A finales de 2019, Dawn Isabel estaba a la caza de fallas y vulnerabilidades en una aplicación móvil en particular. Participaba en el programa de “bug bounty” (recompensa por errores), la fase de desarrollo en la que una compañía contrata a hackers para que encuentren debilidades en sus sistemas, del creador de la aplicación.
“En la televisión, parece emocionante, con mucho texto verde brillante y seis pantallas”, dice Dawn Isabel, sobre la forma en que a veces se presenta este trabajo. “En realidad, me la paso encorvada frente a mi laptop durante varias horas seguidas, desplazándome por la pantalla”.
Pero, finalmente, Isabel —que también trabaja de tiempo completo como directora de investigación en la compañía de seguridad móvil NowSecure— “se sacó la lotería”. Descubrió una vulnerabilidad terrible de seguridad en la aplicación y poco tiempo después cobró una jugosa suma de cinco cifras como recompensa por esta actividad.
Este trabajo de los llamados hackers éticos es el que ayuda a proteger a las empresas —desde los gigantes de la tecnología, como Google, Microsoft y Facebook, hasta las startups— contra los actores digitales perversos. Esta actividad resultó ser cada vez más lucrativo para quienes se dedican a esta tarea virtual.
“Las compañías se han ido abriendo cada vez más”, afirma Tanner Emek, un hacker ético de 32 años. En los últimos cuatro años, calcula que ganó 1 millón de dólares en bug bounties (recompensas al encontrar fallas críticas de seguridad en las empresas).
Estas suelen oscilar entre los miles y los cientos de miles de dólares. “No solamente hay más compañías que aplican programas de recompensas por errores en seguridad, sino que el alcance parece que cada vez es más amplio”, agrega Tanner Emek.
Según Bill Conner, director ejecutivo del grupo de seguridad cibernética SonicWall, el hackeo ético, que existe desde la década de 1970, está evolucionando.
Anteriormente se enfocaba en un “objetivo único”. Por ejemplo, podría ser una prueba de penetración —un ataque cibernético simulado a un sistema informático para exponer las fallas— o la búsqueda de vulnerabilidades en los productos. “Pero ahora también se pasó de hacer pruebas a la red de tu empresa a la red interna en busca de vulnerabilidades”, añade Conner. “Pasó a pruebas de phishing y de correo electrónico. Se ha ido a pruebas en la nube. Se ha convertido en un negocio plenamente desarrollado”, dice.
- Te recomendamos Realizan amplio ciberataque contra sitios del gobierno de Israel Medio Oriente
Esta evolución se produce mientras los delitos cibernéticos siguieron creciendo rápidamente durante el cambio al trabajo a distancia. En particular, los ataques de ransomware —en los que los piratas cibernéticos bloquean los datos o los sistemas informáticos hasta que se les paga— se han convertido en uno de los mayores dolores de cabeza de la ciberseguridad para los sectores público y privado en los últimos dos años.
Los sectores de tecnología de la información y de la cadena de suministro han sido objeto de ataques, así como las infraestructuras críticas, como el oleoducto Colonial, que fue atacado el año pasado cuando se interrumpió el suministro de combustible en Estados Unidos durante varios días. Las aplicaciones conectadas al “internet de las cosas” también han demostrado ser vulnerables.
Los ciberataques de los estados nación también continúan con buen ritmo, con un aumento de incidentes especialmente en el conflicto entre Rusia y Ucrania.
Marten Mickos, director ejecutivo de HackerOne —que pone en contacto a empresas con potenciales hackers éticos— afirma que su empresa cuenta con 1.5 millones de hackers inscritos en su plataforma.
“Hay muchos jóvenes que están cada vez más desilusionados con este mundo”, explica Mickos, “y toda su juventud han sido gamers”. Resulta que “son los mejores expertos”, dice.
Considera que HackerOne, una de las plataformas de bug bounty más grandes junto con el grupo de ciberseguridad Bugcrowd, es un “mensajero de confianza”, que examina y luego avala las habilidades y la reputación de los hackers que se inscriben.
Mickos cree que el sector se vuelve cada vez “más profesional”. La formación y las certificaciones de hacking ético están surgiendo como características de este, y los gobiernos también fomentan los programas.
Además de los hackers éticos individuales que se inscriben en las plataformas, también hay equipos dentro de las organizaciones de seguridad cibernética que realizan un trabajo similar en nombre de los clientes.
Charles Henderson, director global de la unidad de hackeo X-Force Red de IBM, afirma que su equipo registró un aumento de 33% en el número de ataques a la red causados por la explotación de vulnerabilidades en 2021, en comparación con el año anterior.
Sin embargo, argumenta que “el objetivo no debe ser solo mantener fuera a los atacantes sino probar que se puede detectar a los hackers una vez que están dentro”.
Este es un arte diferente. Los piratas virtuales pueden lanzar ataques rápidamente, pero una vez que están dentro de una red, se mueven lenta y deliberadamente para evitar ser detectados. “Cuando están dentro, ¿vas a saber que están ahí?” dice Henderson.
Para dificultar que los adversarios se muevan dentro de los sistemas, es necesario contar con herramientas de autentificación sólidas que garanticen que los empleados son quienes dicen ser, y que no se les da acceso ilimitado a sistemas y datos que no necesitan. Esto es particularmente importante, ya que algunas empresas permiten el acceso a sus sistemas a terceros en sus extensas cadenas de suministro.
“Los agentes de amenazas de ransomware se fijan en la superficie de ataque y en lo bien que se ocultan las cosas detrás de las murallas chinas”, afirma Ondrej Krehel, jefe de análisis forense digital y respuesta a incidentes de la plataforma de monitoreo de ciberseguridad SecurityScorecard. “Y también estudiarán cómo funcionarán la autentificación y la autorización”, dice.
Pero la ofensiva de la ciberseguridad tiene límites y zonas grises, advierte Maya Horowitz, directora de investigación de Check Point, un proveedor de seguridad. Algunos abogan por “hackear a los hackers” —también conocido como hacking back— pero esto va en contra de la ley en la mayoría de los países.
También es posible que los hackers éticos filtren información sobre las vulnerabilidades a la prensa o a otros hackers, antes de que una empresa tenga tiempo de solucionarlas. El riesgo de que estas personas se sientan atraídas por una actividad delictiva lucrativa sigue siendo real.
“Las herramientas de hackeo se venden en la web oscura”, señala Horowitz, lo que, para los piratas informáticos, puede permitir actividades “más rentables que los programas de recompensas por error de seguridad”.
GAF