Ante el aumento de
ciberataques y la falta de personal cualificado, cada vez más compañías
recurren a estos servicios para que expertos en ciberseguridad 'freelance' les
ayuden a detectar errores en sus códigos a cambio de recompensas económicas.
Los mejores pueden ganar sumas importantes
Le presentamos a los
Uber del mundo de la ciberseguridad. En lugar de emparejar a conductores
independientes con pasajeros, empresas como Bugcrowd y HackerOne conectan a
personas que buscan fallos en el software con compañías dispuestas a pagarles
por los errores que encuentran.
Esta economía
colaborativa de la ciberseguridad se ha expandido a cientos de miles de
hackers, muchos de los cuales ya tenían experiencia en la industria de
seguridad informática. Algunos todavía tienen puestos fijos y se dedican a
cazar errores de software en su tiempo
libre, mientras que otros se ganan la vida trabajando por su cuenta. Desempeñan
un papel esencial para que los códigos sean más seguros en un momento en que
los ciberataques aumentan rápidamente y el coste de mantener equipos internos
de seguridad se dispara.
Los mejores
detectives de fallos de software pueden llegar a ganar mucho dinero. HackerOne,
con más de 200.000 usuarios registrados, comenta que alrededor del 12 % de sus
usuarios gana cerca de 17.000 euros al año, y cerca del 3 %puede superar los
85.000 euros. Los hackers que usan estas plataformas provienen principalmente
de EE. UU. y Europa, pero también de otros países con menos recursos, donde el
dinero que pueden ganar les motiva a dedicarse a tiempo completo a esta tarea.
Limpiadores de código
Las grandes empresas,
como GM, Microsoft y Starbucks, están empezando a llevar a cabo programas de
'caza de fallos' en los que ofrecen recompensas económicas a quienes detectan e
informan de errores en su software. Las plataformas como Bugcrowd alertan a la
comunidad de hackers sobre los programas que las empresas lanzan para darles
prioridad y también se encargan de gestionar los pagos.
El director de
seguridad de la información del fabricante de teléfonos inteligentes Motorola
Mobility, Richard Rushing, está encantado con las cazas de fallos colaborativas
porque ponen a su disposición muchos pares de ojos que analizan su código
constantemente. Además, los buscadores independientes se apresuran a informar
de los errores de software para ganar las recompensas antes que sus rivales.
Además, en un momento
en el que los expertos pronostican que hasta el año 2021 habrá más de 3,5
millones puestos de ciberseguridad vacantes en todo el mundo porque no hay
suficientes trabajadores calificados, los cazadores independientes pueden
reducir una parte de la presión que sufren los equipos internos.
Aunque todo parecen
ventajas, los UBER de la seguridad también se enfrentan a un par de grandes
desafíos. El primero consiste en identificar a los cazadores de fallos con
mayor talento. El segundo, establecer una mayor claridad legal sobre las
herramientas y técnicas que los hackers con ética pueden utilizar con
seguridad. Las tácticas de detección más populares, como los ataques de
inyección SQL, que suponen la inserción del código en aplicaciones de software
que podrían cambiar su forma de ejecutar los programas, podrían ser denunciados
legalmente en algunos países.
No sería la primera
vez que un ciberprofesional o incluso un periodista se enfrenta a posibles
acciones legales por detectar e informar de una vulnerabilidad en el código de
una empresa. Solo harían falta un par de demandas de alto perfil para paralizar
esta industria emergente.
Escuela de Hackers
Para abordar el reto
de la formación, las plataformas publican mucho más contenido para ayudar a los
piratas informáticos a mejorar sus habilidades y atraer a más personas a este
trabajo. Bugcrowd acaba de presentar la Universidad Bugcrowd, que ofrece
seminarios web gratuitos y guías sobre cosas como Burp Suite, una herramienta
gráfica para comprobar la seguridad de las aplicaciones web.
La plataforma también
trabaja con hackers éticos con experiencia para detectar y entrenar a los
detectives independientes más prometedores. Los mejores reclutas son curiosos,
tenaces y dispuestos a adaptarse rápidamente. "La tecnología evoluciona
tan rápido que a menudo es difícil alcanzarla", explica el ojeador de
talentos de Bugcrowd Phillip Wylie en Dallas.
HackerOne también
publica más material formativo y educa a los cazadores de errores
independientes en habilidades interpersonales. Estas personas pueden tener un
carácter peculiar y, a veces, brusco, por lo que es importante que aprendan a
comunicarse de forma eficaz con los departamentos informáticos corporativos.
El problema legal
En el frente legal,
las plataformas presionan para que se inserte más lenguaje de "puerto
seguro" en los contratos que regulan las recompensas por cazar errores de
software. El objetivo consiste en que las empresas aclaren que, si los hackers
siguen las reglas del juego dentro de lo razonable, no terminarán ante los
tribunales, comenta Adam Bacchus de HackerOne.
Bugcrowd ha lanzado
una iniciativa llamada disclose.io para
crear un marco normativo en torno a la identificación y comunicación de errores
de software. Gracias a él, los cazadores tendrían una autorización explícita
para usar técnicas de búsqueda de fallos que normalmente serían claras
violaciones de lo dispuesto en los estatutos anti-piratería. Esta iniciativa se
suma a un impulso más amplio liderado por grupos como Electronic Frontier
Foundation que intentan evitar que las empresas usen este tipo de leyes para
silenciar a los investigadores que encuentran defectos graves y los divulgan de
manera responsable.
El fundador y
presidente de Bugcrowd, Casey Ellis, sostiene que otros países, como Reino
Unido y Alemania, también tienen leyes estrictas contra el pirateo informático
que podrían utilizarse para obstaculizar el hacking ético.
Tales leyes son
imprescindibles para evitar que hackers de todo tipo causen estragos. El reto
consiste en encontrar un equilibrio razonable entre la protección de los
hackers éticos y el blindaje de las compañías contra los delincuentes
malintencionados. Hacerlo bien no será fácil, pero dada la escasez de talentos
en el mundo de la ciberseguridad, es un problema que debemos abordar
urgentemente.
Fuente: MIT
technology Review