.

George Wylesol

Computación

El Uber de la ciberseguridad une a empresas con cazadores de virus

1

Ante el aumento de ciberataques y la falta de personal cualificado, cada vez más compañías recurren a estos servicios para que expertos en ciberseguridad 'freelance' les ayuden a detectar errores en sus códigos a cambio de recompensas económicas. Los mejores pueden ganar sumas importantes

  • por Martin Giles | traducido por Ana Milutinovic
  • 29 Agosto, 2018

Le presentamos a los Uber del mundo de la ciberseguridad. En lugar de emparejar a conductores independientes con pasajeros, empresas como Bugcrowd y HackerOne conectan a personas que buscan fallos en el software con compañías dispuestas a pagarles por los errores que encuentran.

Esta economía colaborativa de la ciberseguridad se ha expandido a cientos de miles de hackers, muchos de los cuales ya tenían experiencia en la industria de seguridad informática. Algunos todavía tienen puestos fijos y se dedican a cazar  errores de software en su tiempo libre, mientras que otros se ganan la vida trabajando por su cuenta. Desempeñan un papel esencial para que los códigos sean más seguros en un momento en que los ciberataques aumentan rápidamente y el coste de mantener equipos internos de seguridad se dispara.

Los mejores detectives de fallos de software pueden llegar a ganar mucho dinero. HackerOne, con más de 200.000 usuarios registrados, comenta que alrededor del 12 % de sus usuarios gana cerca de 17.000 euros al año, y cerca del 3 %puede superar los 85.000 euros. Los hackers que usan estas plataformas provienen principalmente de EE. UU. y Europa, pero también de otros países con menos recursos, donde el dinero que pueden ganar les motiva a dedicarse a tiempo completo a esta tarea.

Limpiadores de código

Las grandes empresas, como GM, Microsoft y Starbucks, están empezando a llevar a cabo programas de 'caza de fallos' en los que ofrecen recompensas económicas a quienes detectan e informan de errores en su software. Las plataformas como Bugcrowd alertan a la comunidad de hackers sobre los programas que las empresas lanzan para darles prioridad y también se encargan de gestionar los pagos.

El director de seguridad de la información del fabricante de teléfonos inteligentes Motorola Mobility, Richard Rushing, está encantado con las cazas de fallos colaborativas porque ponen a su disposición muchos pares de ojos que analizan su código constantemente. Además, los buscadores independientes se apresuran a informar de los errores de software para ganar las recompensas antes que sus rivales.

Además, en un momento en el que los expertos pronostican que hasta el año 2021 habrá más de 3,5 millones puestos de ciberseguridad vacantes en todo el mundo porque no hay suficientes trabajadores calificados, los cazadores independientes pueden reducir una parte de la presión que sufren los equipos internos.

Aunque todo parecen ventajas, los UBER de la seguridad también se enfrentan a un par de grandes desafíos. El primero consiste en identificar a los cazadores de fallos con mayor talento. El segundo, establecer una mayor claridad legal sobre las herramientas y técnicas que los hackers con ética pueden utilizar con seguridad. Las tácticas de detección más populares, como los ataques de inyección SQL, que suponen la inserción del código en aplicaciones de software que podrían cambiar su forma de ejecutar los programas, podrían ser denunciados legalmente en algunos países.

No sería la primera vez que un ciberprofesional o incluso un periodista se enfrenta a posibles acciones legales por detectar e informar de una vulnerabilidad en el código de una empresa. Solo harían falta un par de demandas de alto perfil para paralizar esta industria emergente.

Escuela de Hackers

Para abordar el reto de la formación, las plataformas publican mucho más contenido para ayudar a los piratas informáticos a mejorar sus habilidades y atraer a más personas a este trabajo. Bugcrowd acaba de presentar la Universidad Bugcrowd, que ofrece seminarios web gratuitos y guías sobre cosas como Burp Suite, una herramienta gráfica para comprobar la seguridad de las aplicaciones web.

La plataforma también trabaja con hackers éticos con experiencia para detectar y entrenar a los detectives independientes más prometedores. Los mejores reclutas son curiosos, tenaces y dispuestos a adaptarse rápidamente. "La tecnología evoluciona tan rápido que a menudo es difícil alcanzarla", explica el ojeador de talentos de Bugcrowd Phillip Wylie en Dallas.

HackerOne también publica más material formativo y educa a los cazadores de errores independientes en habilidades interpersonales. Estas personas pueden tener un carácter peculiar y, a veces, brusco, por lo que es importante que aprendan a comunicarse de forma eficaz con los departamentos informáticos corporativos.

El problema legal

En el frente legal, las plataformas presionan para que se inserte más lenguaje de "puerto seguro" en los contratos que regulan las recompensas por cazar errores de software. El objetivo consiste en que las empresas aclaren que, si los hackers siguen las reglas del juego dentro de lo razonable, no terminarán ante los tribunales, comenta Adam Bacchus de HackerOne.

Bugcrowd ha lanzado una iniciativa llamada disclose.io  para crear un marco normativo en torno a la identificación y comunicación de errores de software. Gracias a él, los cazadores tendrían una autorización explícita para usar técnicas de búsqueda de fallos que normalmente serían claras violaciones de lo dispuesto en los estatutos anti-piratería. Esta iniciativa se suma a un impulso más amplio liderado por grupos como Electronic Frontier Foundation que intentan evitar que las empresas usen este tipo de leyes para silenciar a los investigadores que encuentran defectos graves y los divulgan de manera responsable.

El fundador y presidente de Bugcrowd, Casey Ellis, sostiene que otros países, como Reino Unido y Alemania, también tienen leyes estrictas contra el pirateo informático que podrían utilizarse para obstaculizar el hacking ético.

Tales leyes son imprescindibles para evitar que hackers de todo tipo causen estragos. El reto consiste en encontrar un equilibrio razonable entre la protección de los hackers éticos y el blindaje de las compañías contra los delincuentes malintencionados. Hacerlo bien no será fácil, pero dada la escasez de talentos en el mundo de la ciberseguridad, es un problema que debemos abordar urgentemente.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. La computación cuántica en la nube, cada vez más rápida y accesible

    La 'start-up' Rigetti Computing conecta ordenadores cuánticos con computadoras convencionales en la nube, lo que reduce la latencia y optimiza los procesos informáticos. Este tipo de propuestas están acercando mucho más las soluciones cuánticas a los investigadores y cada vez más empresas apuestan por ello

  2. "La innovación en el mundo de 'Internet+' puede matarnos"

    El experto en seguridad Bruce Schneier alerta de los peligros que supone que cada vez haya más dispositivos conectados a internet sin una protección ni regulación adecuadas. En lo que bautiza como "Internet+" engloba todo lo relacionado con el IoT, también las personas, a las que considera incluso en riesgo físico ante posibles ataques cibernéticos​

  3. 'Big data', la fuerza que debilitará al Gran Hermano chino

    Aunque pueda parecer intrusiva, la tecnología basada en datos masivos podría aumentar la conciencia sobre privacidad de los ciudadanos de China, históricamente muy reducida. Además, el 'big data' y la computación en la nube ya ayudan a la caótica gestión del tráfico en el país asiático