Durante el último año, los piratas informáticos éticos han evitado más de 27.000 millones de dólares en delitos cibernéticos, según un informe publicado el martes por una plataforma líder de recompensas por errores.
En su informe anual Inside the Mind of a Hacker, Bugcrowd sostuvo que los piratas informáticos éticos que trabajan en su plataforma pudieron evitar esas pérdidas por delitos cibernéticos a las organizaciones al exponer vulnerabilidades que de otro modo no se habrían detectado.
El informe se basa en una encuesta de usuarios de la plataforma y una investigación de seguridad realizada entre mayo de 2020 y agosto de 2021, además de millones de puntos de datos patentados recopilados sobre vulnerabilidades de casi 3000 programas de seguridad.
“La piratería ha sido difamada durante mucho tiempo por representaciones estereotipadas de delincuentes encapuchados, cuando en realidad los piratas informáticos éticos son expertos altamente confiables y laboriosos que capacitan a las organizaciones para lanzar productos seguros al mercado más rápido”, dijo el presidente y director ejecutivo de Bugcrowd, Ashish Gupta, en un comunicado de prensa.
El informe señaló que casi tres de cuatro piratas informáticos éticos (74 por ciento) acordaron que las vulnerabilidades han aumentado desde el comienzo de la pandemia de Covid-19.
“Debido al rápido cambio que casi todos experimentaron debido a la pandemia, se introdujeron muchas vulnerabilidades y debilidades”, observó John Bambenek, principal cazador de amenazas en Netenrich, una empresa de operaciones de seguridad digital y TI con sede en San José, California.
“Puedes hacer las cosas rápido o hacer las cosas de forma segura y, por necesidad, hicimos las cosas rápido”, dijo a TechNewsWorld.
Tabla de Contenidos
Panorama cambiante de la vulnerabilidad
No hay duda de que el panorama de vulnerabilidad ha cambiado desde el comienzo de la pandemia, agregó Jake Williams, cofundador y director de tecnología de BreachQuest, una empresa de respuesta a incidentes en Dallas.
“A medida que la mayoría de los trabajadores del conocimiento pasaron del trabajo local al trabajo remoto, la arquitectura de la red cambió fundamentalmente”, explicó a TechNewsWorld.
“Consideramos la seguridad como la intersección de la confidencialidad, la integridad y la disponibilidad”, continuó. “El cambio al trabajo remoto ocurrió tan rápido que la mayoría de las organizaciones solo trabajaron en disponibilidad sin preocuparse por los otros aspectos de la seguridad”.
“Sin duda se seguirán descubriendo vulnerabilidades causadas por la rápida transición al trabajo remoto”, insistió Williams.
La pandemia también ha aumentado la demanda de nuevos talentos en las empresas de ciberseguridad. De las muchas certificaciones que pueden obtener los novatos cibernéticos, Abhijit Ghosh, CTO y cofundador de Confluera, un fabricante de plataformas de seguimiento de ciberamenazas en Palo Alto, California, considera que la más importante es Certified Ethical Hacker.
“Además de mostrar su comprensión de las herramientas y técnicas de piratería, la experiencia con los hack-a-thons y las competencias de atrapar la bandera no es diferente del escenario del mundo real en el que los profesionales de la seguridad cibernética deben responder en tiempo real a un ataque. en progreso”, dijo a TechNewsWorld.
“También asocio esta certificación con la pasión del individuo por esta industria”, agregó, “algo que necesitará mucho cuando los ataques cibernéticos lleguen en el momento más inoportuno, como los fines de semana y los días festivos”.
Se necesita monitoreo continuo
El informe Bugcrowd también señaló que más de nueve de cada 10 de los hackers éticos encuestados (91 por ciento) reconocieron que las pruebas puntuales, que es lo que hacen, no pueden asegurar una organización durante todo el año.
“Eso es un reflejo de lo que los profesionales de entrega de software han sabido durante años y años: ciclos más cortos y ágiles mejoran la calidad”, dijo Tim Wade, director técnico del equipo de CTO de Vectra AI, un proveedor de soluciones automatizadas con sede en San José, California. soluciones de gestión de amenazas
“Los compromisos rápidos y de menor alcance con la oportunidad de medir gradualmente las capacidades a lo largo del tiempo seguramente moverán la aguja para las organizaciones”, dijo a TechNewsWorld.
Las recompensas por errores tienen su mérito en el campo de la seguridad cibernética, pero aún caen en la categoría de centrar los esfuerzos en la implementación posterior y ser reactivos, agregó Archie Agarwal, fundador y director ejecutivo de ThreatModeler, un proveedor automatizado de modelado de amenazas en Jersey City, Nueva Jersey.
“Preferiría que los investigadores de seguridad legítimos siempre encuentren vulnerabilidades antes que los delincuentes, sin embargo, el enfoque de la industria debe cambiar hacia una seguridad proactiva y continua en la fase de diseño y construcción”, dijo a TechNewsWorld.
“Solo al aprovechar el modelo de amenazas automatizado que se entrelaza a la perfección a lo largo del ciclo de vida del desarrollo de software, comenzaremos a abordar realmente la escala de vulnerabilidades que se encuentran”, dijo.
Estilo de vida de piratas informáticos
El informe también contiene información sobre el estilo de vida, la experiencia y las motivaciones de los hackers éticos en la plataforma Bugcrowd, además de varios artículos «de cerca» sobre varios hackers.
“Siempre me siento inspirado por el ingenio y la mentalidad empresarial de quienes se sienten atraídos por la piratería ética”, observó el fundador y director ejecutivo de Bugcrowd, Casey Ellis.
“Nuestro último informe muestra que el 79 por ciento de los piratas informáticos éticos aprendieron por sí mismos cómo piratear utilizando recursos en línea”, dijo a TechNewsWorld.
“El informe también encontró que esta es la generación de hackers éticos más joven y étnicamente más diversa de la historia”, agregó. “El impacto que tiene esta cohorte en la frustración de los ataques cibernéticos y el avance de la industria es monumental, y seguramente continuará”.
Craig Young, investigador principal de seguridad en Tripwire, una empresa de prevención y detección de amenazas de seguridad cibernética en Portland, Oregón, explicó que las organizaciones aprovechan los programas de recompensas por errores como una forma de prueba de seguridad colaborativa.
«Ningún equipo de seguridad, sin importar cuán maduro sea, puede detectar el 100 por ciento de los problemas el 100 por ciento del tiempo», dijo a TechNewsWorld, «pero los programas de recompensas por errores ayudan a reducir el riesgo de que un problema perdido se aproveche para la intrusión».
Ventaja de ‘muchos ojos’
“Tener muchos ojos, especialmente con el talento y la capacitación necesarios, es una de las mejores cosas que puede hacer para encontrar y erradicar errores”, agregó Roger Grimes, un evangelista de defensa en KnowBe4, un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.
“No importa cuán bueno sea su equipo interno de búsqueda de errores, un equipo externo siempre encontrará errores que el equipo interno no encontró”, dijo a TechNewsWorld. “Los programas de recompensas por errores invitan a muchas personas y equipos externos a buscar errores en su software, antes de que lo hagan los piratas informáticos maliciosos”.
A pesar de los beneficios que los piratas informáticos éticos pueden aportar a una organización, quedan focos de desconfianza.
“La mayoría de las industrias no se sienten cómodas con las recompensas por errores y los piratas informáticos éticos porque no entienden los tremendos beneficios”, dijo Grimes. “Piensan que invitar a los piratas informáticos a piratear su software generará más malicia en general, cuando el resultado real es exactamente lo contrario”.
Sin embargo, señaló que las cosas han mejorado con los años. “Hace una década, la mayoría de las organizaciones nunca habrían permitido programas de recompensas por errores”, observó. “Ahora, tienes una gran cantidad de consorcios de recompensas por errores que compiten y personas que ganan dinero encontrando errores antes que los piratas informáticos maliciosos”.