Los tecnológicos pagan por protección virtual – Milenio

A finales de 2019, Dawn Isabel estaba a la caza de fallas y vulnerabilidades en una aplicación móvil en particular. Participaba en el programa de “bug bounty” (recompensa por errores), la fase de desarrollo en la que una compañía contrata a hackers para que encuentren debilidades en sus sistemas, del creador de la aplicación.
“En la televisión, parece emocionante, con mucho texto verde brillante y seis pantallas”, dice Dawn Isabel, sobre la forma en que a veces se presenta este trabajo. “En realidad, me la paso encorvada frente a mi laptop durante varias horas seguidas, desplazándome por la pantalla”.
Pero, finalmente, Isabel —que también trabaja de tiempo completo como directora de investigación en la compañía de seguridad móvil NowSecure— “se sacó la lotería”. Descubrió una vulnerabilidad terrible de seguridad en la aplicación y poco tiempo después cobró una jugosa suma de cinco cifras como recompensa por esta actividad.
Este trabajo de los llamados hackers éticos es el que ayuda a proteger a las empresas —desde los gigantes de la tecnología, como Google, Microsoft y Facebook, hasta las startups— contra los actores digitales perversos. Esta actividad resultó ser cada vez más lucrativo para quienes se dedican a esta tarea virtual.
Estas suelen oscilar entre los miles y los cientos de miles de dólares. “No solamente hay más compañías que aplican programas de recompensas por errores en seguridad, sino que el alcance parece que cada vez es más amplio”, agrega Tanner Emek.
Según Bill Conner, director ejecutivo del grupo de seguridad cibernética SonicWall, el hackeo ético, que existe desde la década de 1970, está evolucionando.
Anteriormente se enfocaba en un “objetivo único”. Por ejemplo, podría ser una prueba de penetración —un ataque cibernético simulado a un sistema informático para exponer las fallas— o la búsqueda de vulnerabilidades en los productos. “Pero ahora también se pasó de hacer pruebas a la red de tu empresa a la red interna en busca de vulnerabilidades”, añade Conner. “Pasó a pruebas de phishing y de correo electrónico. Se ha ido a pruebas en la nube. Se ha convertido en un negocio plenamente desarrollado”, dice.


Esta evolución se produce mientras los delitos cibernéticos siguieron creciendo rápidamente durante el cambio al trabajo a distancia. En particular, los ataques de ransomware —en los que los piratas cibernéticos bloquean los datos o los sistemas informáticos hasta que se les paga— se han convertido en uno de los mayores dolores de cabeza de la ciberseguridad para los sectores público y privado en los últimos dos años.

Los sectores de tecnología de la información y de la cadena de suministro han sido objeto de ataques, así como las infraestructuras críticas, como el oleoducto Colonial, que fue atacado el año pasado cuando se interrumpió el suministro de combustible en Estados Unidos durante varios días. Las aplicaciones conectadas al “internet de las cosas” también han demostrado ser vulnerables.
Los ciberataques de los estados nación también continúan con buen ritmo, con un aumento de incidentes especialmente en el conflicto entre Rusia y Ucrania.
Marten Mickos, director ejecutivo de HackerOne —que pone en contacto a empresas con potenciales hackers éticos— afirma que su empresa cuenta con 1.5 millones de hackers inscritos en su plataforma.
Considera que HackerOne, una de las plataformas de bug bounty más grandes junto con el grupo de ciberseguridad Bugcrowd, es un “mensajero de confianza”, que examina y luego avala las habilidades y la reputación de los hackers que se inscriben.
Mickos cree que el sector se vuelve cada vez “más profesional”. La formación y las certificaciones de hacking ético están surgiendo como características de este, y los gobiernos también fomentan los programas.
Además de los hackers éticos individuales que se inscriben en las plataformas, también hay equipos dentro de las organizaciones de seguridad cibernética que realizan un trabajo similar en nombre de los clientes.
Charles Henderson, director global de la unidad de hackeo X-Force Red de IBM, afirma que su equipo registró un aumento de 33% en el número de ataques a la red causados por la explotación de vulnerabilidades en 2021, en comparación con el año anterior.
Este es un arte diferente. Los piratas virtuales pueden lanzar ataques rápidamente, pero una vez que están dentro de una red, se mueven lenta y deliberadamente para evitar ser detectados. “Cuando están dentro, ¿vas a saber que están ahí?” dice Henderson.
Para dificultar que los adversarios se muevan dentro de los sistemas, es necesario contar con herramientas de autentificación sólidas que garanticen que los empleados son quienes dicen ser, y que no se les da acceso ilimitado a sistemas y datos que no necesitan. Esto es particularmente importante, ya que algunas empresas permiten el acceso a sus sistemas a terceros en sus extensas cadenas de suministro.
Pero la ofensiva de la ciberseguridad tiene límites y zonas grises, advierte Maya Horowitz, directora de investigación de Check Point, un proveedor de seguridad. Algunos abogan por “hackear a los hackers” —también conocido como hacking back— pero esto va en contra de la ley en la mayoría de los países.
También es posible que los hackers éticos filtren información sobre las vulnerabilidades a la prensa o a otros hackers, antes de que una empresa tenga tiempo de solucionarlas. El riesgo de que estas personas se sientan atraídas por una actividad delictiva lucrativa sigue siendo real.
“Las herramientas de hackeo se venden en la web oscura”, señala Horowitz, lo que, para los piratas informáticos, puede permitir actividades “más rentables que los programas de recompensas por error de seguridad”.
Firma FT


GAF


Derechos reservados
© Grupo Milenio 2022
Newsletters
Cupones
Contáctanos
Suscripciones
Anúnciate
Directorio
Privacidad
Aviso Legal

source