Son una valiosa pieza de contraataque
Ante la complejidad que representa el actual escenario digital, donde los ataques cibernéticos tienen un alto nivel de sofisticación y están marcados por motivaciones cada vez más destructivas, grandes empresas como Airbnb, PayPal y Spotify han destinado más de 38 millones de libras en hackers éticos para reforzar sus defensas y evitar la violación de datos.
“De acuerdo con el Informe Hacker de 2019, la comunidad de hackers de sombrero blanco (como se denomina a los hackers éticos) se ha duplicado año tras año. En 2018, se repartieron 19 millones de dólares en recompensas, casi igualando el total pagado a los hackers en los seis años anteriores”, refiere Tristan Liverpool, director de Ingeniería de Sistemas de F5 Networks.
El informe, destaca el especialista, también estima que los hackers éticos que perciben más dinero pueden ganar hasta 40 veces el salario medio anual de un ingeniero de software en su país de origen.
“Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar todos y cada uno de los posibles vectores de ataque al proteger las aplicaciones”.
Si bien los arquitectos de seguridad tienen una gran cantidad de conocimientos sobre las mejores prácticas del sector, a menudo carecen de experiencia de primera mano sobre cómo los atacantes realizan reconocimientos, encadenan múltiples ataques o acceden a las redes corporativas.
“Equipado con todas las habilidades y astucia de sus adversarios, el hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas mediante la reparación de las vulnerabilidades encontradas durante las pruebas, además de revelar todas las vulnerabilidades descubiertas”.
Tristan Liverpool refiere que el método más común de encontrar hackers éticos es a través de un esquema de «recompensa por error» que opera bajo términos y condiciones estrictas, el cual permite a cualquier miembro del público buscar y enviar vulnerabilidades descubiertas para tener la oportunidad de ganar una recompensa.
“Puede funcionar bien para servicios disponibles al público, como sitios web o aplicaciones móviles, y las recompensas dependen del nivel de riesgo percibido una vez que la organización afectada confirma la validez de su descubrimiento”.
El uso de subcontratación masiva y el pago de incentivos tiene beneficios obvios. Los hackers obtienen prestigio reputacional y/o moneda fuerte para mostrar y probar sus habilidades en un foro muy público; a cambio, la organización de contratación adquiere nuevas dimensiones de inteligencia y perspectivas de seguridad.
El experto de F5 Networks detalla que algunas empresas optan por contratar directamente a hackers; sin embargo, en esta opción la experiencia práctica es clave, pues si bien puede parecer contraintuitivo hacer uso de hackers externos debido a que algunos de ellos cuentan con un historial de actividad delictiva, lo único que tienen en abundancia es experiencia práctica.
“Al final del día, un hacker es un hacker. La única diferencia es lo que hacen una vez que se encuentra un error o una vulnerabilidad”.
En opinión de Liverpool, emplear a un ex cibercriminal es una decisión arriesgada que debe tomarse caso por caso, pero vale la pena señalar que la verificación de antecedentes penales sólo ayuda a identificar a los delincuentes anteriores, ya que carecen de contexto sobre cómo ha cambiado una persona.
Por ejemplo, es poco probable que alguien acusado de un ataque de denegación de servicio a una edad temprana se haya convertido en un criminal internacional de carrera. De hecho, algunos jóvenes delincuentes se convierten a menudo en consultores de seguridad muy respetados y en líderes de opinión de la industria.
“Aunque parece perverso contratar a hackers y ex-criminales, está claro que pueden aportar un conocimiento inestimable del mundo real a una serie de actividades de seguridad, incluyendo el modelado de amenazas y las pruebas de penetración. Pueden ofrecer una perspectiva que otros no han considerado y pueden mostrar a las empresas cómo adaptarse a las amenazas, dándoles una idea de sus tácticas y motivaciones”.
C$T-GM