*

Labs

Ganan US$ 75.000 al año "matando bichos" desde un sillón

Los programas de recompensa intentan incluir a la comunidad de hackers en la seguridad corporativa, pero las motivaciones van más allá del dinero. Es un nuevo recurso para el CISO, pero ¿alcanza?

Por PABLO LABARTA - 31 de Octubre 2018
Ganan US$ 75.000 al año "matando bichos" desde un sillón

Tu información, tus fotos, tus comunicaciones, tu cuenta bancaria, tus datos están en manos de empresas cuya integridad depende de que sus sistemas no tengan agujeros a la vista de quien quiera robarlos. En un mercado que premia la innovación y los desarrollos rápidos, la seguridad quedó en el fondo de la lista de prioridades y esto hizo que algunos profesionales del rubro opten por trabajar de forma independiente: atacan a las plataformas de grandes empresas como Microsoft, Amazon, Google y Apple en busca de vulnerabilidades que reportan a cambio de una recompensa. Son cazadores de bugs, mercenarios de la informática, y están en el negocio por el crédito y el dinero, pero también por amor al deporte, a la adrenalina de ser el primero en encontrar una falla

El auge de las aplicaciones web hizo que el perímetro que manejaban los administradores de las redes empresariales se extienda enormemente. La migración a la nube y el acceso de usuarios desde la red pública cambió la forma de defenderse. Herramientas que habían sido diseñadas para un trabajo concreto vieron su aplicación extendida más allá de su diseño y la combinación de módulos hizo que los desarrolladores se abstraigan del producto final, dejándolos con poco conocimiento sobre el estado de su seguridad y aumentando las chances de tener vulnerabilidades con cada empalme.

Si bien la tecnología es cada vez más robusta, la velocidad con la que aparecen nuevos desarrollos supera los esfuerzos por asegurar las aplicaciones. Según un informe realizado por el desarrollador de Firewalls Imperva, mientras que en 2016 se publicaron más de 6.600 nuevas vulnerabilidades en aplicaciones web, en 2017 el número ascendió a 14.000. Lo preocupante es que para la mitad de estas hay un exploit disponible en la web, una herramienta ya preparada para aprovechar la vulnerabilidad, y el 36 por ciento no tiene una solución disponible, ni parche, ni actualización que la corrija.

Así, la atención al problema de la seguridad aparece recién al final del ciclo de desarrollo o, aún peor, luego de un incidente. Si bien las más grandes tienen sus propios equipos dedicados, muchas dependen de profesionales externos para mitigar el impacto. Históricamente, del problema se encargaron las consultoras de seguridad, equipos de especialistas que, contrato de por medio, lanzan toda su artillería contra las defensas de la compañía, miden el impacto, generan un informe y, en algunos casos, detallan las soluciones. Pero la demanda actual hizo que aparezca una segunda opción: los programas de “Bug Bounties”.

Al igual que internet impulsó el crowdsourcing y el crowdfunding, lo “crowd” llegó al área de seguridad. Ahora hay plataformas como Hackerone y Bugcrowd que gestionan programas de recompensas para que cualquier hacker busque activamente vulnerabilidades en la plataforma web o móvil de una empresa sin correr riesgos legales y con la oportunidad de cobrar por los issues que encuentre. Así, las empresas tienen a cientos de investigadores probando su seguridad, pero solo le pagan a quien encuentra algo.

Saliendo de las sombras

El mercado de los bugs siempre existió, pero antes solo operaba desde las sombras. Cuando el investigador argentino Lucas Apa (29) comenzó su carrera profesional, la venta de bugs era parte de un mundo gris y no se hacía de forma directa. “Vos le vendías el bug a una empresa que luego negociaba con los dueños del producto”, cuenta quien ahora se desempeña como consultor senior para la firma de seguridad IOActive. César Cerrudo (42), el CTO de la empresa, recuerda que antes era imposible trabajar de esto porque no había un marco legal. “Si encontrabas algún problema y lo reportabas, con suerte te agradecían.”

Hay cazadores de bugs que viven solo de las recompensas, pero en la Argentina es difícil encontrarlos. Las trabas para ingresar el dinero hacen que depender de ellas sea riesgoso y la mayoría de los hackers locales lo hace part-time, tienen un trabajo de tiempo completo y en sus ratos libres juegan con plataformas ajenas.

Alejandro Iacobelli (30) es uno de ellos. De día es el líder técnico del equipo de seguridad aplicativa de MercadoLibre y de noche caza bugs por su cuenta. En la empresa pasó de trabajar en un rol ofensivo a una posición más defensiva y para mantenerse en forma práctica haciendo bug bounties. “No solo es un ingreso extra, sino que también me ayuda a mantenerme activo en el ataque y me pone en contacto con empresas grandes como Google o Booking y aprendo sobre sus tecnologías”, explica el especialista en criptografía.

Las motivaciones son varias, pero según el último informe anual de Hackerone, el dinero dejó de ser la principal. De los 1.698 hackers que respondieron la encuesta, el 13,1 por ciento indicó que la recompensa es su principal motivación. Pero 14 por ciento señaló que lo hace por diversión, otro 14 por ciento por el desafío que presenta y 14,7 por ciento caza bugs para aprender nuevas técnicas. El ego y la bondad también tienen su lugar: el tres por ciento dijo que lo hace para demostrar sus habilidades y el 10 por ciento asegura que es porque quiere hacer el bien.
Hoy, los principales bounties son ofrecidos por empresas que tienen aplicaciones web o móviles. “Por razones de seguridad, no le van a dar acceso a cualquiera a sus cuestiones internas. Si bien los programas delimitan qué es lo que se puede probar, las aplicaciones ya son públicas y permitir que otros las evalúen no presenta riesgos adicionales”, explica Iacobelli. Pero de a poco los programas ingresan a las redes más sensibles de la mano de recompensas privadas que requieren de una invitación. 
Quienes persiguen las recompensas no apuntan a las grandes empresas, cuya seguridad es robusta si se la compara con el resto. En cambio, la ganancia está en compañías emergentes que están dejando de ser startups y comienzan a jugar en las grandes ligas. Actualmente, hay una gran cantidad de estas en el sector fintech, como aquellas dedicadas a los criptoactivos, que crecieron lo suficiente como para empezar a invertir seriamente en su seguridad, pero cuyas aplicaciones todavía no están pulidas.

La comunidad argentina de seguridad informática creció, pero sigue siendo pequeña a comparación de otras como la de la India que se multiplicó impulsada por los jugosos ingresos que ofrecen los programas. Aún así, se destaca por su excelente nivel. De los US$ 23,5 millones que se repartieron entre los miembros de Hackerone en 2017, US$ 673.500 se los llevaron argentinos, poniendo al país noveno en el ranking de la plataforma. Cabe destacar que fueron solo nueve hackers locales los que participaron de los programas, dando un promedio de US$ 75.000 por persona, y en el primer puesto está el argentino Santiago López, quien caza bugs bajo el seudónimo Try To Hack.

Hacker Dojo

Si bien cada uno tiene su propia metodología, la mayoría coincide en que encontrar vulnerabilidades no es algo que se enseñe en la universidad. Apa, por ejemplo, comenzó aprender sobre seguridad a los 15 años, cuando por hobby se las ingeniaba para crackear videojuegos. “Estudié ingeniería informática en la Universidad Austral, pero durante toda la carrera estudié cuestiones de seguridad en paralelo porque no es algo que te puedan explicar, sino que tenés que experimentar y aprender practicando”, cuenta. 

De la misma forma, a la hora de contratar especialistas en seguridad, poco valen los títulos. Alfredo Ortega (39), quien tiene un doctorado en Informática por el ITBA y más de 20 años de experiencia como profesional de seguridad, admite que su caso es especial. “Hay muchísima gente buscando bugs sin haber estudiado informática en una universidad. Es verdad que mi educación me permite encontrar problemas en algoritmos y bases de datos, pero la mayoría tiene títulos en otras áreas como filosofía o incluso comunicación”, aclara. Lo mismo pasa con las certificaciones. “No descartaría a alguien con estudios universitarios, pero las certificaciones que dan las empresas de seguridad como la de Certified Ethical Hacker o la CISSP solo sirven para la parte burocrática”, detalla Ortega.

Está capacitación paralela que deben realizar quienes decidan dedicarse a la seguridad informática es más accesible que antes, lo cual podría explicar el crecimiento del mercado profesional. “Hoy por suerte hay una gran cantidad de recursos en internet, desde videos, manuales, libros y cursos online hasta máquinas virtuales que cualquiera puede configurar y usar para probar nuevas técnicas”, señala Cerrudo, el CTO de IOActive.

"Hay muchísima gente buscando bugs sin haber estudiado informática en una universidad.”

— Alfredo Ortega, profesional de ciberseguridad.

Los hackers también deben tener la capacidad de explicar los bugs, contar su impacto y detallar no solo cómo se realiza el ataque, sino también, en algunos casos, cómo mitigarlo. A diferencia de los reportes que escriben los equipos internos, que tienen un enfoque más empresarial y se centran en cómo el problema impacta en el negocio, aquellos que cazan bugs de forma independiente se comunican directamente con sus pares y se explayan en las cuestiones técnicas. Cristóbal del Pino (28), consultor de la empresa de seguridad informática Mkit explica que es fundamental para las empresas tener un canal claro para recibir estos informes externos. “Me ha pasado de encontrar vulnerabilidades en otras organizaciones y no saber a quién acercarle la información. Alguna que otra vez logré comunicarme con una persona que pueda recibirlo, pero no siempre es el caso y las empresas que no lo tienen están perdiendo información valiosa”, destaca.

Un nuevo complemento

Expertos como Apa, Cerrudo, Iacobelli y Ortega creen que si bien estos nuevos programas permiten hacer un crowdsourcing de la seguridad, no son suficientes. Andres Riancho (35), un consultor independiente que hace 10 años trabaja para empresas locales e internacionales, concuerda. “Solo cubren la punta del iceberg de la estrategia de seguridad que debería ser mucho mayor. Las empresas no pueden basar su seguridad únicamente en los programas. Necesitan realizar auditorías y conocer a fondo sus sistemas para luego, como último paso, abrirse al mundo y decir ‘ok, estoy listo para que intenten hackearme’”, explica Riancho.

Aún así, el formato se presenta interesante y puede ser adaptado. Las compañías pueden crear programas internos para que sus desarrolladores, que ya conocen a fondo la plataforma, compitan por encontrar bugs y obtener bonos al igual que cuando cumplen objetivos. “Esto también le permite a los equipos de seguridad encontrar a personas que sobresalgan en el campo e, idealmente, pedir que los trasladen a su área”, señala Riancho, pero agrega: “Si bien es un recurso más que pueden usar los Chief Information Security Officers (CISO), no le quita importancia a la base. Para mejorar su seguridad de forma consistente, las empresas tienen que entrenar a sus desarrolladores para que escriban código seguro”. Es imposible que toda la producción sea segura debido al caudal de código que generan los equipos, pero si es posible mitigar las vulnerabilidades conocidas mediante el uso de frameworks seguros y la integración de herramientas que las detecten de forma automática en el ciclo de desarrollo. 

De la vida real

Si bien los programas de Bug Bounties se centran en la seguridad de las aplicaciones web y móviles, estas solo pueden causar daños económicos o indirectos. Otras vulnerabilidades presentan peligros aún mayores. La nueva generación de robots industriales colaborativos está pensada para trabajar codo a codo con los humanos, pero podrían no ser tan buenos compañeros.

El año pasado, Lucas Apa y Cesar Cerrudo encontraron más de 50 errores en tres robots hogareños e industriales que permiten usarlos para espiar o incluso transformarlos en armas. El peor caso fue el de un robot fabricado por Universal Robots, cuyos brazos de más de un metro pueden levantar hasta 10 kilos. Descubrieron que es posible reconfigurarlo e ignorar los parámetros de seguridad que limitan su velocidad y movimientos cuando detecta que hay una persona cerca. A su vez, Apa también participó de una investigación en 2013 donde detectó una vulnerabilidad en un sistema de sensores de presión y fluidos usados comúnmente en refinerías de petróleo. Estos podían ser intervenidos a una distancia de 65 kilómetros y ser usados para alterar sus operaciones.

“La prioridad debería ser todo lo que pueda causarle un daño físico a un ser humano. Ahora la seguridad está en todo, y hay muchos daños financieros y económicos, pero también podes hackear algo y causar un accidente de tránsito, de avión, una muerte. Hay que enfocarnos en evitar que estas nuevas tecnologías que estamos usando sean usadas para lastimar a alguien a través de internet”, reflexiona Apa.  

--

Nota publicada en la edición 246 de INFOTECHNOLOGY.



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Notas Relacionadas