Si pensabas que este era un artículo en el que te íbamos a enseñar a cometer delitos, ya lo sentimos. Pero es cierto que hay dos formas de ciberatacar a una empresa de forma total y absolutamente legal. Una de ellas es trabajar en una empresa que haga servicios de red team; la otra, participando en un bug bounty, que son las convocatorias abiertas que lanzan muchas empresas para que hackers de todo el mundo, bajo ciertas reglas, descubran vulnerabilidades en sus sistemas y reciban dinero a cambio. Una disciplina a la que hemos dedicado el capítulo 23 de Trabaja en Ciberseguridad.
Sí, las empresas recurren al bug bounty
Para empezar, conviene dejar clara una cosa: por supuesto que las empresas pagan a profesionales para que intenten atacar sus sistemas. Desde un red team pagan un precio fijo y desde un bug bounty lo hacen en función de las vulnerabilidades que se descubra, pero ambas son prácticas habituales. Según un informe de Exabeam, de hecho, cada vez más empresas pagan a expertos en ciberseguridad para que les ataquen.
¿Y de qué manera se puede ciberatacar a una empresa? Como demostró un informe de Accenture, las puertas de entrada son muy variadas, aunque predominan especialmente las relacionadas con el manejo de credenciales, la seguridad de la red o la tenencia de un software sin actualizar.
El bug bounty, un trabajo (muy) rentable
Es en este contexto donde a las labores de red team se les suman los bug bounties. ¿Y por qué son necesarios? «En los red teams hay gente muy profesional, pero, como todos los humanos, tienen sesgos», nos cuenta Román Ramírez. De hecho, «si yo contratara cinco veces seguidas a la misma empresa, estaría contratando a gente que tiene los mismos sesgos, con lo que es muy posible que me dejara vulnerabilidades por descubrir. Al personal externo a veces le es más fácil detectar vulnerabilidades que el personal interno, que tiene una manera determinada de hacer las cosas. Esa visión desde el exterior aporta un enfoque distinto».
El bug bounty es muy rentable para las empresas, ya que solo pagan por vulnerabilidades descubiertas, pero también para los hackers que participan en estos programas. Según los datos de HackerOne, las empresas de prácticamente todos los sectores pagan por ello. No solo las obvias, como las relacionadas con la informática, sino también las dedicadas a la automoción, a la sanidad o incluso a los servicios profesionales.
¿Y cuánto pagan por ello? Como vemos en el gráfico de abajo, el sector informático se gastó casi 6.000 dólares por cada vulnerabilidad encontrada en sus sistemas.
Llegados a este punto podríamos pensar: “Bueno, pero seguro que solo pagan bien las empresas relacionadas con la ciberseguridad; las demás pagarán muy poco”. Pues no: tal y como revela HackerOne, las vulnerabilidades críticas tuvieron una recompensa media de 2.500 dólares en 2020
¿Y qué vulnerabilidades son las más frecuentes? Según HackerOne, las XSS, con un 23% de incidencia. Aunque no muy alejadas de la difusión de información confidencial, que se da en el 18% de los casos.
Ahora ya lo sabes. Si quieres lanzar ciberataques contra empresas de manera ilegal, búscate un buen abogado. Y si decides hacerlo de manera legal, adéntrate en el mundo del bug bounty. Mal negocio, desde luego, no parece.
Puedes ver más entradas al blog de nusetra serie de Trabaja En Ciberseguridad en la web de IMF, por ejemplo, la entrada del capítulo 22.