toggle menu
F5 Latinoamérica
Tecnología

Permiso para entrometerse: contratar hackers para reforzar las ciberdefensas

  • Por qué contratar hackers éticos y dónde encontrarlos

Por Tristan Liverpool, Director de Ingeniería de Sistemas de F5 Networks

No es ninguna novedad que las brechas de datos y los ciberataques van en aumento, y que los hackeos son cada vez más sofisticados. Las empresas están luchando para mantenerse al día con las motivaciones, tácticas y apetitos de destrucción de los ciberdelincuentes, los que cambian rápidamente.

El problema se agrava aún más con las tecnologías emergentes como el Internet de las Cosas (IoT por sus siglas en inglés), que proporcionan a los hackers nuevos mecanismos y medios de ataque. Las organizaciones también están migrando datos a la nube con frecuencia, moviendo grandes volúmenes de datos de trabajo y aplicaciones en diversas configuraciones de implementación. Con ello, dejan atrás una gran cantidad de datos desprotegidos para que los hackers los exploten. Entonces, ¿qué medidas pueden tomar las empresas para evitar interrupciones? 

Percepción del enemigo

Tanto para entender como para mantenerse al día con la evolución de la mentalidad de los cibercriminales, muchas empresas están peleando fuego con fuego. En otras palabras, contratando a hackers para que les ayuden. De hecho, grandes empresas como Airbnb, PayPal y Spotify recientemente revelaron que han gastado voluntariamente más de 38 millones de libras en hackers éticos para reforzar sus defensas cibernéticas y evitar la violación de datos.

Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar todos y cada uno de los posibles vectores de ataque al proteger las aplicaciones. Aunque los arquitectos de seguridad tienen una gran cantidad de conocimientos sobre las mejores prácticas del sector, a menudo carecen de experiencia de primera mano sobre cómo los atacantes realizan reconocimientos, encadenan múltiples ataques o acceden a las redes corporativas.

Equipado con – se espera – todas las habilidades y astucia de sus adversarios, el hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas mediante la reparación de las vulnerabilidades encontradas durante las pruebas. También están obligados a revelar todas las vulnerabilidades descubiertas. Si bien puede sonar contraintuitivo hacer uso de los hackers para ayudar a planificar y probar nuestras defensas cibernéticas, lo que sí tienen en abundancia es experiencia práctica y valiosa.

Según el Informe Hacker de 2019, la comunidad de hackers de sombrero blanco (como se denomina a los hackers éticos) se ha duplicado año tras año. En 2018, se repartieron 19 millones de dólares en recompensas, casi igualando el total pagado a los hackers en los seis años anteriores juntos. El informe también estima que los hackers éticos que ganan más dinero pueden ganar hasta cuarenta veces el salario medio anual de un ingeniero de software en su país de origen.

Dónde encontrar a los hackers éticos

El método más común es un esquema de «recompensa por error» que opera bajo términos y condiciones estrictos. De esta manera, cualquier miembro del público puede buscar y enviar vulnerabilidades descubiertas para tener la oportunidad de ganar una recompensa. Puede funcionar bien para servicios disponibles al público, como sitios web o aplicaciones móviles. Las recompensas dependen del nivel de riesgo percibido una vez que la organización afectada confirma la validez de su descubrimiento.

El uso de subcontratación masiva y el pago de incentivos tiene beneficios obvios. Los hackers obtienen prestigio reputacional y/o moneda fuerte para mostrar y probar sus habilidades en un foro muy público. A cambio, la organización de contratación adquiere nuevas dimensiones de inteligencia y perspectivas de seguridad.

Algunas empresas optan por contratar directamente a hackers. Aquí, la experiencia práctica es clave. Si bien puede parecer contraintuitivo hacer uso de hackers externos -algunos de los cuales tienen un historial de actividad delictiva- lo único que tienen en abundancia es experiencia práctica. Al final del día, un hacker es un hacker. La única diferencia es lo que hacen una vez que se encuentra un error o una vulnerabilidad.

Por último, emplear a un ex cibercriminal es una decisión arriesgada que debe tomarse caso por caso. También vale la pena señalar que la verificación de antecedentes penales sólo ayuda a identificar a los delincuentes anteriores, ya que carecen de contexto sobre cómo ha cambiado una persona. Por ejemplo, es poco probable que alguien acusado de un ataque de denegación de servicio a una edad temprana se haya convertido en un criminal internacional de carrera. De hecho, algunos jóvenes delincuentes se convierten a menudo en consultores de seguridad muy respetados y en líderes de opinión de la industria.

Otro terreno para encontrar hackers podría estar más cerca de lo que se piensas. Los mejores practicantes son curiosos, con una fuerte pasión por la deconstrucción y el reensamblaje. Las empresas necesitan mejorar en el aprovechamiento de las habilidades de quienes construyen sus aplicaciones, código e infraestructura de red. Es posible que ya conozcan las vulnerabilidades, pero aún no las han denunciado, ya que no forman parte de la descripción de su puesto de trabajo.

Esto es un desperdicio. Los responsables de la toma de decisiones necesitan toda la información y ayuda que puedan obtener, y hay más de lo que usted cree. A lo largo de los años, he conocido a mucha gente en talleres de seguridad o en los eventos para hackers de captura la bandera que han construido productos, pero que afirman que disfrutan aún más la piratería de recopilación de inteligencia y mejora de la información.

Mantén a tus amigos cerca…

Aunque parece perverso contratar a hackers y ex criminales, está claro que pueden aportar un conocimiento inestimable del mundo real a una serie de actividades de seguridad, incluyendo el modelado de amenazas y las pruebas de penetración.

Pueden ofrecer una perspectiva que otros no han considerado y pueden mostrar a las empresas cómo adaptarse a las amenazas, dándoles una idea de sus tácticas y motivaciones.

Con más empresas que adoptan este enfoque de ciberseguridad, es importante vigilar de cerca su actividad para asegurarse de que estos hackers no estén volviendo a sus viejas formas maliciosas y poniendo su negocio en serio riesgo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *