Ellos se infiltraron a Uber, Starbucks y Airbnb para hacer hacking ético
- El hacking ético consiste en que personas, se cuelan legalmente en las empresas para ayudarlas a identificar vulnerabilidades y errores de compañías como Uber, Starbucks, Airbnb, Spotify y Atlassian.
- Estos hackers éticos suelen ser recompensados con miles de dólares a través de sitios como HackerOne o Bugcrowd.
- Varios hackers éticos relatan cómo es su vida y cómo se iniciaron en el mundo de la piratería informática.
Para la hacker ética Jesse Kinser la ciberseguridad es un estilo de vida. En su día a día ayuda a proteger los productos de su compañía como directora de seguridad de producto en LifeOmic. Cuando se va a casa, y su hijo duerme, es cuando empieza a piratear.
Se cuela en los sistemas informáticos, pero no para robar información sino para encontrar vulnerabilidades y fallos. Hackea para ayudar a compañías tecnológicas, tiendas de consumo, empresas dedicadas a la salud, proveedores de seguros e incluso entidades gubernamentales.
Ha hackeado para empresas como Starbucks, Uber o Airbnb.
«Las cosas están cambiando constantemente, lo que me mantiene involucrada», explica Kinser a Insider. «Todas estas compañías construyen fantásticos nuevos productos y yo soy la primera en romperlos».
Hoy en día, organizaciones importantes como Uber, Spotify, Atlassian o el Departamento de Defensa de los Estados Unidos, dan la bienvenida a estos hackers éticos mediante plataformas como Bugcrowd y HackerOne.
A cambio de encontrar vulnerabilidades, estos hackers son recompensados habitualmente con dinero en efectivo. Kinser explica que algunos se hicieron millonarios identificando vulnerabilidades.
El aumento de empresas que abren sus sistemas al hacking ético presagia un importante cambio de actitud hacia la seguridad. Se involucran cada vez más en la comunidad de ciberseguridad; e implican activamente a los hackers para informar sobre vulnerabilidades de seguridad.
Esto también beneficia a las empresas pues podrían enfrentarse a brechas de datos, violaciones de privacidad o grandes pérdidas financieras.
Las percepciones sobre los hackers también están cambiando, según Alex Rice, cofundador de HackerOne y actual CTO.
Por ejemplo, el excandidato presidencial del partido demócrata Beto O’Rourke era miembro de uno de los grupos de hackers más importantes del estado de Texas. Se llamaba ‘El culto de la vaca muerta’, pero pocos prestaron atención a este detalle en su biografía.
«Una de las cosas realmente interesantes sobre la percepción que tiene la comunidad, es lo rápido que saltamos sobre el estereotipo que aparece cada vez que alguien dice cómo se imagina a un hacker», explica Rice a Insider.
«Se imaginan a alguien en un sótano, por lo general una persona antisocial, pero cuando te fijas en las personas que aportan valor a esta comunidad, la diversidad de sus orígenes y los diferentes caminos que recorrieron para llegar a este mundillo, es algo realmente sorprendente».
El hacking ético y la ciberseguridad son un estilo de vida
Kinser ha hackeado durante 13 años. En la preparatoria, se inició en el mundo del hacking cuando programó sus relojes para encender y apagar su televisor.
En la universidad, comenzó a investigar sobre varios temas de seguridad e incluso trabajó para el Departamento de Defensa de los Estados Unidos. Finalmente, dirigió el programa de recompensas por encontrar vulnerabilidades de Salesforce y también empezó a hackear allí.
Ahora, después del trabajo, Kinser pasa tiempo con su familia y cuando su hijo se duerme, ella empieza a hackear. Dice que si encuentra algo interesante puede quedarse despierta hasta las dos de la mañana.
Cuando Kinser quiere piratear una página web, comienza a usarla como lo haría cualquier otra persona, pero con la motivación de un cibercriminal.
Crea una cuenta de usuario y piensa en dónde pueden quedar los datos confidenciales. Por ejemplo, en una web de venta al por menor, la gente puede crear cuentas en las que introducen los datos de sus tarjetas de crédito. Ella empieza intentando hackear esas áreas primero.
«Es un desafío», explica Kinser. «Siempre he dicho que el hacking ético y la ciberseguridad son un estilo de vida. Prácticamente, estoy metida en ello todo el rato».
André Baptista, profesor de 25 años en la Universidad de Portugal, también es un hacker ético que ha ganado más de 130,000 dólares por encontrar errores.
Empezó a trabajar cuando encontró un libro en el escritorio de su padre sobre programación. Luego estudió informática en la universidad.
No obstante, comenzó a hackear cuando se involucró en Atrapa la Bandera (CTF, por sus siglas en inglés), un juego para hackers en el que los jugadores intentan encontrar vulnerabilidades en escenarios simulados.
Fue el capitán del equipo de CTF de su universidad y clasificó para un evento en Las Vegas, después del que «su vida cambió por completo». En el evento, no encontró ningún error.
«Estaba un poco decepcionado conmigo mismo porque era bueno ya que me clasifiqué en el primer puesto, pero no sabía cómo buscar vulnerabilidades del mundo real ya que estaba acostumbrado a escenarios simulados», explica Baptista a Insider.
A partir de entonces, aprendió a encontrar errores reales y comenzó a practicar todos los días. Hace unos dos o tres años, se enteró de la existencia de HackerOne y se dio cuenta de que podía utilizarlo para encontrar vulnerabilidades reales. En febrero de 2018, encontró su primer fallo real.
«Los pagos también son realmente asombrosos», explica Baptista. «Mi vida ha cambiado por completo gracias a HackerOne».
Tanto Kinser como Baptista viajan frecuentemente para asistir a eventos de hacking. Baptista dice que su trabajo le da mucha flexibilidad. Después de obtener su título, su universidad lo retuvo como profesor. Él puede dar clases, y cada mes, viajar a algún lugar para asistir a eventos de HackerOne.
«Me encanta estar en múltiples lugares», afirma Baptista. «Me encanta hacer algo de hacking cuando estoy trabajando en la universidad, cuando tengo algo de tiempo libre entre las reuniones y las clases… Cuando voy a algún lugar como Londres, Ámsterdam, cuando voy allí, me siento muy inspirado porque no tengo otras distracciones y puedo hackear y encontrar algunos errores críticos».
El equipo rojo
El hacking ético también se da dentro de algunas empresas. Brianna Malcolmson lidera el «equipo rojo» de Atlassian, orientado a analizar y simular las amenazas que podrían tener como objetivo a Atlassian.
El término «equipo rojo» procede del campo militar, cuando los países realizaban simulaciones de lo que podrían hacer los enemigos.
El equipo ejecuta ataques contra Atlassian, como un ataque phising para conseguir que alguien instale malware en su equipo informático. Además de encontrar y recopilar información sobre vulnerabilidades, educa a la compañía sobre ciberseguridad, riesgos a los que se puede enfrentar
Y enseña cómo cada trabajador puede involucrarse para mejorar la seguridad.
Atlassian también tiene un «equipo azul», que practica y se entrena en lo que puede suceder ante un incidente de seguridad. Ambos equipos tienen cierta rivalidad, según Malcolmson.
Mientras que el equipo rojo debe trabajar duro para esquivar las protecciones definidas por el equipo azul, éste tiene que trabajar para proteger a toda la empresa.
«El equipo rojo fue una cosa del ejército en los años 60 y 70. Se expandió más recientemente a las empresas tecnológicas y ahora hay más de ellos en todo Silicon Valley que en años anteriores» explica Malcolmson a Insider.
Aunque el equipo rojo sea adversario del equipo azul, la relación en realidad es bastante amistosa. «Nos sentimos útiles para la empresa y atendemos las necesidades no sólo de todos los equipos de Atlassian, sino específicamente del equipo azul», explica Malcolmson.
«Cuando ponemos en común los resultados siempre tratamos de hacerlo desde el punto de, hicimos algunas cosas mal pero no se está culpando a nadie… Queremos que siga siendo una experiencia de aprendizaje para todos».
«Básicamente buenas personas que piensan como los tipos malos»
Rice dice que incluso hace cinco años, la piratería informática era sinónimo de actividad criminal. «La gente que tenía estas capacidades era empujada a la clandestinidad», argumenta.
«La gente que lo hizo, lo hizo por amor. No era la manera más obvia de ganarse la vida. Era realmente una comunidad muy pequeña que era básicamente gente que estaba allí apasionada por hacer que la tecnología fuera segura».
Casey Ellis, fundador y responsable técnico de Bugcrowd, dice que los hackers éticos son «básicamente buenas personas que piensan como los tipos malos». Bugcrowd reúne a estos hackers para cazar vulnerabilidades.
«Intenta explicarle cómo funciona un cortafuegos a una abuela y ella puede que lo entienda, pero es más probable que se pierda. Mientras que esta idea de vigilancia del vecindario de internet es un concepto bastante intuitivo». explicó Ellis a Insider.
Ahora bien, la seguridad es una conversación crítica para cualquier empresa. Un error que las compañías pueden cometer es tener a los desarrolladores trabajando en la nube para llevar sus productos al mercado sin pensar en la seguridad.
«Resulta bastante descabellado pensar que los hackers se puedan asociar con las empresas, pero eso es exactamente lo que está sucediendo a día de hoy», explica Rice.
«Podemos enseñar a la gente a hackear en un entorno clandestino. Podemos recompensar a la gente por hacerlo de una manera justa. Estamos asumiendo la piratería informática como un paso necesario y crítico» anñadió.
Los hackers pueden proceder de todas las clases sociales, aún así existe una falta de diversidad dentro de la comunidad hacker, ya que sigue siendo predominantemente masculina. Según un informe de Bugcrowd, sólo 4% de la comunidad hacker mundial es femenina.
Kinser dice que a veces resulta desalentador acudir a un evento de hacking y ver que es la única mujer; pero también la motiva para realizar programas de alcance o trabajar con HackerOne para invitar a más mujeres.
«En lugar de desanimarme mucho por ser mujer y ser de hecho la única mujer en una habitación junto a 50 hombres, trato de usar eso para tender la mano y fomentar la participación femenina», explica Kinser.
Cómo empezar a hackear
Para iniciarse en el mundo del hacking ético, Kinser sugiere leer manuales de hacking y aprender sobre cómo los hackers se las arreglan para irrumpir en el interior de un sistema informático. También invita a aprender a crear aplicaciones desde cero, lo que puede enseñar a entender dónde pueden estar los agujeros de seguridad.
«No es necesario ser ningún experto, pero si uno está pirateando una página web necesitará saber cómo funciona antes de tratar de piratearla», explica Kinser.
Bugcrowd.
De la misma manera, Baptista recomienda aprender a programar y tratar de construir aplicaciones móviles y para webs. También dice que la gente debería empezar a hacer CTFs, que es la manera en la que él se inicio en el mundo del hacking ético.
«Eso es algo clave que generalmente se pasa por alto», explica Kinser.
«Piensas en gente que se sienta en una esquina que trabaja por su cuenta. Sí, a veces es así, pero al mismo tiempo también nos apoyamos los unos en los otros. Eso es lo que resulta tan poderoso de estos eventos de hacking. ético. Llegar a la gente de la comunidad y realizar preguntas. No hay que tener timidez en hacerlo».
Su mayor consejo es que no te sientas intimidado
«Todo el mundo tiene que empezar en algún lugar y esta puede ser una industria desalentadora, así que sólo tienes que meterte dentro de ella», explica Kinser. «Lo más importante es que aprendan unos de otros».
AHORA LEE: 6 de cada 10 empresas mexicanas sufrieron brechas de ciberseguridad en 2020, según encuesta de Thales
TAMBIÉN LEE: El director ejecutivo de una empresa de ciberseguridad revela cómo responder a un ataque de ransomware