Hackers éticos: las ciberdefensas se ponen a prueba

Hackers éticos: las ciberdefensas se ponen a prueba

junio 27, 2019 0 By redaccion

Por Tristan Liverpool, Director de Ingeniería de Sistemas de F5 Networks 

 

No es ninguna novedad que las brechas de datos y los ciberataques van en aumento, y que los hackeos son cada vez más sofisticados. Las empresas están luchando para mantenerse al día con las motivaciones, tácticas y apetitos de destrucción de los ciberdelincuentes, los que cambian rápidamente. 

 

El problema se agrava aún más con las tecnologías emergentes como el Internet de las Cosas (IoT por sus siglas en inglés), que proporcionan a los hackers nuevos mecanismos y medios de ataque. Las organizaciones también están migrando datos a la nube con frecuencia, moviendo grandes volúmenes de datos de trabajo y aplicaciones en diversas configuraciones de implementación. Con ello, dejan atrás una gran cantidad de datos desprotegidos para que los hackers los exploten. Entonces, ¿qué medidas pueden tomar las empresas para evitar interrupciones? 

 

Percepción del enemigo 

 

Tanto para entender como para mantenerse al día con la evolución de la mentalidad de los cibercriminales, muchas empresas están peleando fuego con fuego. En otras palabras, contratando a hackers para que les ayuden. De hecho, grandes empresas como Airbnb, PayPal y Spotify recientemente revelaron que han gastado voluntariamente más de 38 millones de libras en hackers éticos para reforzar sus defensas cibernéticas y evitar la violación de datos. 

 

Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar todos y cada uno de los posibles vectores de ataque al proteger las aplicaciones. Aunque los arquitectos de seguridad tienen una gran cantidad de conocimientos sobre las mejores prácticas del sector, a menudo carecen de experiencia de primera mano sobre cómo los atacantes realizan reconocimientos, encadenan múltiples ataques o acceden a las redes corporativas. 

Equipado con todas las habilidades y astucia de sus adversarios, el hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas mediante la reparación de las vulnerabilidades encontradas durante las pruebas, además de revelar todas las vulnerabilidades descubiertas. Si bien puede sonar contraintuitivo hacer uso de los hackers para ayudar a planificar y probar nuestras defensas cibernéticas, lo que sí tienen en abundancia es experiencia práctica y valiosa. 

 

De acuerdo con el Informe Hacker de 2019, la comunidad de hackers de sombrero blanco (como se denomina a los hackers éticos) se ha duplicado año tras año. En 2018, se repartieron 19 millones de dólares en recompensas, casi igualando el total pagado a los hackers en los seis años anteriores. El informe también estima que los hackers éticos que perciben más dinero pueden ganar hasta cuarenta veces el salario medio anual de un ingeniero de software en su país de origen.

 

 ¿Dónde encontrar a los hackers éticos? 

 

El método más común es un esquema de “recompensa por error” que opera bajo términos y condiciones estrictas. De esta manera, cualquier miembro del público puede buscar y enviar vulnerabilidades descubiertas para tener la oportunidad de ganar una recompensa. Puede funcionar bien para servicios disponibles al público, como sitios web o aplicaciones móviles, y las recompensas dependen del nivel de riesgo percibido una vez que la organización afectada confirma la validez de su descubrimiento. 

 

El uso de subcontratación masiva y el pago de incentivos tiene beneficios obvios. Los hackers obtienen prestigio reputacional y/o moneda fuerte para mostrar y probar sus habilidades en un foro muy público. A cambio, la organización de contratación adquiere nuevas dimensiones de inteligencia y perspectivas de seguridad. 

 

Algunas empresas optan por contratar directamente a hackers. Aquí, la experiencia práctica es clave. Si bien puede parecer contraintuitivo hacer uso de hackers externos -algunos de los cuales tienen un historial de actividad delictiva- lo único que tienen en abundancia es experiencia práctica. Al final del día, un hacker es un hacker. La única diferencia es lo que hacen una vez que se encuentra un error o una vulnerabilidad. 

 

Por último, emplear a un ex cibercriminal es una decisión arriesgada que debe tomarse caso por caso. También, vale la pena señalar que la verificación de antecedentes penales sólo ayuda a identificar a los delincuentes anteriores, ya que carecen de contexto sobre cómo ha cambiado una persona. 

 

Por ejemplo, es poco probable que alguien acusado de un ataque de denegación de servicio a una edad temprana se haya convertido en un criminal internacional de carrera. De hecho, algunos jóvenes delincuentes se convierten a menudo en consultores de seguridad muy respetados y en líderes de opinión de la industria. 

Mantén a tus amigos cerca… 

Aunque parece perverso contratar a hackers y ex-criminales, está claro que pueden aportar un conocimiento inestimable del mundo real a una serie de actividades de seguridad, incluyendo el modelado de amenazas y las pruebas de penetración. Pueden ofrecer una perspectiva que otros no han considerado y pueden mostrar a las empresas cómo adaptarse a las amenazas, dándoles una idea de sus tácticas y motivaciones. 

 

Con más empresas que adoptan este enfoque de ciberseguridad, es importante vigilar de cerca su actividad para asegurarse de que estos hackers no estén volviendo a sus viejas formas maliciosas y pongan en riesgo su negocio.