– Ene 21, 2020, 6:02 (CET)

Así trabajan los hackers éticos que se dedican a piratear legalmente empresas como Uber, Starbucks o Airbnb

  • Los hackers éticos se cuelan legalmente en el interior de las empresas para ayudarlas a identificar vulnerabilidades y errores, y compañías como Uber, Starbucks, Airbnb, Spotify, Atlassian o incluso en Departamento de Defensa de los Estados Unidos, están recibiendo con los brazos abiertos a estos piratas informáticos para ayudar a segurizar sus sistemas.
  • Estos hackers éticos suelen ser recompensados con miles de dólares a través de sitios como HackerOne o Bugcrowd, o pueden trabajar dentro de una empresa en un "equipo rojo" simulando ataques informáticos para ayudar a identificar vulnerabilidades.
  • Varios hackers éticos relatan cómo es su vida y cómo se iniciaron en el mundo de la piratería - informática.

Autor: Rosalie Chan

Para la hacker ética Jesse Kinser la ciberseguridad es un estilo de vida. En su día a día ayuda a proteger los productos de su compañía como directora de seguridad de producto en LifeOmic. Cuando se va a casa, después de que su hijo se duerma, es cuando empieza a piratear.

Como hacker ética se cuela en los sistemas informáticos, pero no para robar información sino para encontrar vulnerabilidades y fallos. Fuera del trabajo, hackea para ayudar a proteger compañías tecnológicas, tiendas de consumo, empresas dedicadas a la salud, proveedores de seguros e incluso entidades gubernamentales. Ha hackeado para empresas como Starbucks, Uber o Airbnb.

"Las cosas están cambiando constantemente, lo que me mantiene involucrada", explica Kinser a Business Insider. "Todas estas compañías están construyendo fantásticos nuevos productos y yo soy la primera en romperlos".

Hoy día, organizaciones importantes como Uber, Spotify, Atlassian o incluso el Departamento de Defensa de los Estados Unidos, utilizan cada vez más plataformas como Bugcrowd y HackerOne, que dan la bienvenida a estos hackers éticos —denominados también hackers de sombrero blanco— para que entren en esos sistemas y les recompensan por encontrar fallos.

A cambio de encontrar vulnerabilidades, estos hackers son recompensados habitualmente con una recompensa en dinero en efectivo por encontrar un error. Kinser explica que ha ganado miles de dólares con este sistema. Algunos hackers éticos incluso se han convertido en millonarios identificando vulnerabilidades.

El aumento de empresas que abren sus sistemas a estos hackers éticos presagia un importante cambio de actitud hacia la seguridad. Las empresas se están involucrando cada vez más en la comunidad de ciberseguridad y están implicando activamente a los hackers para encontrar o informar sobre vulnerabilidades de seguridad.

Esto también redunda en el beneficio de las empresas. De lo contrario, podrían enfrentarse a brechas de datos, violaciones de privacidad o, en última instancia, grandes pérdidas financieras.

Las percepciones sobre los hackers también están cambiando, según Alex Rice, cofundador de HackerOne y actual CTO. Por ejemplo, el excandidato presidencial del partido demócrata estadounidense Beto O'Rourke era miembro de uno de los grupos de hackers más importantes del estado de Texas, llamado 'El culto de la vaca muerta', aunque pocos prestaron atención a este detalle en su biografía.

Marten Mickos, CEO de HackerOne. HackerOne

"Creo que una de las cosas realmente interesantes sobre la percepción que tiene la comunidad hacker es lo rápido que saltamos sobre el estereotipo que aparece cada vez que alguien dice cómo se imagina a un hacker", explica Rice a Business Insider. "Se imaginan a alguien en un sótano, por lo general una persona antisocial, pero cuando te fijas en las personas que participan en aportar valor a esta comunidad, en la diversidad de sus orígenes y en los diferentes caminos que han recorrido hasta llegar a este mundillo, es algo realmente sorprendente".

El hacking y la ciberseguridad son un estilo de vida

Kinser ha estado hackeando durante 13 años. En el instituto, se inició en el mundo del hacking cuando programó sus relojes para encender y apagar su televisor. En la universidad, comenzó a investigar sobre varios temas de seguridad e incluso llegó a trabajar para el Departamento de Defensa de los Estados Unidos. Finalmente, dirigió el programa de recompensas por encontrar vulnerabilidades de Salesforce y también empezó a hackear allí.

Jesse Kinser, directora de seguridad de producto en LifeOmic. Jesse Kinser

Ahora, después del trabajo, Kinser suele pasar tiempo con su familia. Cuando su hijo se duerme, ella empieza a hackear. Dice que si encuentra algo interesante puede quedarse despierta hasta las 2 de la mañana.

Cuando Kinser quiere piratear una página web, comienza a usarla como lo haría cualquier otra persona, pero con la motivación de un cibercriminal. Creará una cuenta de usuario y pensará en dónde pueden quedar los datos confidenciales. Por ejemplo, en una web de venta al por menor, la gente puede crear cuentas en las que introducen los datos de sus tarjetas de crédito. Ella empieza intentando hackear esas áreas primero.

"Es un desafío", explica Kinser. "Siempre he dicho que el hacking y la ciberseguridad son un estilo de vida. Prácticamente, estoy metida en ello todo el rato".

André Baptista, profesor de 25 años en la Universidad de Portugal, también es un hacker ético que ha ganado más de 130.000 dólares en recompensas por encontrar errores. Empezó a trabajar cuando encontró un libro en el escritorio de su padre sobre programación. Luego acabaría estudiando informática en la universidad.

André Baptista, profesor de seguridad de la información en la Universidad de Oporto. HackerOne

No obstante, comenzó a hackear cuando se involucró en Atrapa la Bandera (CTF, por sus siglas en inglés), un juego para hackers en el que los jugadores intentan encontrar vulnerabilidades en escenarios simulados. Fue el capitán del equipo de CTF de su universidad y logró clasificarse para un evento en Las Vegas, después del cual, según él, "su vida cambió por completo". En el evento, no encontró ningún error.

"Estaba un poco decepcionado conmigo mismo porque era bueno ya que me clasifiqué en el primer puesto, pero no sabía cómo buscar vulnerabilidades del mundo real ya que estaba acostumbrado a escenarios simulados", explica Baptista a Business Insider.

A partir de entonces, decidió aprender a encontrar errores reales y comenzó a practicar todos los días. Hace unos dos o tres años, se enteró de la existencia de HackerOne y se dio cuenta de que podía utilizarlo para encontrar vulnerabilidades reales. Y en febrero de 2018, encontró su primer fallo real.

"Los pagos también son realmente asombrosos", explica Baptista. "Mi vida ha cambiado por completo gracias a HackerOne".

Tanto Kinser como Baptista viajan frecuentemente para asistir a eventos de hacking. Baptista dice que su trabajo le da mucha flexibilidad. Después de obtener su título, su universidad lo retuvo como profesor. Él puede dar clases, y cada mes, puede volar a algún lugar para asistir a un evento de HackerOne.

Sin embargo, dice que a veces se siente presionado cuando otros hackers encuentran errores en los eventos, y él no encuentra ninguno. Otras veces, es al revés.

"Me encanta estar en múltiples lugares", afirma Baptista. "Me encanta hacer algo de hacking cuando estoy trabajando en la universidad, cuando tengo algo de tiempo libre entre las reuniones y las clases... Cuando voy a algún lugar como Londres, Ámsterdam, cuando voy allí, me siento muy inspirado porque no tengo otras distracciones y puedo hackear y encontrar algunos errores críticos".

El equipo rojo

El hacking ético también se da dentro de algunas empresas. Brianna Malcolmson lidera el "equipo rojo" de Atlassian, orientado a analizar y simular las amenazas que podrían tener como objetivo a Atlassian. El término "equipo rojo" procede del campo militar, cuando los países realizaban simulaciones de lo que podrían hacer los enemigos.

El equipo ejecuta ataques contra Atlassian, como un ataque phising para conseguir que alguien instale malware en su equipo informático. Además de encontrar y recopilar información sobre vulnerabilidades, educa a la compañía sobre ciberseguridad, sobre los riesgos a los que se puede enfrentar y sobre cómo cada trabajador puede involucrarse para mejorar la seguridad.

Atlassian también tiene un "equipo azul", que practica y se entrena en lo que puede suceder ante un incidente de seguridad. Ambos equipos tienen cierta rivalidad, según Malcolmson. Mientras que el equipo rojo debe trabajar duro para esquivar las protecciones definidas por el equipo azul, éste tiene que trabajar para proteger a toda la empresa.

"En realidad, en los últimos cinco años, el número de equipos rojos ha aumentado mucho", explica Malcolmson a Business Insider. "El equipo rojo fue una cosa del ejército en los años 60 y 70. Se ha expandido más recientemente a las empresas tecnológicas. Ahora hay más equipos rojos en todo Silicon Valley que en todos los años anteriores.

Malcolmson dice que aunque el equipo rojo sea adversario del equipo azul, la relación en realidad es bastante amistosa. "Nos sentimos útiles para la empresa y atendemos las necesidades no sólo de todos los equipos de Atlassian, sino específicamente del equipo azul", explica Malcolmson. "Cuando ponemos en común los resultados siempre tratamos de hacerlo desde el punto de, hicimos algunas cosas mal pero no se está culpando a nadie... Queremos que siga siendo una experiencia de aprendizaje para todos".

"Básicamente buenas personas que piensan como los tipos malos"

Rice dice que incluso hace solo 5 años, la piratería informática era sinónimo de actividad criminal. "La gente que tenía estas capacidades era empujada a la clandestinidad", argumenta. "La gente que lo hizo, lo hizo por amor. No era la manera más obvia de ganarse la vida. Era realmente una comunidad muy pequeña que era básicamente gente que estaba allí apasionada por hacer que la tecnología fuera segura".

Casey Ellis, fundador y CTO de Bugcrowd, dice que los hackers éticos son "básicamente buenas personas que piensan como los tipos malos". Bugcrowd reúne a estos hackers para cazar vulnerabilidades.

Casey Ellis, fundador y CTO de Bugcrowd. Business Insider /Julie Bort

"Es un concepto que la gente normal puede entender", explica Ellis a Business Insider. "Intenta explicarle cómo funciona un cortafuegos a una abuela y ella puede que lo entienda, pero es más probable que se pierda, mientras que esta idea de vigilancia del vecindario de Internet es un concepto bastante intuitivo".

Ahora bien, la seguridad es una conversación crítica para cualquier empresa, ya que un error que las compañías pueden cometer es tener a los desarrolladores trabajando alrededor de la nube para llevar sus productos al mercado sin pensar en la seguridad.

"Resulta bastante descabellado pensar que los hackers se puedan asociar con las empresas, pero eso es exactamente lo que está sucediendo a día de hoy", explica Rice. "Podemos hacerlo de un modo más transpartente. Podemos enseñar a la gente a hackear en un entorno clandestino. Podemos recompensar a la gente por hacerlo de una manera justa. Estamos asumiendo la piratería informática como un paso necesario y crítico".

Aunque muchos hackers puedan proceder de todas las clases sociales, todavía existe una falta de diversidad dentro de la comunidad hacker, ya que sigue siendo predominantemente masculina. Según un informe de Bugcrowd, sólo el 4% de la comunidad hacker mundial es femenina.

Kinser dice que a veces resulta desalentador acudir a un evento de hacking y ver que es la única mujer, pero también la motiva para realizar programas de alcance o trabajar con HackerOne para invitar a más mujeres.

Una hacker ética busca vulnerabilidades en Bug Bash, un evento organizado por Atlassian y Bugcrowd. El evento tuvo un 35% de asistencia femenina. Bugcrowd

"En lugar de desanimarme mucho por ser mujer y ser de hecho la única mujer en una habitación junto a 50 hombres, trato de usar eso para tender la mano y fomentar la participación femenina", explica Kinser. "Hasta en mi trabajo diario, la mayoría de gente con la que me relaciono son hombres".

Cómo empezar a hackear

Para iniciarse en el mundo del hacking ético, Kinser sugiere leer manuales de hacking y aprender sobre cómo los hackers se las arreglan para irrumpir en el interior de un sistema informático. También invita a aprender a crear aplicaciones desde cero, lo que puede enseñar a entender dónde pueden estar los agujeros de seguridad.

"No es necesario ser ningún experto, pero si uno está pirateando una página web necesitará saber cómo funciona antes de tratar de piratearla", explica Kinser.

Un grupo de hackers de sombrero blanco buscan vulnerabilidades durante Bug Bash, un evento organizado por Atlassian y Bugcrowd. Bugcrowd

De la misma manera, Baptista recomienda aprender a programar y tratar de construir aplicaciones móviles y para webs. También dice que la gente debería empezar a hacer CTFs, que es la manera en la que él se inicio en el mundo del hacking ético.

Para preguntas sobre hacking, existe una enorme comunidad de hackers éticos en Internet.

"Eso es algo clave que generalmente se pasa por alto", explica Kinser. "Piensas en gente que se sienta en una esquina que trabaja por su cuenta. Sí, a veces es así, pero al mismo tiempo también nos apoyamos los unos en los otros. Eso es lo que resulta tan poderoso de estos eventos de hacking. Llegar a la gente de la comunidad y realizar preguntas. No hay que tener timidez en hacerlo".

Las hackers éticas Dawn Isabel y Jesse Kinser ganaron un premio a la mejor vulnerabilidad en Bug Bash, el evento de hacking organizado por Atlassian y Bugcrowd. Bugcrowd

Su mayor consejo es que no te sientas intimidado.

"Todo el mundo tiene que empezar en algún lugar y esta puede ser una industria desalentadora, así que sólo tienes que meterte dentro de ella", explica Kinser. "Lo más importante es que aprendan unos de otros".

Este artículo fue publicado originalmente en Business Insider