La imagen más fácil a la hora de imaginar un hacker es una persona encapuchada, encerrada en un cuarto oscuro, maquinando un robo millonario o vendiendo fotos íntimas en el mercado negro. Y aunque existen miles de este tipo, conocidos como los black hat, hay muchos de investigación llamados white hat, y su trabajo ha sido fundamental para tener los avances que hoy existen en ciberseguridad.
Piense en las actualizaciones de sistema operativo que ha recibido en los últimos meses en su celular y computador. Aunque parezca molesto y muchas veces no las pueda instalar por falta de espacio, cada nueva versión trae un parche de seguridad para protegerlo de una vulnerabilidad que seguramente fue descubierta y reportada por un hacker.
Lo mismo sucede con los avances en la seguridad del hardware. Un ejemplo ocurrió en 2016: un hacker llamado Damien Zammit descubrió que los procesadores de Intel tenían un backdoor, o puerta abierta, que permitía a cibercriminales tener acceso remoto a la memoria almacenada en el computador.
El reto es por el exploit
El trabajo de los hackers ayuda a contruir sistemas más fuertes. El ingeniero Fredy Romero, especialista en bases de datos de la compañía Quintero Hermanos, explica que los sistemas tienen puertas por donde entra y sale información y lo que un hacker hace es verificar qué programas o plataformas tienen algunas abiertas.
“En ese sentido, sin hackers no tendríamos ningún software medianamente seguro. Algunos reportan la vulnerabilidad a la compañía desarrolladora y otros deciden aprovecharse de la puerta abierta y hacen un ataque mediante un exploit. De cualquier manera, obligan a que los programadores refuercen la seguridad”, señala Romero.
En el mundo de la informática, un exploit es cuando se fabrica un troyano, gusano o ransomware para explotarlo en una puerta abierta de un sistema y establecer un canal de comunicación entre el afectado y el atacante.
“Cuando un hacker descubre una brecha de información que nadie conoce y la explota de una nueva forma, se llama un exploit de día cero”, señala Axel Díaz, especialista en seguridad de la información e informática de Adalid.
Díaz explica que los exploit de día cero reciben este nombre solamente a partir del momento en que el fabricante se da cuenta de que existe esta nueva forma de ataque. Se llama día cero porque empieza el tiempo que tiene el fabricante del programa para reaccionar y generar un parche para un problema que se desconocía.
“Son muy difíciles de encontrar. Hay muchos días cero que no se han descubierto y el temor es que los hackers pueden pasar mucho tiempo intentando vulnerar la brecha antes de que sea conocida”, comenta.
Por su parte, Dmitry Bestuzhev, director de investigación y análisis de Kaspersky en América Latina, afirma que todos los hackers están en la búsqueda de los ataques de día cero, la diferencia está en qué hacen con esa información.
Recompensa Vs. silencio
Compañías como Microsoft y Google, principalmente, tienen programas de recompensas para los que reporten vulnerabilidades en sus sistemas operativos y dispositivos. El pasado 21 de noviembre, el programa de recompensas de seguridad de Android (ASR) anunció que entregaría 1,5 millones de dólares a quien encuentre “exploits que comprometan la seguridad de su teléfono Pixel y las pruebas para desarrolladores de Android”.
Si las compañías pagan estas jugosas recompensas a los hackers de investigación, ¿qué ganan quienes no acceden a estos programas y deciden ponerse del otro lado?
La respuesta está en que los white hat reciben una sola cantidad por reportar un exploit a una compañía, mientras que los black hat pueden vender un mismo exploit a varios clientes en el mercado negro, duplicando la cifra que podrían recibir si hacen público el ataque.
“Un exploit para iOS puede valer hasta 3 millones de dólares en el mercado negro”, señala Bestuzhev, y enfatiza en que a los black hat no les interesa que los fabricantes se enteren de los exploits, porque pueden ganar mucho más.
El interés de quienes compran estos en el mercado negro es seguir intentando un ataque hasta descubrir un exploit de día cero. “No se sabe por cuánto tiempo lo sigan vendiendo hasta que la casa productora se entere. Pueden pasar años”, comenta.
Un hacking ético
Cuando se trata de amenazas de ciberseguridad, la urgencia es por comunicar y hacer pública la información de vulnerabilidades y ataques, sin importar el factor económico o empresarial.
Un ejemplo de ello sucedió en agosto de este año, cuando investigadores de seguridad del Proyecto Cero de Google reportaron seis vulnerabilidades en iOS. Gracias a esto Apple diseñó parches para cinco de ellas que fueron lanzados en la versión 12.4 de su sistema operativo para iPhone.
Al respecto, Aníbal Rojas, vicepresidente de Ingeniería de la startup de educación en línea Platzi, señala que es importante enseñarles a los usuarios que “la seguridad es un proceso y nunca existirá un sistema completamente inmune”. Desde su experiencia en Platzi, que ofrece un curso de hacking ético, Rojas apunta la importancia de quitar estereotipos sobre un oficio que se ha convertido en una disciplina y que es esencial para avanzar a sistemas robustos.
Así que, la próxima vez que escuche una noticia sobre un nuevo ataque descubierto por un hacker, o una persona que vive de las recompensas de las empresas, antes de desconfiar, piense que detrás del evento podría estar el trabajo de un white hat, en la búsqueda por ganarle la carrera a quienes venden millonarios exploits en el mercado negro.
