Los hackers éticos reciben muchos nombres, incluidos los de sombrero blanco, los probadores de penetración y los probadores de penetración. La gran diferencia entre el hacking ético y el hacking malicioso o criminal es la intención. El proceso de piratería es el mismo. Eso significa encontrar una manera de acceder a un sistema o red informática.
“Los hackers éticos no explotan maliciosamente las vulnerabilidades que descubren. Su objetivo es notificar a las organizaciones que hay un problema para que puedan solucionarlo”, explica API Security Jason Kent, hacker residente de la empresa de gestión de bots Cequence Security.
InformationWeek habló con líderes en ciberseguridad sobre lo que se necesita para convertirse en un hacker y cómo los hackers pueden mejorar la seguridad de sus empresas.
¿Qué caracteriza a un buen hacker?
Si el hacking se reduce a sus características básicas, podría ser simplemente curiosidad. Los piratas informáticos quieren desarmar algo y descubrir cómo funciona.
“Los hackers son personas curiosas que intentan resolver problemas de maneras interesantes. Cuanto más elegantes son, mejor piratean”, afirma Kent.
Para muchas personas que desarrollan carreras en piratería informática y ciberseguridad, esa curiosidad es evidente desde una edad temprana.
Cuando era niño, Nabil Hannan desarmaba juguetes, aparatos electrónicos y computadoras. “Siempre estaba rompiendo y rompiendo cosas, pero esencialmente estaba interesado en aprender cómo funcionaban las cosas”, dice. Actualmente se desempeña como CISO de campo para la empresa de ciberseguridad NetSPI.
A Eyvind Horvik le encantaba mirar detrás de escena de películas y programas de televisión. Esa curiosidad se centró en la piratería desde el principio. Cuando era niño, descubrió una computadora portátil abandonada encima de un bote de basura. “Terminé trabajando con un amigo de la familia que me enseñó cómo descifrar contraseñas de Windows”, dijo a InformationWeek.
Los dos trabajaron juntos para tratar de descubrir quién era el propietario original de la computadora portátil y finalmente se la entregaron a la policía. Desde ese primer encuentro, Holvik se ha vuelto adicto a la piratería. Cuando era adolescente, asistió a conferencias sobre ciberseguridad, enseñó al departamento de TI de su escuela secundaria cómo corregir errores de pantalla azul y fue mentor de otros niños a través de CoderDojo.
Gracias a las conexiones que hizo en una conferencia sobre ciberseguridad cuando era adolescente, pudo conseguir su primer trabajo en el campo de la ciberseguridad. El Sr. Horvik es actualmente un ingeniero de ciberseguridad contratado por SunStream Business Services, un proveedor de TI gestionado.
Hannan ha gestionado numerosos piratas informáticos a lo largo de su carrera. NetSPI también ofrece un programa de formación pago llamado NetSPI University para aquellos que quieran convertirse en probadores de penetración.
“Lo que aprendí durante ese tiempo es que no se le puede decir a alguien cómo ser inteligente”, dice. El conocimiento se puede enseñar, pero lo que Hannan llama inteligencia es la capacidad innata de pensar fuera de lo común cuando se aborda la resolución de problemas.
¿Se malinterpreta el hacking ético?
Fuera de las comunidades de TI y ciberseguridad, cuando pensamos en piratas informáticos, a menudo pensamos en los delincuentes detrás del teclado. Kent sabe por experiencia personal que cuando los piratas informáticos éticos intentan ayudar, pueden encontrarse con absoluta sospecha.
Hace unos 10 años, Kent compró un nuevo abridor de puerta de garaje que podía controlar con su teléfono celular. Siendo la naturaleza curiosa de un hacker, examinó más de cerca la API. Su amigo, que vive a miles de kilómetros de distancia, también tenía el mismo abridor de puerta de garaje, y Kent pudo aprovechar la vulnerabilidad para abrir la puerta del garaje de su amigo de forma remota.
Si Kent pudo hacer algo como esto, entonces cualquier otra persona con intenciones maliciosas debería poder hacer lo mismo. Intentó explicar el problema a la línea de atención al cliente de la empresa y solicitar una solución, pero fue en vano. Finalmente tuiteó sobre el tema y finalmente obtuvo una respuesta.
“El culpable no fue alguien del equipo de seguridad o del equipo de gestión de productos. Fue alguien del equipo legal”, afirma. “Pensaron que estaba tratando de chantajearlos de alguna manera”.
Su motivo no fue el chantaje, sino evitar que la vulnerabilidad fuera explotada y comprometida. Al final, Kent pudo mostrarle al equipo de ingeniería de la empresa cómo reproducir y solucionar el defecto. Pero estaba claro que inmediatamente surgieron dudas.
“Creo que la mayor parte del interés en la piratería no tiene nada que ver con el crimen organizado, pero por alguna razón, en la mente de la gente, la piratería está inherentemente asociada con la actividad criminal”, dijo Holvik.
Horvik ha descubierto en su propia experiencia que los hackers éticos tienden a ser personas a las que simplemente les gustan las computadoras. “No somos malvados, no damos miedo y muchos de nosotros somos realmente apasionados. No mordemos. Simplemente amamos las computadoras”, dice.
¿Qué pueden aportar los hackers éticos a una empresa?
Hacking es un término amplio y las personas que trabajan en este campo suelen tener diferentes áreas de especialización. Por ejemplo, los piratas informáticos pueden centrarse en probar redes o aplicaciones web. Aunque la comunidad de hacking ético tiene diferentes silos y áreas de enfoque, las empresas tienden a interactuar con estos expertos de varias maneras diferentes.
Las pruebas de penetración son un vínculo común entre las empresas y los piratas informáticos éticos y, a menudo, están impulsadas por requisitos de cumplimiento. Las organizaciones más grandes y maduras pueden contratar probadores de penetración internos además de contratar a un tercero. Muchas organizaciones dependen únicamente de terceros.
Las empresas también pueden contratar piratas informáticos éticos para participar en ejercicios del equipo rojo o simulaciones de ataques del mundo real. Estos ejercicios suelen tener un propósito específico y los piratas informáticos éticos son libres de utilizar cualquier medio a su alcance para lograr ese propósito.
Hannan cita una evaluación de la seguridad física como ejemplo de un ejercicio de equipo rojo. “Entras en un edificio, encuentras una computadora desbloqueada y conectas un dispositivo USB a la computadora”, explica. “Ese podría ser uno de los objetivos. ¿Cómo se entra a un edificio? ¿Pretendes ser un repartidor? ¿Pretendes ser un tipo de HVAC? Simplemente ponte un chaleco amarillo y un casco y entra al edificio. Eso depende de ti.
Las empresas también pueden realizar ejercicios de equipo rojo sobre phishing e ingeniería social.
La frustrante experiencia de Kent al intentar informar vulnerabilidades a las empresas no siempre es así. Hoy en día, muchas organizaciones implementan programas de recompensas por errores y alientan a los piratas informáticos a buscar activamente vulnerabilidades en sus sistemas.
Los programas de recompensas por errores pueden ser públicos o privados, ejecutarse internamente o subcontratarse a un tercero que ejecute el esfuerzo en nombre de la empresa. Los incentivos suelen pagarse en cantidades fijas o en etapas. Cuanto más grave sea el error, más pagará.
Los hackers éticos que participan en estos programas pueden ser personas que tienen trabajos regulares de 9 a 5 y participan en programas de recompensas por errores como pasatiempo o ingreso adicional. Algunas personas han convertido con éxito su participación en programas de recompensas por errores en trabajos de tiempo completo. Los programas de recompensas por errores también pueden ser una puerta de entrada al éxito para quienes recién comienzan sus carreras de piratería.
“Los programas de recompensas por errores son una excelente manera para que los aspirantes a hackers éticos comprendan esa mentalidad y comprendan ese lado del negocio”, dijo a InformationWeek John, director ejecutivo de SubRosa, una empresa de servicios de asesoramiento y pruebas de ciberseguridad.
Al iniciar un programa de recompensas por errores, una empresa necesita un presupuesto no sólo para la recompensa, sino también para gestionar el programa y clasificar los errores descubiertos.
Los programas de recompensas por errores pueden ayudar a fortalecer la postura de seguridad de una organización, pero es importante que los líderes de seguridad definan claramente el alcance del esfuerzo y lo comuniquen a los piratas informáticos participantes.
“Sea claro en sus expectativas sobre lo que está buscando y asegúrese de que sus relaciones con las personas con las que está tratando de encontrar errores estén bien mantenidas y sean sólidas”, recomienda Price.
¿Cómo pueden las empresas sacar el máximo provecho de los hackers éticos?
Los piratas informáticos éticos pueden ser un recurso valioso para las empresas, pero como muchos recursos valiosos, su número es limitado. “La demanda es muy alta en este momento, especialmente en los niveles superiores y avanzados, y la cantidad de personas en ese campo es muy pequeña”, dice Price.
¿Cómo pueden las empresas aprovechar al máximo las habilidades de los hackers éticos cuando el grupo de talentos es limitado y las habilidades dentro de ese grupo tienen una gran demanda?
Hannan recomienda que los líderes de la empresa se esfuercen por excluir las emociones cuando interactúen con empresas externas contratadas para probar vulnerabilidades y debilidades, así como con piratas informáticos independientes que participan en programas de recompensas por errores.
“Cuando visito una organización, mi primer trabajo es básicamente llamar feo a su bebé”, explica. “Salgo, rompo algo y les digo: 'Oye, hiciste esto mal'. Aquí es donde realmente necesitas controlar tus emociones en la puerta”.
Ninguna empresa es 100% segura. El hacking ético le permite saber dónde están las vulnerabilidades antes de que lo haga un atacante. Sin embargo, encontrar vulnerabilidades es sólo el primer paso para mejorar la seguridad. Los líderes corporativos realmente necesitan corregir estas debilidades.
“Esencialmente, lo mejor que puedes hacer es utilizar la información que te brindan para resolver los problemas que identifican, y encuentro que en realidad se está haciendo muy poco de eso. Estoy muy sorprendido”, dijo Holvik.
A medida que las empresas aprovechan el hacking ético, su valor potencial puede verse socavado si se vuelve obsoleto y rutinario. “Rote sus recursos. No tenga el mismo consultor haciendo pruebas y piratería ética cada vez. Necesita una nueva perspectiva”, recomienda Price.
Hackear es más que simplemente romper cosas. Hannan ve una oportunidad para involucrar a hackers éticos en más etapas del ciclo de vida del producto, permitiendo a las empresas aprovechar sus habilidades para arreglar lo que está roto.
“Hacer que los hackers éticos formen parte del ADN de ingeniería de cada organización y a lo largo del ciclo de vida del producto permite una mayor colaboración”, afirma. “Identifique las vulnerabilidades antes y trabaje de manera más efectiva para remediarlas más rápido”.
https://www.informationweek.com/cyber-resilience/a-look-inside-the-world-of-ethical-hacking-to-benefit-security
