Las empresas y las organizaciones gubernamentales están empezando a reclutar hackers éticos para garantizar que sus procesos de seguridad estén a la altura de las circunstancias.
Los hackers han mantenido durante mucho tiempo la reputación de obtener acceso no autorizado a los ordenadores para actividades relacionadas con la delincuencia, como el robo de dinero, la identidad o, lo que es más habitual en estos días, simplemente para causar estragos.
Algunos de los más recientes ataques notables incluyen cuando Sony Pictures fue hackeada, supuestamente por los norcoreanos, lo que le costó a la compañía 15 millones de euros y su relación con muchas celebridades de Hollywood como Sylvester Stallone. Parte de esa catástrofe fue que las contraseñas, los buzones de correo, los datos personales de los empleados, las copias de los pasaportes y los números de seguro social se pusieron a disposición en línea.
Otro incidente de piratería que atrajo la atención mundial fue cuando el sitio web de relaciones extramatrimoniales Ashley Madison se convirtió en una víctima de un feroz ataque en línea. Los hackers que fueron responsables del ataque inicialmente amenazaron con liberar los datos de los usuarios para cada día que el sitio web estaba en funcionamiento, antes de que finalmente los datos arrojaran aproximadamente 10 GB de información de los miembros, incluyendo direcciones de correo electrónico y detalles de tarjetas de crédito.
VER: Descripción del puesto: Arquitecto de seguridad (Tech pro Research)
Pero, según Harper Reed, jefe de comercio de Braintree, que culpa a los medios de comunicación por presentar a los hackers como gente «nefasta», esta serie de ataques ha empañado la reputación de otros hackers.
«Los hackers no son necesariamente criminales; son sólo personas que están tratando de moldear el mundo que les rodea en el mundo que ellos quieren que sea, lo que también suena muy similar a todas las personas buenas», dijo Reed.
Reed, que se identifica como hacker, explicó que la ética de los hackers es resolver rompecabezas, lo que significa que el espectro alrededor de la definición de lo que es un hacker es bastante amplio.
«Hay hackers increíbles que construyen empresas todos los días. La gente está cambiando el mundo; algunos están haciendo cosas muy controvertidas, otros están haciendo cosas muy normales. Pero si dices que quieres trabajar con un grupo de desarrolladores y piensas que»es un gran hack», podrías estar hablando de algo muy accesible para las personas con discapacidades o podrías estar hablando de filtrar documentos del gobierno», dijo.
Más información sobre ciberseguridad
Según el Informe sobre las amenazas para la seguridad en Internet 2019 de Symantec, Australia ocupa el primer lugar en la región de Asia y el Pacífico, y el noveno a nivel mundial, en cuanto a los ataques con software de rescate, donde el número medio de ataques diarios aumentó en un 141% entre 2014 y 2015. El informe también destacó los incidentes que resultaron de los atacantes, que representaron el 46% del total de las causas principales de las brechas de datos.
Para combatir el aumento exponencial de los ataques en línea, las empresas de seguridad, las empresas y las organizaciones gubernamentales han comenzado a reclutar a su propio equipo de hackers. A diferencia de sus contrapartes criminales (hackers de sombrero negro), los hackers de sombrero blanco, también conocidos como hackers éticos, son contratados para ayudar a las organizaciones a identificar y arreglar fallas de seguridad en sus sistemas.
Sean Lim, vicepresidente del Consejo Internacional de Consultores de Comercio Electrónico (EC-Council), un organismo de certificación de hackers éticos, explicó que el hacking ético es uno de los espacios de más rápido crecimiento a nivel mundial, principalmente porque las organizaciones se han dado cuenta de su necesidad.
Lim continuó diciendo que mientras que el enfoque entre los hackers de sombrero negro, blanco y gris -también conocidos como «crackers» que piratean sistemas para llamar la atención de los propietarios sin intenciones maliciosas- son todos iguales, sus motivaciones son a menudo diferentes.
«Hoy vemos que la motivación clave se ha vuelto muy financiera. En los primeros días estaba relacionado con un arrebato de ira y la gente sólo lo hacía porque quería ganar infamia o algún tipo de reputación notoria», dijo.
«Pero cada vez más vemos dos tipos de hackers: Uno motivado financieramente y dos patrocinados por el Estado, lo que significa que los países que quieren una ciberguerra porque quieren ganar ventaja sobre su posición a nivel mundial. Muchos de estos hacks, nos damos cuenta, son muy complejos y es difícil imaginar que un grupo de hackers tenga acceso a tal tecnología y dinero que financie tal tecnología».
La Oficina de Transformación Digital, formada por el gobierno australiano y encargada de crear un único portal myGov en línea para docenas de servicios relacionados con el gobierno, realizó una búsqueda a finales del año pasado para contratar a un hacker ético que se uniera al equipo.
El hacker ético de DTO, que ha decidido permanecer en el anonimato, reveló que su papel en la organización es identificar, asesorar y apoyar a DTO.
«Puedo ayudar a diseñar mecanismos de detección para identificar los ataques de manera más efectiva que alguien que no ha tenido experiencia en ser un hacker ético», dijo la persona.
Un portavoz de DTO dijo que contratar al hacker ético ayudará a la organización a proteger los productos construidos en el DTO al trabajar en estrecha colaboración con los desarrolladores y los ingenieros de operaciones web para corregir los problemas que descubran, incluidos los problemas de seguridad como los defectos de software.
«En el DTO, el hacker ético está involucrado en todos los aspectos del desarrollo del sistema. Esto significa que encontrar posibles vulnerabilidades de seguridad es más fácil y barato de solucionar. También significa que las posibles fallas en el diseño de seguridad pueden ser mitigadas antes de que el proyecto haya progresado más allá del punto en el que es costoso y lento de rectificar», dijo el vocero.
Este es un enfoque similar al que el Pentágono de EE.UU. anunció recientemente que estaba adoptando. Según el Pentágono, es la primera vez que el gobierno federal ha emprendido un programa con extraños que intentan romper sus redes, con funcionarios diciendo que los sistemas del departamento son sondeados y atacados millones de veces al día.
El programa, llamado «Hackear el Pentágono», comenzará en abril con funcionarios del departamento y abogados que aún están trabajando en una serie de asuntos legales relacionados con la autorización de los hackers de sombrero blanco para violar los sitios web de defensa activa.
Los funcionarios dijeron que el programa piloto involucrará a redes públicas o sitios web que no tienen información confidencial o datos personales de los empleados sobre ellos.
Se le llama programa de recompensas, pero no está claro si a los hackers se les pagará una tarifa fija o basada en sus logros, o si sólo se les ofrecerá la gloria y la notoriedad de violar uno de los sistemas militares más grandes del mundo.
Hackear el Pentágono: Se abre para los negocios el primer programa de recompensas de insectos del gobierno de EE.UU. (ZDNet)
Lim destacó que la contratación de hackers éticos para la mayoría de las empresas puede ser un ejercicio costoso, a pesar de ser una de las habilidades más demandadas. La alternativa para muchos es subcontratar las habilidades a empresas de seguridad.
Nick Savvides, director comercial de protección de la información de Symantec ANZ, coincidió en que la tarea de los hackers éticos va más allá de la realización de una evaluación general de la seguridad, que, según dijo, se centra en examinar la política de una empresa y comparar si el trabajo que se lleva a cabo en la vida real se ajusta a la política. Esto no se parece a un hacker ético, que Savvides dijo que trabaja fuera de los límites de las políticas de una empresa.
«Es realmente la capacidad de tener a alguien que actúe como un mal tipo para que pruebe la integridad de sus sistemas, procesos y su gente, y le haga saber dónde están las debilidades», dijo.