Hay un floreciente negocio legal, el de los cazarrecompensas de la ciberseguridad, ocupados en encontrar fallas en los sistemas de una empresa. La idea no es nueva. Empresas de la talla de Microsoft, Apple, IBM, Yahoo, Nokia o eBay vieron en los primeros años del siglo a los retadores programas de bug bounty como una vía de poner a prueba los propios sistemas frente al talento de la comunidad.
Es una manera de asegurar las infraestructuras tecnológicas que no supone ni un gran desembolso (30.000-50.000 euros en un proyecto de millones de euros y horas/hombre) ni un menoscabo a la credibilidad. Al contrario, refuerza su imagen y demuestra interés por superar errores y reconocer a los miembros más talentosos de las ‘cons’ (convenciones de expertos en seguridad) sus méritos. Y la historia acaba muchas veces con final feliz: la opción de ser fichado y entrar por la puerta grande de una multinacional.
ATAQUES AS-A-SERVICE
Los sistemas operativos que rigen nuestros dispositivos y ofrecen la llave de todo su contenido son piezas muy codiciadas. Entre sus miles de líneas de código, siempre hay algún defecto de diseño y una puerta falsa por donde colarse. Lo saben los buenos y los malos. Lo saben los responsables cada vez que lanzan una nueva versión, a veces sin refinar del todo, presionados por intereses del calendario comercial. Y lo saben los miles de hackers que tras el anonimato de sus pantallas acechan cualquier movimiento o descuido.
En el supermercado del mal, un exploit de día cero cuesta 9.000 euros y ya se alquilan as-a-service. Igual solo sirve para hoy, pero, ¿cuántos ordenadores no se habrán actualizado todavía al último service pack en el mundo? Con que entren en un millón de potenciales “clientes”, ya se ha hecho siembra.
Estar lo más cerca posible de los fogones donde se preparan estos ataques a veces acorta los tiempos de respuesta. Y viceversa. Algunos de estos “cerebritos” se han pasado al lado luminoso y trabajan ahora en consultoría de ciberseguridad para grandes corporaciones, dejando atrás sus seudónimos y a.k.a. de guerra.
Cuando sufres un ataque, lo que quieres es anularlo. Pero a veces es más efectivo hacer como si no se hubiera percibido, para conocer mejor al enemigo, saber cuánto tiempo lleva allí y cómo entró, hasta dónde puede llegar y qué es lo que le interesa robar
Para David Conde, experto SOC/CERT de la empresa española S21sec, “se está evolucionando de una cocina de autor al fastfood”. Sin embargo, aclara, hay que tener mente fría cuando se ha detectado una intrusión en tu empresa. “Lo que te pide el cuerpo es anularla en el momento, pero a veces es más efectivo hacer como si no se hubiera percibido para conocer mejor al enemigo, saber cuánto tiempo lleva allí y cómo entró, hasta dónde puede llegar y qué es lo que le interesa robar. Cuando entramos y pedimos a los directivos: ‘¡déjalo activo!’ nos miran entre incrédulos y en pánico. Pero si ponemos algunos cebos falsos, podemos averiguar que los paquetes se exfiltran camuflados con el tráfico oficial a un Spotify. Al final, es posible extraer diversas lecciones, en concreto, que las medidas de contrainteligencia para generar confusión también son muy efectivas”.
LA CULPA ES DE LA TRANSFORMACIÓN DIGITAL
Una aclaración ya vieja en el sector: pese a que popularmente se sigan conociendo como hackers a todos los que intentan acceder a sistemas ajenos sin haber sido invitados, el término más correcto sería el de cracker, aceptado incluso por la RAE.
Así, por hacker se entiende a la “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”. Los crackers son los forajidos de esta película y los hackers una respetable profesión de futuro que asumen el papel de sheriff.
“Hay una demanda altísima de este tipo de perfiles, en todas partes, en Iberoamérica está empezando y en España lleva ya algún tiempo. Empresas de selección de personal y LinkedIn no dan abasto para atender el número de ofertas semanales demandando expertos en seguridad informática, en seguridad perimetral, en seguridad en redes, en seguridad tanto interior (corporativa) como exterior (la nube)”, señala Yago F. Hansen, miembro del Mundo Hacker Team y especialista en la implementación y auditoría de redes Wi-Fi.
La “culpa” no es otra que la llamada transformación digital. Hoy la inmensa mayoría de las empresas vende productos traducidos en bytes, que a su vez han desarrollado ellas mismas con sus equipos internos o encargado a boutiques de software por mucho dinero, por lo que tienen que proteger tanto sus infraestructuras como su propiedad intelectual. Y como es algo relativamente nuevo, no abundan los perfiles expertos.
Además, en España no hay una carrera o grado en ciberseguridad. Sí hay cursos de postgrado y másters específicos al final del camino académico, pero nada que se le acerque y encamine al principio, tipo FP. Por eso hay tanto autodidacta, y por eso las empresas se las ven y se las desean por encontrar este talento.
Hay tres clases de pruebas. En las ‘de caja negra’, la empresa no te facilita ninguna información ni herramienta. En las ‘de caja blanca’, te ofrece el código fuente para que lo analices y encuentres alguna falla. En las ‘de caja gris’, tras darte la empresa un usuario y contraseña, hay que ver hasta dónde puedes llegar
“El mercado está cambiando. Hemos tenido un sarampión de titulitis, con CV con 40 másters, pero a la empresa solo le importa los problemas diarios y reales que debe afrontar. Por eso recurre a empresas especializadas en la búsqueda de cazatalentos para cubrir sus puestos de CIO, CISO y CDO, y a menudo hay que tirar de lo que hay disponible. Por eso se abre un nuevo espectro, y cuentan más las pruebas técnicas que se puedan poner y superar que el tracking que justifique el título de ingeniero obtenido cinco años atrás. Eso sí, se piden una serie de requisitos mínimos: inglés sí o sí, y en cuanto a lenguajes de programación, Python, C y C+ más que Java o PHP, además de conocimientos en los entornos de redes y páginas web”, apunta Hansen.
TÁCTICAS Y ESTRATEGIAS: DEL BUG BOUNTY AL CAPTURE THE FLAG
Después de semanas (o meses) de desarrollo en el diseño de una nueva página web para vender sus productos, es normal que en algún despacho cunda el nerviosismo. Por muchos tests AB que se hayan pasado y cumplido los protocolos de QA, no se pueden arriesgar que el primer día les pinten la cara. Así que no es infrecuente que se requieran los servicios externos de un hacker profesional (“ético”) que haga el papel de malo e intente forzar el sistema en busca de algún agujero de seguridad.
[infogram id=»56e9a34e-dfee-4e0a-9290-4e69213ba185″ prefix=»tVu» format=»interactive» title=»fuga»]
Hay varias técnicas, las dos más utilizadas son los programas Bug Bounty y Capture the Flag. El Bug Bounty ofrece una recompensa al primero que sea capaz de romper las medidas de seguridad. Y no suele ser una cifra baja, se puede ofrecer muy tranquilamente entre 10.000 y 30.000 euros. “No deja de ser como una auditoría externa, y te ahorras el tener que contratar a alguien. En España no se ve mucho, pero es una práctica muy extendida en Europa y Norteamérica. De hecho, no es raro que el Gobierno federal de EE.UU. los convoque para sus agencias más sensibles (NSA, CIA, NASA…) y saque del tirón como medio millar de perfiles que contrata después, una especie de “got talent” a lo grande de la ciberseguridad”, comenta Hansen.
El Capture the Flag puede describirse como una especie de hacketón o juego multitudinario donde se establecen unas reglas básicas y un objetivo a tomar en un tiempo determinado. En España empiezan a verse alguno, y están previstos más para el año que viene. Los españoles tenemos mentes muy imaginativas y con gran inventiva, la selección española de hacking ha ganado los dos últimos campeonatos europeos, y tiene la oportunidad de volver a hacerlo el próximo 31 de octubre en Málaga.
Enrique Serrano, joven experto en seguridad informática, hacker ético y ahora metido a labores de consultoría en ciberseguridad para empresas del tamaño de IBM, comenta que, como miembro del Mundo Hacker Team, ha ejecutado muchos proyectos de este estilo, pero que ya no dan abasto.
“Durante varios años hemos hecho tests de intrusión a muchas empresas reconocidas. En general, hay tres clases de pruebas. En las llamadas ‘de caja negra‘, la empresa no te facilita ninguna información ni herramienta, solo firma un contrato que te autoriza a que llegues hasta donde puedas durante un tiempo estipulado. En las ‘de caja blanca‘, la empresa te ofrece el código fuente para que lo analices y encuentres alguna falla. Las ‘de caja gris‘ es una opción intermedia; tras darte la empresa un usuario y contraseña, hay que ver hasta dónde puedes llegar en el panel de usuario o desde un ordenador conectado a la red”.
Una técnica muy demandada es la de Request for Proposal. Se trata de diversas intervenciones simulando ataques, con la idea de reforzar la concienciación en hábitos de seguridad y las medidas más básicas entre el personal. Por ejemplo, mandar emails trampa, dejar un pendrive olvidado…
En este tipo de actuaciones, finalizado el plazo, se suele hacer dos tipos de informe: uno ejecutivo para el CIO, que le sirva para concienciar al consejo de dirección, a menudo un simple Powerpoint de 5 páginas; y otro más técnico y extenso, hasta de 80 páginas, que detalla el proceso, las vulnerabilidades encontradas (con captura de pantalla y rutas empleadas) y las soluciones propuestas. Normalmente, a los seis meses (o al año), las empresas más grandes quieren repetir para poder comparar y hacer mediciones. Al final son como auditorías externas, pero sobre todo tienen el valor de estar muy pegadas a la realidad de la Web.
Además, otra técnica muy demandada es la de Request for Proposal. Se trata de diversas intervenciones simulando ataques, con la idea de reforzar la concienciación en hábitos de seguridad y las medidas más básicas entre el personal. Por ejemplo, mandar emails trampa, dejar un pendrive olvidado… Después se analizan las diversas conductas y sus consecuencias.
Y es que, además de que el eslabón más débil de la cadena es el empleado, la batalla actual se desarrolla en el end-point (terminales de acceso de todo tipo). Antes, la mayoría de los ataques eran genéricos, pero cada vez se realizan de manera más dirigida, explotando la psicología humana, la codicia, la curiosidad, la vanidad…
El objetivo ahora no es tanto el vandalismo, como el robo de datos. Datos que están ahí, pero en el 60% permanecen no localizados para la empresa, porque no son estructurados. “Nosotros pedimos tener visibilidad completa sin ser intrusivos, y las empresas que andemos a horas intempestivas o de baja actividad comercial. Los presupuestos varían mucho. Pueden ir de 5.000 euros para una pyme a 50.000 euros para una empresa con 50 IP, e incluyen más acciones a lo largo de todos los sistemas”, señala Serrano.
LAS HERRAMIENTAS DEL FUTURO
Debido a la velocidad que se mueve Internet, se hace muy difícil mantener equipos internos enteramente entrenados en las últimas técnicas. Por eso se tiende más hacia los servicios gestionados. “Por el lado del hacker, se abre ante él una interesante oportunidad como medio de vida, aunque sea en plan freelance o una pequeña consultoría de seguridad de dos o tres personas. Estas empresas pueden vivir muy bien con este tipo de actividad dando servicio a otras pymes, pero incluso gigantes como IBM recurren a este tipo de servicios”, cuenta Serrano.
Lo que sí es fundamental es saber diseñar herramientas de automatización, porque no es un trabajo que pueda hacerse a mano. Hay que cribar todas las líneas de código de la empresa y en tiempo lo más cercano al real.
Las aplicaciones basadas en Inteligencia Artificial están llamadas a tomar el relevo en las técnicas de fuerza bruta. “Muchos crackers lo que están haciendo en la actualidad es recopilar y guardar todo tipo de contraseñas de cifrado fuerte, con la expectativa de que dentro de diez años o menos puedan ser reventadas. Todo dependerá de la evolución de las herramientas cognitivas y de la computación cuántica”, asegura Serrano. “Entre tanto, mi recomendación es acogerse al doble factor de autenticación, sea vía SMS, huella dactilar, iris del ojo o profundidad del rostro”.
Según estimaciones de IBM, para 2022 hará falta cubrir 1,8 millones de posiciones a nivel mundial en el campo de la seguridad informática. Las necesidades de contratación de personal especializado se van a ver disparadas con la explosión de la economía del dato digital y del Internet de las Cosas. Todos los estudios apuntan a que el robo de datos personales será masivo en los próximos años. Sin irnos tan lejos, la entrada en vigor del RGPD va a generar un negocio de varios miles de millones para cumplir con sus exigencias. Y no van a exigirse perfiles técnicos solo, también va a haber hueco para abogados, comerciales y expertos en crisis.
Los hackers van a dar de comer a mucha gente.
Por Javier Renovell
