Los ciberataques aumentan de forma significativa y los hackers utilizan tácticas cada vez más sofisticadas, lo que complica la vida de las empresas a la hora de intentar proteger sus datos.
El tema se agrava con la llegada de tecnologías emergentes, como el internet de las cosas (IoT en sus siglas en inglés), que amplían exponencialmente la superficie atacable. Al mismo tiempo, grandes volúmenes de datos y aplicaciones se están moviendo desde los centros de datos corporativos a la nube, algo que puede dejar sin protección a una parte importante de la información de la organización si no se lleva a cabo de una forma apropiada,
Los responsables de seguridad TI de las compañías cuentan con todos los conocimientos necesarios para hacer frente a los posibles ciberataques, sin embargo, no siempre entienden la dinámica de los hackers -cómo desarrollan la labor de reconocimiento sobre posibles víctimas, cómo ponen en práctica sus estrategias encadenando múltiples ataques o cómo consiguen acceder a las redes corporativas-. A la hora de proteger las aplicaciones y los datos, resulta fundamental tener en cuenta cada posible vector de ataque, y en esta situación muchas empresas han decidido combatir el fuego con fuego y buscar la colaboración de un hacker ético. Puede ser una medida arriesgada, pero también puede resultar definitiva para la protección de la compañía.
El hacker ético cuenta con todas las habilidades y conoce las prácticas de los ciberdelincuentes. Al darle permiso para introducirse en las redes de la empresa, es muy probable que descubra vulnerabilidades que hasta el momento pasaban desapercibidas, teniendo la oportunidad de poner en marcha medidas para corregirlas.
De acuerdo con el 2019 Hacker Report, la comunidad de hackers éticos se duplica año tras año. En 2018 las compañías destinaron 19 millones de dólares en recompensas para pagar vulnerabilidades detectadas por hackers, casi lo mismo que durante los seis años anteriores. Este informe también dice que algunos hackers pueden llegar a ganar hasta cuarenta veces más que un ingeniero de software.
¿Cómo contactar con un hacker?
El método más común a la hora de trabajar con hackers es implantar un modelo de recompensas por vulnerabilidad detectada. De esta forma, cualquiera puede buscar errores en la página web o en las aplicaciones públicas de la empresa y conseguir una recompensa económica una vez detectada y comunicada la vulnerabilidad. Es necesario establecer unos términos y condiciones bien definidos si queremos que este sistema funcione, así como el valor económico de las recompensas, que suele depender de su nivel de riesgo.
El uso de una metodología de crowdsourcing y el pago de recompensas por vulnerabilidad detectada es un sistema beneficioso para ambas partes. Los hackers, además de dinero, consiguen incrementar su prestigio, al poder demostrar públicamente sus capacidades. La empresa optimiza e incrementa su inteligencia con respecto a su seguridad.
Por otra parte, la opción de algunas empresas es contratar a hackers directamente. En estos casos se valora la experiencia por encima de otras consideraciones, como puede ser el historial delictivo del hacker. Hay que tener en cuenta que un hacker siempre va a ser un hacker y que la única diferencia va a ser lo que haga al encontrarse con un error o una vulnerabilidad.
Contratar a un ciberdelincuente siempre va a ser una decisión arriesgada que debe valorarse caso por caso. Tener en cuenta, solamente, los antecedentes penales de una persona no es suficiente, ya que no indican la realidad actual de la misma. Es decir, el que un hacker provocara un ataque tipo DDoS en su juventud no quiere decir que ahora sea una criminal con una carrera internacional. De hecho, algunos delincuentes juveniles acaban transformándose en consultores de seguridad y en líderes de opinión de la industria.
La misma empresa puede ser un buen terreno para captar hackers. Seguramente, entre el personal dedicado al desarrollo de aplicaciones, código e infraestructura de red hay algunos profesionales a los que les encanta curiosear y que pueden estar ya detectando vulnerabilidades, aunque no alertando sobre ellas, simplemente porque no les pagan por ello. Identificar y aprovechar el talento de los empleados para ponerlos al servicio de la seguridad de la empresa puede ser una buena opción.
Finalmente, las universidades son otro caladero a tener en cuenta. Además, la piratería informática se está institucionalizando. Muchas universidades ya incluyen títulos como Certificación de Hacker Ético, Profesional Certificado en Seguridad Ofensiva (OSCP) o Certificación de Aseguramiento de la Información Global (GIAC). Aunque una parte de los hackers se resistan, aparentemente, a estas evoluciones educativas, sin duda saben que el pirateo ético se está convirtiendo en una práctica cada vez más normalizada.
Daniel Varela, ingeniero especialista de Seguridad para el sur de Europa en F5 Networks