CUANDO JACK WHITTON jaqueó Facebook, en el año 2013,
la compañía se lo agradeció y le envió un cheque por 20 000
dólares. Por entonces, fue el más grande monto de una “recompensa
por errores” en la historia. Facebook había invitado
al público a allanar su sitio en la red y buscar vulnerabilidades
que piratas informáticos maliciosos podrían explotar para atacar
la compañía o los usuarios. A Whitton le pagaron por hallar
un error que le permitiría a cualquier ciberpirata talentoso con
un teléfono apropiarse de su cuenta de Facebook.
Los programas de recompensa por errores nacieron de la
idea de que los hackers bien intencionados no deberían ser
castigados por hallar y reportar fallas de seguridad. Netscape
comenzó el primer programa en 1995, pero las recompensas
no se convirtieron en una parte importante de la industria de
seguridad hasta los últimos años. Tomó tanto tiempo porque
no siempre ha sido fácil discernir a los chicos buenos (los habilidosos
que exploran la red por un interés auténtico en cómo
funciona y un deseo de hacer de ella un mejor lugar) de los
chicos malos (los criminales que quieren cosechar datos de
usuarios o chantajear compañías). Pero una nueva camada de
compañías está tratando de resolver ese problema al estandarizar
los procesos para reportar errores y comunicarse con la
enorme y variada comunidad de piratas informáticos.
idea de que los hackers bien intencionados no deberían ser
castigados por hallar y reportar fallas de seguridad. Netscape
comenzó el primer programa en 1995, pero las recompensas
no se convirtieron en una parte importante de la industria de
seguridad hasta los últimos años. Tomó tanto tiempo porque
no siempre ha sido fácil discernir a los chicos buenos (los habilidosos
que exploran la red por un interés auténtico en cómo
funciona y un deseo de hacer de ella un mejor lugar) de los
chicos malos (los criminales que quieren cosechar datos de
usuarios o chantajear compañías). Pero una nueva camada de
compañías está tratando de resolver ese problema al estandarizar
los procesos para reportar errores y comunicarse con la
enorme y variada comunidad de piratas informáticos.
HackerOne, que administra programas de recompensa por
errores para compañías grandes como Yahoo y Twitter, empezó
en Holanda, donde Michiel Prins y Jobert Abma crecieron jugando
videojuegos juntos. El deseo de hacer trampa los llevó a modificar
el código de sus juegos favoritos, y una vez que aprendieron
cómo hacerlo, empezaron a jaquearse uno al otro por diversión.
Con el tiempo los dos terminaron con carreras en seguridad en
línea. En 2011, los dos pensaron en un reto para sí mismos: antes
de un viaje a Silicon Valley, hicieron una lista de las 100 principales
compañías de tecnología y procedieron a jaquearlas una por
una. “Entrábamos al sitio en la red y hallábamos una vulnerabilidad.
Pasábamos de cinco a 15 minutos en cada una”, dice Prins.
Luego se acercaban a las compañías con sus hallazgos, y les sorprendió
cuán difícil era hacer que escucharan una información
potencialmente crucial.
errores para compañías grandes como Yahoo y Twitter, empezó
en Holanda, donde Michiel Prins y Jobert Abma crecieron jugando
videojuegos juntos. El deseo de hacer trampa los llevó a modificar
el código de sus juegos favoritos, y una vez que aprendieron
cómo hacerlo, empezaron a jaquearse uno al otro por diversión.
Con el tiempo los dos terminaron con carreras en seguridad en
línea. En 2011, los dos pensaron en un reto para sí mismos: antes
de un viaje a Silicon Valley, hicieron una lista de las 100 principales
compañías de tecnología y procedieron a jaquearlas una por
una. “Entrábamos al sitio en la red y hallábamos una vulnerabilidad.
Pasábamos de cinco a 15 minutos en cada una”, dice Prins.
Luego se acercaban a las compañías con sus hallazgos, y les sorprendió
cuán difícil era hacer que escucharan una información
potencialmente crucial.
“Un tercio nunca se comunicó de vuelta. A pesar de
nuestros esfuerzos, nunca llegamos a la gente correcta. Un
tercio sí se comunicó de vuelta; estaban agradecidos, pero era
incómodo [para ellos] comunicarse con ciberpiratas. Ellos
arreglaron el problema, pero no estaban abiertos a hablar con
nosotros. Como resultado, a menudo hallamos una manera
de darle la vuelta al arreglo”, dice Prins. El tercio final estuvo“abierto en extremo” a los reportes de
errores. Prins dice que fue invitado a
muchas carnes asadas.
nuestros esfuerzos, nunca llegamos a la gente correcta. Un
tercio sí se comunicó de vuelta; estaban agradecidos, pero era
incómodo [para ellos] comunicarse con ciberpiratas. Ellos
arreglaron el problema, pero no estaban abiertos a hablar con
nosotros. Como resultado, a menudo hallamos una manera
de darle la vuelta al arreglo”, dice Prins. El tercio final estuvo“abierto en extremo” a los reportes de
errores. Prins dice que fue invitado a
muchas carnes asadas.
Alex Rice, por entonces director de
seguridad de productos en Facebook, fue
uno de los que recibieron de buen agrado
la información. De hecho, lo impresionó
tanto el proyecto que con el tiempo se
afilió para ayudar a hacer las recompensas
por errores más aceptables para las
organizaciones grandes. Ellos nombraron
la nueva compañía HackerOne como una
manera de recuperar la palabra hacker,
la cual ellos dicen que los medios de comunicación
han usado incorrectamente
como una manera de describir sólo a
los criminales. Hay una “serie increíblemente
diversa de personas que rinden
homenaje a la definición [del Instituto
de Tecnología de Massachusetts] de un
hacker, quien es alguien que busca el
desafío intelectual. Son académicos, estudiantes,
aficionados y profesionales en
penetración”, dice Rice.
seguridad de productos en Facebook, fue
uno de los que recibieron de buen agrado
la información. De hecho, lo impresionó
tanto el proyecto que con el tiempo se
afilió para ayudar a hacer las recompensas
por errores más aceptables para las
organizaciones grandes. Ellos nombraron
la nueva compañía HackerOne como una
manera de recuperar la palabra hacker,
la cual ellos dicen que los medios de comunicación
han usado incorrectamente
como una manera de describir sólo a
los criminales. Hay una “serie increíblemente
diversa de personas que rinden
homenaje a la definición [del Instituto
de Tecnología de Massachusetts] de un
hacker, quien es alguien que busca el
desafío intelectual. Son académicos, estudiantes,
aficionados y profesionales en
penetración”, dice Rice.
En la jerga del mundo de la seguridad, los piratas informáticos son de “sombrero blanco” o “sombrero negro”, derivado de las viejas películas de vaqueros, en las que sabías quién era el chico bueno basado en el color de su sombrero. Las recompensas se tratan de crear comunidades de ciberpiratas de sombrero blanco para mantener
a salvo la red. Max Justicz, estudiante de tercer año en ciencias
computacionales e ingeniería eléctrica en el MIT, es un sombrero
blanco. Cuando está aburrido, enciende su computadora
Linux en su habitación del dormitorio y se lanza por internet,
buscando errores. “Si tengo una tarde libre, buscaré errores. Es
lo que hago ahora para matar tiempo”.
a salvo la red. Max Justicz, estudiante de tercer año en ciencias
computacionales e ingeniería eléctrica en el MIT, es un sombrero
blanco. Cuando está aburrido, enciende su computadora
Linux en su habitación del dormitorio y se lanza por internet,
buscando errores. “Si tengo una tarde libre, buscaré errores. Es
lo que hago ahora para matar tiempo”.
Justicz dice que el proceso rara vez es como se ve en las películas.
Primero, él escanea toda la información que pasa entre partes
de una página en la red. Luego empieza a modificar esa información
para ver si el sitio en la red le permite hacer algo que no debería.
Por ejemplo, tal vez el sitio en la red de un banco no revisa un
número de cuenta cada vez que el usuario va a una página nueva.
Ello crea una oportunidad para que un hacker de sombrero negro
cree un software para engañar al sitio en la red mediante falsear
números de cuenta y darle acceso a las cuentas de otras personas.
Primero, él escanea toda la información que pasa entre partes
de una página en la red. Luego empieza a modificar esa información
para ver si el sitio en la red le permite hacer algo que no debería.
Por ejemplo, tal vez el sitio en la red de un banco no revisa un
número de cuenta cada vez que el usuario va a una página nueva.
Ello crea una oportunidad para que un hacker de sombrero negro
cree un software para engañar al sitio en la red mediante falsear
números de cuenta y darle acceso a las cuentas de otras personas.
Justicz dice que en los primeros días de experimentación
contactó una compañía con un error severo. La compañía le
agradeció, pero le dijo que había notado su intrusión, descubierto
quién era él y estaba a punto de contactar a su empleador.
Fue una llamada de advertencia; ahora se restringe a
compañías con políticas claras de divulgación de errores para
ayudar a asegurarse que el jaqueo bien intencionado se distinga
del malicioso. La ley de Estados Unidos define el jaqueo de forma
tan general que casi cualquier cosa puede considerarse “acceso
no autorizado” a un sistema computacional y, por lo tanto,
un crimen federal.
contactó una compañía con un error severo. La compañía le
agradeció, pero le dijo que había notado su intrusión, descubierto
quién era él y estaba a punto de contactar a su empleador.
Fue una llamada de advertencia; ahora se restringe a
compañías con políticas claras de divulgación de errores para
ayudar a asegurarse que el jaqueo bien intencionado se distinga
del malicioso. La ley de Estados Unidos define el jaqueo de forma
tan general que casi cualquier cosa puede considerarse “acceso
no autorizado” a un sistema computacional y, por lo tanto,
un crimen federal.
La recompensa más grande de Justicz hasta ahora es de
7500 dólares por ubicar un error crucial que permitía el acceso
a una carpeta de contraseñas, y él calcula que ya ha ganado
de 20 000 a 30 000 dólares por hallar errores. “Como fuera, es
más veces de lo que podría hacerlo en otras circunstancias”,
dice Justicz del dinero caído del cielo. “Soy estúpidamente
afortunado de haberme cruzado con una industria nueva, y
estoy en el lugar correcto en el momento correcto”. Hay algo de
dinero real en el juego del jaqueo de sombrero blanco: hasta el
20 de enero, HackerOne ha negociado arreglos para casi 17 000
errores y pagos por 5.84 millones de dólares. Ello podría ser
sólo una astilla en la industria de la seguridad cibernética que
vale 75 000 millones de dólares, pero es una parte importante y
creciente del ecosistema.
7500 dólares por ubicar un error crucial que permitía el acceso
a una carpeta de contraseñas, y él calcula que ya ha ganado
de 20 000 a 30 000 dólares por hallar errores. “Como fuera, es
más veces de lo que podría hacerlo en otras circunstancias”,
dice Justicz del dinero caído del cielo. “Soy estúpidamente
afortunado de haberme cruzado con una industria nueva, y
estoy en el lugar correcto en el momento correcto”. Hay algo de
dinero real en el juego del jaqueo de sombrero blanco: hasta el
20 de enero, HackerOne ha negociado arreglos para casi 17 000
errores y pagos por 5.84 millones de dólares. Ello podría ser
sólo una astilla en la industria de la seguridad cibernética que
vale 75 000 millones de dólares, pero es una parte importante y
creciente del ecosistema.
Justicz a menudo pasa el tiempo trabajando en errores que
él sabe que no dan ventajas económicas. “A veces sólo recibo
una camiseta”, dice. Su meta máxima no es el dinero para cenar,
sino una carrera a largo plazo en seguridad. Él ya está bien
encaminado y ha recibido ya varios periodos de prácticas como
resultado de su jaqueo. La seguridad computacional es una
carrera con cero por ciento de desempleo, dice Rice, por lo que
el entrenamiento en el mundo real podría ser invaluable. Facebook
terminó contratando a uno de sus mejores cazadores de
errores, Reginaldo Silva, un ingeniero brasileño que recibió un
pago de 33 500 dólares en 2014. Para otros piratas informáticos,
se trata de mantener sus habilidades a punto. Incluso Prins dice
que a veces sale en busca de errores de vez en cuando.
él sabe que no dan ventajas económicas. “A veces sólo recibo
una camiseta”, dice. Su meta máxima no es el dinero para cenar,
sino una carrera a largo plazo en seguridad. Él ya está bien
encaminado y ha recibido ya varios periodos de prácticas como
resultado de su jaqueo. La seguridad computacional es una
carrera con cero por ciento de desempleo, dice Rice, por lo que
el entrenamiento en el mundo real podría ser invaluable. Facebook
terminó contratando a uno de sus mejores cazadores de
errores, Reginaldo Silva, un ingeniero brasileño que recibió un
pago de 33 500 dólares en 2014. Para otros piratas informáticos,
se trata de mantener sus habilidades a punto. Incluso Prins dice
que a veces sale en busca de errores de vez en cuando.
La seguridad en internet es un campo joven lleno de talento
joven. Cuando le digo a Marten Mickos, director ejecutivo de HackerOne, que hablé con un ciberpirata
que está en su penúltimo año
de universidad, se ríe: “Así que hallaste
uno viejo”. Mickos compara lo que hace
la compañía con los boy scouts, que
ayuda a los muchachos a canalizar su
energía y curiosidad en algo productivo;
un hacker en su plataforma tiene
14 años de edad en Filipinas y usa el
programa de recompensas para pagarse
la colegiatura.
joven. Cuando le digo a Marten Mickos, director ejecutivo de HackerOne, que hablé con un ciberpirata
que está en su penúltimo año
de universidad, se ríe: “Así que hallaste
uno viejo”. Mickos compara lo que hace
la compañía con los boy scouts, que
ayuda a los muchachos a canalizar su
energía y curiosidad en algo productivo;
un hacker en su plataforma tiene
14 años de edad en Filipinas y usa el
programa de recompensas para pagarse
la colegiatura.
Mickos solía ser el director ejecutivo
de la compañía de software de fuente
abierta MySQL AB. Recuerda que otrora
hubo un miedo en toda la industria de
que la fuente abierta (que le permite
a cualquiera hacer cambios al código
central de un programa) les daría a los
piratas informáticos más oportunidades
de entrometerse con las funciones críticas,
pero resultó que mucho del software
de fuente abierta es más seguro que elsoftware de propietario, porque tiene
tantísimos programadores buscando
vulnerabilidades. Ahora la fuente abierta
es ampliamente aceptada e incluso celebrada.
Mickos ve un cambio similar en
la actitud hacia los ciberpiratas de sombrero
blanco; sus clientes de seguridad
cibernética, dice, “ahora buscan el poder
de la apertura y la colaboración”.
de la compañía de software de fuente
abierta MySQL AB. Recuerda que otrora
hubo un miedo en toda la industria de
que la fuente abierta (que le permite
a cualquiera hacer cambios al código
central de un programa) les daría a los
piratas informáticos más oportunidades
de entrometerse con las funciones críticas,
pero resultó que mucho del software
de fuente abierta es más seguro que elsoftware de propietario, porque tiene
tantísimos programadores buscando
vulnerabilidades. Ahora la fuente abierta
es ampliamente aceptada e incluso celebrada.
Mickos ve un cambio similar en
la actitud hacia los ciberpiratas de sombrero
blanco; sus clientes de seguridad
cibernética, dice, “ahora buscan el poder
de la apertura y la colaboración”.
Las recompensas por errores tal vez
se estén extendiendo, pero queda mucho
trabajo por hacer. Según Mickos, 94 por
ciento de las 2000 compañías públicas
más grandes del mundo según Forbes
todavía no tienen una manera de reportar
errores. Mickos piensa que esto es irresponsable.
Si creas algo en la red, “el paso
final es que digas: ‘Ven y jaquea esto’”.
se estén extendiendo, pero queda mucho
trabajo por hacer. Según Mickos, 94 por
ciento de las 2000 compañías públicas
más grandes del mundo según Forbes
todavía no tienen una manera de reportar
errores. Mickos piensa que esto es irresponsable.
Si creas algo en la red, “el paso
final es que digas: ‘Ven y jaquea esto’”.
—
PUBLICADO EN COOPERACIÓN CON NEWSWEEK /
PUBLISHED IN COOPERATION WITH NEWSWEEK
PUBLISHED IN COOPERATION WITH NEWSWEEK