Llegamos a ustedes gracias a:



Reportajes y análisis

Se buscan hackers

[10/02/2017] El ejército estadounidense se aventuró en un territorio desconocido la semana pasada. Fue el primer día de su programa "Hack the Army", que desafía a docenas de hackers invitados a infiltrarse en sus redes informáticas y encontrar vulnerabilidades en sitios web selectos y públicos del Ejército.

"No somos lo suficientemente ágiles como para estar al día con una serie de cosas que ocurren en el mundo tecnológico y en otros lugares fuera del Departamento de Defensa", explicó el entonces secretario del ejército, Eric Fanning, al anunciar el plan a mediados de noviembre. "Estamos buscando nuevas maneras de hacer negocios", lo que incluye una ruptura con el pasado, cuando el gobierno evitaba trabajar con la comunidad de hackers.

Al igual que el ejército, las empresas también se están dando cuenta de que el término hacker no es sinónimo de criminal, y que la contratación de hackers puede ser la única manera de mantenerse al día con los verdaderos chicos malos.

Alrededor del 59% de los ejecutivos encuestados por Radware y Merrill Research han contratado o contratarían a un ex hacker como una forma de inyectar talento de ciberseguridad en su fuerza de trabajo. Según la encuesta, más de una cuarta parte de las organizaciones han estado usando ex hackers durante más de dos años, incluidos los llamados sombreros blancos o hackers éticos, sombreros grises -aquellos que no cumplen la ley o los estándares éticos, pero sin fines maliciosos- y los sombreros negros, que operan con intenciones maliciosas.

Las publicaciones para empleos de hackers éticos en el sitio web de carreras tecnológicas Dice.com, ha saltado de 100 puestos de trabajo en EL 2013, a más de 800 puestos de trabajo hoy. "Mientras que todavía es un número pequeño teniendo en cuenta que hay más de 80 mil puestos de trabajo de tecnología publicados en Dice en un día promedio, es claro que la demanda de estos profesionales está creciendo rápidamente", anota Bob Melk, presidente de Dice.

"Los hackers son excepcionalmente hábiles para encontrar las pequeñas cosas que otras personas olvidan; las vulnerabilidades que aún no conocen, las cosas que creían que estaban arregladas, pero no del todo", indica Alex Rice, CTO y cofundador de HackerOne, una plataforma bug bounty con 70 mil hackers en su comunidad. "Cada organización tiene algo que ha pasado por alto". Las organizaciones están dispuestas a asumir los riesgos a cambio de acceso a la mentalidad única y a las habilidades de un hacker.

"Lo hemos visto desde hace años en el lado de los proveedores, y ahora estamos empezando a verlo también en el lado del usuario", indica Jon Oltsik, analista principal y fundador del servicio de ciberseguridad de Enterprise Strategy Group. "Alguien que hackea por diversión o que hackeó como investigador -esas personas, sin duda, podrían ser grandes contrataciones. Son buenos cazadores e investigadores forenses. Puede que no tengan las certificaciones, pero poseen las habilidades".

Sin embargo, contratar a alguien que ha tenido un roce con la ley por hackear tiene sus riesgos, y las empresas deben sopesar esos riesgos contra sus objetivos. "¿Debería contratar a delincuentes o criminales, independientemente de sus antecedentes? Eso depende. En algunos casos, podría tener sentido" basándose en su evaluación de riesgo individual, indica Rice.

Muchos hackers famosos de sombrero negro han llegado a tener carreras acertadas y legítimas. En el 2008, Owen Walker, con 18 años de edad, fue acusado como líder de un grupo internacional de hackers que causó más de 20 millones de dólares en daños y perjuicios. Trabajó en la división de seguridad de la empresa de telecomunicaciones Telstra. Jeff Moss, fundador de las conferencias de hacking Black Hat y DEF CON, dirigió una red subterránea de hackers, desde los curiosos hasta los criminales. En el 2009, se unió al Consejo Asesor de Seguridad Interna de los Estados Unidos; y en el 2011, fue nombrado OSC de ICANN, la agencia que supervisa los nombres de dominio. Kevin Mitnick es ahora Chief Hacking Officer del sitio de entrenamiento de concientización en seguridad, KnowBe4. Una vez perteneció a la lista de los más buscados del FBI por hackear 40 corporaciones muy importantes.

Tonos de gris

La gran mayoría de los hackers no son ni delincuentes ni criminales, afirma Rice. "Tienen la intención de aprovechar sus habilidades para hacer el bien. Estas personas podrían elegir ser criminales si así lo quisieran, pero deciden no serlo -lo mismo ocurre con cualquier otro tipo de profesión".

Pero entre los de sombreros blancos y negros, ¿cómo es que las compañías pueden examinar a todos los hackers con tonos de gris que están entre los dos extremos? "El hacker de un hombre es investigador de seguridad de otro", anota Stu Sjouwerman, fundador y CEO de KnowBe4. "Así como el luchador por la libertad de un hombre es terrorista para otro".

En el lado del proveedor, las compañías suelen contratar hackers éticos, indica Oltsik. "Tal vez han bordeado la ley, pero por lo general no tienen una larga lista de acusaciones o han sido sentenciados por un crimen".

KnowBe4 emplea a cuatro investigadores de seguridad de sombrero blanco y gris. Ocasionalmente, la firma ha eludido la ley en sus esfuerzos para detener los ataques -más recientemente, un ataque de fraude de CEO en el mismo Sjouwerman.

Alguien haciéndose pasar por Sjouwerman envió un correo electrónico a su contralor solicitando una transferencia bancaria de 40 mil dólares. Reconociendo la estafa inmediatamente, su equipo se puso a trabajar para identificar al ladrón e invertir los papeles en un esquema inverso de ingeniería social.

"Le enviamos un correo electrónico de phishing a su cuenta de AOL que decía, 'ha habido demasiados inicios de sesión y su AOL está bloqueada temporalmente. Inicie sesión para desbloquear su cuenta'. Cayó en la trampa al instante", recuerda Sjouwerman.

Cinco minutos más tarde, el equipo de Sjouwerman tenía el nombre de usuario del atacante y la contraseña de su cuenta de AOL. Una vez dentro, vaciaron la cuenta de AOL en su propio archivo PSD y examinaron su trabajo. La operación compensaba al estafador con unos 250 mil dólares al mes.

"Sabíamos que no teníamos permitido hacerlo, pero lo hicimos de todos modos", indica Sjouwerman. Cuando se trata de contratar a hackers, "este es el tipo de cosa por la que los de sombrero blanco o gris son tentados fácilmente".

Límites para la contratación de hackers

El CSO global, Shawn Burke, desearía poder entrar en el cerebro de un hacker de sombrero negro para averiguar lo que su equipo en Sungard Availability Services no está considerando al implementar controles de seguridad en sus soluciones. "Definitivamente, hay cosas que podrían aportar", indica. Pero, probablemente, eso nunca ocurra porque Sungard provee servicios a instituciones financieras altamente reguladas y entidades gubernamentales con requisitos estrictos sobre verificaciones de antecedentes. "Por supuesto, si no han sido atrapados, supongo que no tendría que ser parte de su curriculum vitae" o historial, añade.

Sungard emplea a un grupo de hackers de sombrero blanco que han completado las pruebas de penetración de SANS y los cursos de formación ética de hacking. Un empleado, en su posición anterior, estuvo involucrado en "trabajo secreto de la NSA". "[Los antiguos trabajadores de la NSA] han presenciado cosas que nadie en mi equipo ha visto nunca", señala Burke. "Aunque no pueden hablar de ello, ciertamente saben decir, a su manera críptica, que probablemente debemos posicionar nuestros controles de cierta manera". Al elegir a estos empleados, la confianza es clave, añade Burke. "Tengo que confiar en que harán su trabajo".

Proceda con precaución

Las empresas que están considerando contratar a un hacker deben tomar varias precauciones, afirman estos expertos.

En primer lugar, realice comprobaciones de antecedentes antes de contratar a nuevos empleados de seguridad, indica Oltsik. "La bandera roja sería cualquier tipo de cuestiones de aplicación de la ley o antecedentes penales, un historial con descontentos o confrontaciones con otros compañeros de trabajo, incidentes de recursos humanos, múltiples puestos de trabajo -nada diferente de cualquier otra persona que contrataría".

Si evalúa a un sombrero gris o negro que podría tener antecedentes, "muy a menudo son las referencias, y a quién conoce usted y ellos", lo que les da el trabajo, indica Sjouwerman. "Si recibe una ratificación verbal, es la única manera 'fiable' de conseguirlo".

Una vez contratado, sitúe al hacker en roles donde pueda tener éxito, pero asegúrese de estar administrándolo y supervisándolo, afirma Oltsik. "Ellos tienen conjuntos de habilidades que pueden ser perjudiciales. Con la cantidad correcta de supervisión, podrá saber rápidamente si alguien hace cosas sospechosas".

Las empresas también deben considerar si un hacker encaja bien dentro de la organización. Los hackers, por naturaleza, tienden a trabajar de forma independiente y no están orientados al trabajar en equipo, añade Oltsik. "Si cuenta con alguien que ama descifrar sistemas, pero no es el más social, ¿tiene un rol donde pueda encajar, y sea beneficioso para usted y una buena combinación para él?".

Hackers como consultores

Las empresas en duda sobre su tolerancia al riesgo o a la cultura de los hackers, pueden querer considerar a los consultores independientes para cada proyecto, señala Sjouwerman.

Una compañía de divulgación de vulnerabilidades, como HackerOne, conecta a las empresas con investigadores de seguridad para resolver sus vulnerabilidades de seguridad. La red de 70 mil hackers de HackerOne ha ganado más de 10 millones de dólares en recompensas bug bounty por resolver los problemas de las compañías. Los hackers, que van desde adolescentes y académicos altamente especializados hasta expertos de seguridad con trabajos diarios, son examinados a través de un sistema de reputación que rastrea lo que las personas han hecho a la hora de identificar vulnerabilidades y reportarlas, indica Rice. El marco permite a la gente practicar sus habilidades de hacking "de una manera en que pueden demostrar su buena intención", comenta Rice. Los hackers éticos verificados pueden ser invitados a trabajar en proyectos privilegiados, como el evento "Hack the Army".

"Las organizaciones se dan cuenta de que la única manera de superar a los delincuentes es trabajar con aquellos que poseen las habilidades, pero no las motivaciones [criminales]", agrega Rice. "Se necesita a uno para conocer a los demás", finaliza.