”, en la que la tecnología se volvió omnipresente y los nuevos métodos de transferencia de moneda — como las criptomonedas — hacían mucho más difícil rastrear a los autores de las transacciones. Este contexto produjo el ambiente ideal para los criminales informáticos, pero también un fuerte estímulo para las empresas, que comenzaron a evaluar activamente su propia resiliencia y la capacidad de defenderse de ataques informáticos reales.
Como consecuencia, la figura profesional de quienes realizaban el testing de penetración se volvió mucho más demandada, y nacieron muchas figuras más verticales y especializadas en diferentes ámbitos: hay quienes operan solo en el testing de aplicaciones web, quienes en el mundo físico, quienes en la verificación de infraestructuras complejas.
Con el tiempo también se introdujeron temas más transversales como las actividades de red teaming, es decir, sesiones de prueba que simulan un ataque real, reproduciendo comportamientos, estrategias y objetivos de un verdadero “actor malicioso” — para poner a prueba no solo la tecnología, sino también los procesos y las competencias del personal de la organización.
Un ejemplo concreto es el framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introducido por el Banco Central Europeo entre 2018 y 2019.
Un modelo que requiere que los bancos ejecuten simulaciones de ataque realistas (Threat-Led Penetration Test) para evaluar la postura general de seguridad.
Esta formalización ha impulsado a la industria financiera — y, como efecto dominó, a muchas otras — a construir frameworks de testing estructurados, contribuyendo a que la profesión del red teamer sea cada vez más demandada, estructurada y necesaria.
La manera en que ha evolucionado el sector refleja al menos en parte mis aspiraciones y he continuado en este camino.
Perfecto, ¿se asustan las empresas cuando dices que eres un “buen hacker”? ¿Cómo lo toman?
Puesto que uso terminologías menos evocadoras, depende mucho del nivel de madurez de la empresa.
Algunas, más que estar asustadas, tienen cierta dificultad para entender realmente cuál es nuestro rol.
El primer acercamiento a los tests de seguridad, de hecho, no es tan obvio: incluso si estos frameworks existen desde hace años, no todas las empresas los han adoptado de manera estructurada.
Yo, personalmente, trabajo sobre todo con organizaciones bastante grandes y organizadas, más acostumbradas a este tipo de actividades.
En estos contextos no veo miedo hacia la figura del red teamer o del hacker ético, sino más preocupación por los resultados. Por lo general, nos llaman después de que la empresa ya ha trabajado en su seguridad — puede ser que haya obtenido una certificación, como la ISO 27001 — y quiere entender si lo que ha ejecutado “sobre el papel” funciona realmente en la práctica.
El test de seguridad, al fin y al cabo, es un poco la prueba de fuego: sirve para ver si las medidas implementadas resisten un ataque simulado.
No es raro que surjan cosas que mejorar, pero es absolutamente normal.
No existen empresas invulnerables: el punto no es no encontrar problemas, sino identificar de manera dirigida las lagunas que pueden convertirse en vulnerabilidades reales.
Al final, el test sirve justamente para esto: transformar las críticas en oportunidades para crecer y reforzarse.
¿De qué manera los estándares como la ISO 27001 pueden contribuir a hacer una organización más resiliente, tanto en fortalecer las defensas preventivas como en gestionar situaciones de crisis como incidentes de seguridad o brechas de datos?
Te doy una respuesta muy operativa, desde mi punto de vista ofensivo.
Cuando trabajo en el campo, una de las grandes ventajas de los procesos de certificación es desarrollar una postura coherente tanto desde el punto de vista técnico como desde el organizativo. Las certificaciones ayudan a crear buenas prácticas, una comunicación interna clara y una gobernanza definida.
A menudo, de hecho, noto un fuerte desajuste entre lo que el mundo TI pone en práctica y lo que se define a nivel de gobernanza y control.
Muchas prácticas se implementan sin un control efectivo que realmente mida su eficacia: se hacen porque “es lo correcto hacerlas”, pero no hay un mecanismo de verificación que diga si funcionan o traen beneficios.
El gran valor de adoptar un framework como la ISO 27001 es precisamente poner orden donde el TI por sí solo no puede llegar debido a tener un límite estructural, definiendo una gobernanza clara y medible.
La ISO 27001, en mi opinión, representa bien este tipo de necesidad: desde los primeros pasos y los primeros controles se nota que no es solo una cuestión técnica, sino que afecta a toda la empresa.
Es necesario involucrar a los departamentos de Recursos Humanos, Finanzas, Legal, figuras que a menudo no habían sido incluidas antes en los procesos de seguridad de la información.
He visto empresas donde el departamento de Recursos Humanos, hasta el día anterior, nunca había sido involucrado en la seguridad, mientras que el TI siempre había trabajado por su cuenta.
No es una culpa, simplemente faltaba una guía de gobernanza y una hoja de ruta clara.
Cuando esta se define, los procesos empiezan a funcionar mejor: todos trabajan en la misma dirección, pero sin la fragmentación y desorganización típicas de quienes operan en compartimentos estancos.
¿Por qué decidiste participar en nuestro webinar sobre NIS2: qué te gustó de esta idea?
En general, siempre soy muy positivo y proactivo cuando hay una oportunidad de hablar a un público que quiere entender mejor cómo funciona el mundo de la seguridad informática y, más en general, de la seguridad de la información.
Mi principal motivación es compartir experiencias concretas que puedan ayudar a quienes se acercan a este sector a captar tanto el valor como la complejidad de nuestro trabajo.
Si no has podido participar en nuestro webinar, puedes obtener la grabación completa introduciendo tus datos en el formulario.
En esta entrevista, Rocco Sicilia — hacker ético, consultor de ciberseguridad e investigador— explica cómo se construye una postura de seguridad eficaz, capaz de unir tecnología, gobernanza y cultura empresarial. Sicilia expone cómo las empresas pueden transformar la seguridad de una obligación técnica a un valor compartido, fortaleciendo la resiliencia organizativa y la conciencia interna.
Rocco, ¿cómo se define la postura de seguridad de una empresa y de qué manera tu experiencia en seguridad ofensiva contribuye a este camino?
Para mí significa analizar críticamente cómo está estructurada la organización, empleando mi experiencia en seguridad ofensiva para observar tanto desde dentro como desde fuera sus vulnerabilidades y puntos fuertes.
El objetivo último es construir una postura de seguridad eficaz, no limitada al componente tecnológico, sino que integre la cultura empresarial, reglas y gobernanza.
Una postura sólida parte de la conciencia de que es fundamental difundir la cultura de la seguridad. Las políticas y normativas, de las cuales derivan los procedimientos operativos, deben apoyar al TI, pero también ayudar a las figuras no técnicas a comprender mejor un mundo hiper-tecnológico y complejo, que a menudo parece ajeno a sus competencias.
Según mi experiencia, una gran parte de la madurez en la seguridad empresarial nace precisamente de aquí: cuando la regulación y las políticas se convierten en herramientas culturales, capaces de hacer de la seguridad un valor compartido y no solo una obligación técnica.
¿Cómo te convertiste en un hacker 'ético', una figura positiva en este ámbito?
Este camino se ha desarrollado de forma natural como fruto del periodo histórico. Cuando inicié esta profesión, a principios de los años 2000, no existían las figuras de los penetration testers como las entendemos hoy, pocas empresas tenían necesidades estructuradas en este ámbito. No había un verdadero mercado que demandara estas figuras profesionales. En la segunda década, sin embargo, ocurrió algo a nivel mundial: el desarrollo de las criptomonedas y la elevada informatización de los procesos abrieron de hecho un nuevo negocio para la criminalidad. Una auténtica “tormenta perfecta”, en la que la tecnología se volvió omnipresente y los nuevos métodos de transferencia de moneda — como las criptomonedas — hacían mucho más difícil rastrear a los autores de las transacciones. Este contexto produjo el ambiente ideal para los criminales informáticos, pero también un fuerte estímulo para las empresas, que comenzaron a evaluar activamente su propia resiliencia y la capacidad de defenderse de ataques informáticos reales.
Como consecuencia, la figura profesional de quienes realizaban el testing de penetración se volvió mucho más demandada, y nacieron muchas figuras más verticales y especializadas en diferentes ámbitos: hay quienes operan solo en el testing de aplicaciones web, quienes en el mundo físico, quienes en la verificación de infraestructuras complejas.
Con el tiempo también se introdujeron temas más transversales como las actividades de red teaming, es decir, sesiones de prueba que simulan un ataque real, reproduciendo comportamientos, estrategias y objetivos de un verdadero “actor malicioso” — para poner a prueba no solo la tecnología, sino también los procesos y las competencias del personal de la organización.
Un ejemplo concreto es el framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introducido por el Banco Central Europeo entre 2018 y 2019.
Un modelo que requiere que los bancos ejecuten simulaciones de ataque realistas (Threat-Led Penetration Test) para evaluar la postura general de seguridad.
Esta formalización ha impulsado a la industria financiera — y, como efecto dominó, a muchas otras — a construir frameworks de testing estructurados, contribuyendo a que la profesión del red teamer sea cada vez más demandada, estructurada y necesaria.
La manera en que ha evolucionado el sector refleja al menos en parte mis aspiraciones y he continuado en este camino.
Perfecto, ¿se asustan las empresas cuando dices que eres un “buen hacker”? ¿Cómo lo toman?
Puesto que uso terminologías menos evocadoras, depende mucho del nivel de madurez de la empresa.
Algunas, más que estar asustadas, tienen cierta dificultad para entender realmente cuál es nuestro rol.
El primer acercamiento a los tests de seguridad, de hecho, no es tan obvio: incluso si estos frameworks existen desde hace años, no todas las empresas los han adoptado de manera estructurada.
Yo, personalmente, trabajo sobre todo con organizaciones bastante grandes y organizadas, más acostumbradas a este tipo de actividades.
En estos contextos no veo miedo hacia la figura del red teamer o del hacker ético, sino más preocupación por los resultados. Por lo general, nos llaman después de que la empresa ya ha trabajado en su seguridad — puede ser que haya obtenido una certificación, como la ISO 27001 — y quiere entender si lo que ha ejecutado “sobre el papel” funciona realmente en la práctica.
El test de seguridad, al fin y al cabo, es un poco la prueba de fuego: sirve para ver si las medidas implementadas resisten un ataque simulado.
No es raro que surjan cosas que mejorar, pero es absolutamente normal.
No existen empresas invulnerables: el punto no es no encontrar problemas, sino identificar de manera dirigida las lagunas que pueden convertirse en vulnerabilidades reales.
Al final, el test sirve justamente para esto: transformar las críticas en oportunidades para crecer y reforzarse.
¿De qué manera los estándares como la ISO 27001 pueden contribuir a hacer una organización más resiliente, tanto en fortalecer las defensas preventivas como en gestionar situaciones de crisis como incidentes de seguridad o brechas de datos?
Te doy una respuesta muy operativa, desde mi punto de vista ofensivo.
Cuando trabajo en el campo, una de las grandes ventajas de los procesos de certificación es desarrollar una postura coherente tanto desde el punto de vista técnico como desde el organizativo. Las certificaciones ayudan a crear buenas prácticas, una comunicación interna clara y una gobernanza definida.
A menudo, de hecho, noto un fuerte desajuste entre lo que el mundo TI pone en práctica y lo que se define a nivel de gobernanza y control.
Muchas prácticas se implementan sin un control efectivo que realmente mida su eficacia: se hacen porque “es lo correcto hacerlas”, pero no hay un mecanismo de verificación que diga si funcionan o traen beneficios.
El gran valor de adoptar un framework como la ISO 27001 es precisamente poner orden donde el TI por sí solo no puede llegar debido a tener un límite estructural, definiendo una gobernanza clara y medible.
La ISO 27001, en mi opinión, representa bien este tipo de necesidad: desde los primeros pasos y los primeros controles se nota que no es solo una cuestión técnica, sino que afecta a toda la empresa.
Es necesario involucrar a los departamentos de Recursos Humanos, Finanzas, Legal, figuras que a menudo no habían sido incluidas antes en los procesos de seguridad de la información.
He visto empresas donde el departamento de Recursos Humanos, hasta el día anterior, nunca había sido involucrado en la seguridad, mientras que el TI siempre había trabajado por su cuenta.
No es una culpa, simplemente faltaba una guía de gobernanza y una hoja de ruta clara.
Cuando esta se define, los procesos empiezan a funcionar mejor: todos trabajan en la misma dirección, pero sin la fragmentación y desorganización típicas de quienes operan en compartimentos estancos.
¿Por qué decidiste participar en nuestro webinar sobre NIS2: qué te gustó de esta idea?
En general, siempre soy muy positivo y proactivo cuando hay una oportunidad de hablar a un público que quiere entender mejor cómo funciona el mundo de la seguridad informática y, más en general, de la seguridad de la información.
Mi principal motivación es compartir experiencias concretas que puedan ayudar a quienes se acercan a este sector a captar tanto el valor como la complejidad de nuestro trabajo.
Si no has podido participar en nuestro webinar, puedes obtener la grabación completa introduciendo tus datos en el formulario.
En esta entrevista, Rocco Sicilia — hacker ético, consultor de ciberseguridad e investigador— explica cómo se construye una postura de seguridad eficaz, capaz de unir tecnología, gobernanza y cultura empresarial. Sicilia expone cómo las empresas pueden transformar la seguridad de una obligación técnica a un valor compartido, fortaleciendo la resiliencia organizativa y la conciencia interna.
Rocco, ¿cómo se define la postura de seguridad de una empresa y de qué manera tu experiencia en seguridad ofensiva contribuye a este camino?
Para mí significa analizar críticamente cómo está estructurada la organización, empleando mi experiencia en seguridad ofensiva para observar tanto desde dentro como desde fuera sus vulnerabilidades y puntos fuertes.
El objetivo último es construir una postura de seguridad eficaz, no limitada al componente tecnológico, sino que integre la cultura empresarial, reglas y gobernanza.
Una postura sólida parte de la conciencia de que es fundamental difundir la cultura de la seguridad. Las políticas y normativas, de las cuales derivan los procedimientos operativos, deben apoyar al TI, pero también ayudar a las figuras no técnicas a comprender mejor un mundo hiper-tecnológico y complejo, que a menudo parece ajeno a sus competencias.
Según mi experiencia, una gran parte de la madurez en la seguridad empresarial nace precisamente de aquí: cuando la regulación y las políticas se convierten en herramientas culturales, capaces de hacer de la seguridad un valor compartido y no solo una obligación técnica.
¿Cómo te convertiste en un hacker 'ético', una figura positiva en este ámbito?
Este camino se ha desarrollado de forma natural como fruto del periodo histórico. Cuando inicié esta profesión, a principios de los años 2000, no existían las figuras de los penetration testers como las entendemos hoy, pocas empresas tenían necesidades estructuradas en este ámbito. No había un verdadero mercado que demandara estas figuras profesionales. En la segunda década, sin embargo, ocurrió algo a nivel mundial: el desarrollo de las criptomonedas y la elevada informatización de los procesos abrieron de hecho un nuevo negocio para la criminalidad. Una auténtica “tormenta perfecta”, en la que la tecnología se volvió omnipresente y los nuevos métodos de transferencia de moneda — como las criptomonedas — hacían mucho más difícil rastrear a los autores de las transacciones. Este contexto produjo el ambiente ideal para los criminales informáticos, pero también un fuerte estímulo para las empresas, que comenzaron a evaluar activamente su propia resiliencia y la capacidad de defenderse de ataques informáticos reales.
Como consecuencia, la figura profesional de quienes realizaban el testing de penetración se volvió mucho más demandada, y nacieron muchas figuras más verticales y especializadas en diferentes ámbitos: hay quienes operan solo en el testing de aplicaciones web, quienes en el mundo físico, quienes en la verificación de infraestructuras complejas.
Con el tiempo también se introdujeron temas más transversales como las actividades de red teaming, es decir, sesiones de prueba que simulan un ataque real, reproduciendo comportamientos, estrategias y objetivos de un verdadero “actor malicioso” — para poner a prueba no solo la tecnología, sino también los procesos y las competencias del personal de la organización.
Un ejemplo concreto es el framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introducido por el Banco Central Europeo entre 2018 y 2019.
Un modelo que requiere que los bancos ejecuten simulaciones de ataque realistas (Threat-Led Penetration Test) para evaluar la postura general de seguridad.
Esta formalización ha impulsado a la industria financiera — y, como efecto dominó, a muchas otras — a construir frameworks de testing estructurados, contribuyendo a que la profesión del red teamer sea cada vez más demandada, estructurada y necesaria.
La manera en que ha evolucionado el sector refleja al menos en parte mis aspiraciones y he continuado en este camino.
Perfecto, ¿se asustan las empresas cuando dices que eres un “buen hacker”? ¿Cómo lo toman?
Puesto que uso terminologías menos evocadoras, depende mucho del nivel de madurez de la empresa.
Algunas, más que estar asustadas, tienen cierta dificultad para entender realmente cuál es nuestro rol.
El primer acercamiento a los tests de seguridad, de hecho, no es tan obvio: incluso si estos frameworks existen desde hace años, no todas las empresas los han adoptado de manera estructurada.
Yo, personalmente, trabajo sobre todo con organizaciones bastante grandes y organizadas, más acostumbradas a este tipo de actividades.
En estos contextos no veo miedo hacia la figura del red teamer o del hacker ético, sino más preocupación por los resultados. Por lo general, nos llaman después de que la empresa ya ha trabajado en su seguridad — puede ser que haya obtenido una certificación, como la ISO 27001 — y quiere entender si lo que ha ejecutado “sobre el papel” funciona realmente en la práctica.
El test de seguridad, al fin y al cabo, es un poco la prueba de fuego: sirve para ver si las medidas implementadas resisten un ataque simulado.
No es raro que surjan cosas que mejorar, pero es absolutamente normal.
No existen empresas invulnerables: el punto no es no encontrar problemas, sino identificar de manera dirigida las lagunas que pueden convertirse en vulnerabilidades reales.
Al final, el test sirve justamente para esto: transformar las críticas en oportunidades para crecer y reforzarse.
¿De qué manera los estándares como la ISO 27001 pueden contribuir a hacer una organización más resiliente, tanto en fortalecer las defensas preventivas como en gestionar situaciones de crisis como incidentes de seguridad o brechas de datos?
Te doy una respuesta muy operativa, desde mi punto de vista ofensivo.
Cuando trabajo en el campo, una de las grandes ventajas de los procesos de certificación es desarrollar una postura coherente tanto desde el punto de vista técnico como desde el organizativo. Las certificaciones ayudan a crear buenas prácticas, una comunicación interna clara y una gobernanza definida.
A menudo, de hecho, noto un fuerte desajuste entre lo que el mundo TI pone en práctica y lo que se define a nivel de gobernanza y control.
Muchas prácticas se implementan sin un control efectivo que realmente mida su eficacia: se hacen porque “es lo correcto hacerlas”, pero no hay un mecanismo de verificación que diga si funcionan o traen beneficios.
El gran valor de adoptar un framework como la ISO 27001 es precisamente poner orden donde el TI por sí solo no puede llegar debido a tener un límite estructural, definiendo una gobernanza clara y medible.
La ISO 27001, en mi opinión, representa bien este tipo de necesidad: desde los primeros pasos y los primeros controles se nota que no es solo una cuestión técnica, sino que afecta a toda la empresa.
Es necesario involucrar a los departamentos de Recursos Humanos, Finanzas, Legal, figuras que a menudo no habían sido incluidas antes en los procesos de seguridad de la información.
He visto empresas donde el departamento de Recursos Humanos, hasta el día anterior, nunca había sido involucrado en la seguridad, mientras que el TI siempre había trabajado por su cuenta.
No es una culpa, simplemente faltaba una guía de gobernanza y una hoja de ruta clara.
Cuando esta se define, los procesos empiezan a funcionar mejor: todos trabajan en la misma dirección, pero sin la fragmentación y desorganización típicas de quienes operan en compartimentos estancos.
¿Por qué decidiste participar en nuestro webinar sobre NIS2: qué te gustó de esta idea?
En general, siempre soy muy positivo y proactivo cuando hay una oportunidad de hablar a un público que quiere entender mejor cómo funciona el mundo de la seguridad informática y, más en general, de la seguridad de la información.
Mi principal motivación es compartir experiencias concretas que puedan ayudar a quienes se acercan a este sector a captar tanto el valor como la complejidad de nuestro trabajo.
Si no has podido participar en nuestro webinar, puedes obtener la grabación completa introduciendo tus datos en el formulario.
En esta entrevista, Rocco Sicilia — hacker ético, consultor de ciberseguridad e investigador— explica cómo se construye una postura de seguridad eficaz, capaz de unir tecnología, gobernanza y cultura empresarial. Sicilia expone cómo las empresas pueden transformar la seguridad de una obligación técnica a un valor compartido, fortaleciendo la resiliencia organizativa y la conciencia interna.
Rocco, ¿cómo se define la postura de seguridad de una empresa y de qué manera tu experiencia en seguridad ofensiva contribuye a este camino?
Para mí significa analizar críticamente cómo está estructurada la organización, empleando mi experiencia en seguridad ofensiva para observar tanto desde dentro como desde fuera sus vulnerabilidades y puntos fuertes.
El objetivo último es construir una postura de seguridad eficaz, no limitada al componente tecnológico, sino que integre la cultura empresarial, reglas y gobernanza.
Una postura sólida parte de la conciencia de que es fundamental difundir la cultura de la seguridad. Las políticas y normativas, de las cuales derivan los procedimientos operativos, deben apoyar al TI, pero también ayudar a las figuras no técnicas a comprender mejor un mundo hiper-tecnológico y complejo, que a menudo parece ajeno a sus competencias.
Según mi experiencia, una gran parte de la madurez en la seguridad empresarial nace precisamente de aquí: cuando la regulación y las políticas se convierten en herramientas culturales, capaces de hacer de la seguridad un valor compartido y no solo una obligación técnica.
¿Cómo te convertiste en un hacker 'ético', una figura positiva en este ámbito?
Este camino se ha desarrollado de forma natural como fruto del periodo histórico. Cuando inicié esta profesión, a principios de los años 2000, no existían las figuras de los penetration testers como las entendemos hoy, pocas empresas tenían necesidades estructuradas en este ámbito. No había un verdadero mercado que demandara estas figuras profesionales. En la segunda década, sin embargo, ocurrió algo a nivel mundial: el desarrollo de las criptomonedas y la elevada informatización de los procesos abrieron de hecho un nuevo negocio para la criminalidad. Una auténtica “tormenta perfecta”, en la que la tecnología se volvió omnipresente y los nuevos métodos de transferencia de moneda — como las criptomonedas — hacían mucho más difícil rastrear a los autores de las transacciones. Este contexto produjo el ambiente ideal para los criminales informáticos, pero también un fuerte estímulo para las empresas, que comenzaron a evaluar activamente su propia resiliencia y la capacidad de defenderse de ataques informáticos reales.
Como consecuencia, la figura profesional de quienes realizaban el testing de penetración se volvió mucho más demandada, y nacieron muchas figuras más verticales y especializadas en diferentes ámbitos: hay quienes operan solo en el testing de aplicaciones web, quienes en el mundo físico, quienes en la verificación de infraestructuras complejas.
Con el tiempo también se introdujeron temas más transversales como las actividades de red teaming, es decir, sesiones de prueba que simulan un ataque real, reproduciendo comportamientos, estrategias y objetivos de un verdadero “actor malicioso” — para poner a prueba no solo la tecnología, sino también los procesos y las competencias del personal de la organización.
Un ejemplo concreto es el framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introducido por el Banco Central Europeo entre 2018 y 2019.
Un modelo que requiere que los bancos ejecuten simulaciones de ataque realistas (Threat-Led Penetration Test) para evaluar la postura general de seguridad.
Esta formalización ha impulsado a la industria financiera — y, como efecto dominó, a muchas otras — a construir frameworks de testing estructurados, contribuyendo a que la profesión del red teamer sea cada vez más demandada, estructurada y necesaria.
La manera en que ha evolucionado el sector refleja al menos en parte mis aspiraciones y he continuado en este camino.
Perfecto, ¿se asustan las empresas cuando dices que eres un “buen hacker”? ¿Cómo lo toman?
Puesto que uso terminologías menos evocadoras, depende mucho del nivel de madurez de la empresa.
Algunas, más que estar asustadas, tienen cierta dificultad para entender realmente cuál es nuestro rol.
El primer acercamiento a los tests de seguridad, de hecho, no es tan obvio: incluso si estos frameworks existen desde hace años, no todas las empresas los han adoptado de manera estructurada.
Yo, personalmente, trabajo sobre todo con organizaciones bastante grandes y organizadas, más acostumbradas a este tipo de actividades.
En estos contextos no veo miedo hacia la figura del red teamer o del hacker ético, sino más preocupación por los resultados. Por lo general, nos llaman después de que la empresa ya ha trabajado en su seguridad — puede ser que haya obtenido una certificación, como la ISO 27001 — y quiere entender si lo que ha ejecutado “sobre el papel” funciona realmente en la práctica.
El test de seguridad, al fin y al cabo, es un poco la prueba de fuego: sirve para ver si las medidas implementadas resisten un ataque simulado.
No es raro que surjan cosas que mejorar, pero es absolutamente normal.
No existen empresas invulnerables: el punto no es no encontrar problemas, sino identificar de manera dirigida las lagunas que pueden convertirse en vulnerabilidades reales.
Al final, el test sirve justamente para esto: transformar las críticas en oportunidades para crecer y reforzarse.
¿De qué manera los estándares como la ISO 27001 pueden contribuir a hacer una organización más resiliente, tanto en fortalecer las defensas preventivas como en gestionar situaciones de crisis como incidentes de seguridad o brechas de datos?
Te doy una respuesta muy operativa, desde mi punto de vista ofensivo.
Cuando trabajo en el campo, una de las grandes ventajas de los procesos de certificación es desarrollar una postura coherente tanto desde el punto de vista técnico como desde el organizativo. Las certificaciones ayudan a crear buenas prácticas, una comunicación interna clara y una gobernanza definida.
A menudo, de hecho, noto un fuerte desajuste entre lo que el mundo TI pone en práctica y lo que se define a nivel de gobernanza y control.
Muchas prácticas se implementan sin un control efectivo que realmente mida su eficacia: se hacen porque “es lo correcto hacerlas”, pero no hay un mecanismo de verificación que diga si funcionan o traen beneficios.
El gran valor de adoptar un framework como la ISO 27001 es precisamente poner orden donde el TI por sí solo no puede llegar debido a tener un límite estructural, definiendo una gobernanza clara y medible.
La ISO 27001, en mi opinión, representa bien este tipo de necesidad: desde los primeros pasos y los primeros controles se nota que no es solo una cuestión técnica, sino que afecta a toda la empresa.
Es necesario involucrar a los departamentos de Recursos Humanos, Finanzas, Legal, figuras que a menudo no habían sido incluidas antes en los procesos de seguridad de la información.
He visto empresas donde el departamento de Recursos Humanos, hasta el día anterior, nunca había sido involucrado en la seguridad, mientras que el TI siempre había trabajado por su cuenta.
No es una culpa, simplemente faltaba una guía de gobernanza y una hoja de ruta clara.
Cuando esta se define, los procesos empiezan a funcionar mejor: todos trabajan en la misma dirección, pero sin la fragmentación y desorganización típicas de quienes operan en compartimentos estancos.
¿Por qué decidiste participar en nuestro webinar sobre NIS2: qué te gustó de esta idea?
En general, siempre soy muy positivo y proactivo cuando hay una oportunidad de hablar a un público que quiere entender mejor cómo funciona el mundo de la seguridad informática y, más en general, de la seguridad de la información.
Mi principal motivación es compartir experiencias concretas que puedan ayudar a quienes se acercan a este sector a captar tanto el valor como la complejidad de nuestro trabajo.
Si no has podido participar en nuestro webinar, puedes obtener la grabación completa introduciendo tus datos en el formulario.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.