¿Por qué las empresas contratan hackers?
No todos los hackers son malos. Para defender adecuadamente una red, necesitas saber el tipo de ataque al que te enfrentarás. Entonces, ¿un hacker también es el mejor tipo de defensor?
¿Qué es exactamente un hacker?
Hacker es una palabra que ha sido reutilizada y su significado original se ha borrado casi por completo. Solía referirse a un programador dotado y motivado. El hacker estereotipado estaba prácticamente obsesionado con la programación, a menudo excluyendo cualquier tipo de vida social normal.
En cambio, buscaba un conocimiento de bajo nivel del funcionamiento interno de las computadoras, las redes y, sobre todo, el software que lo controlaba todo. Aparte de la falta de interacción social, el hacking no se consideraba algo malo, per se.
Con la expansión de las tecnologías de la información, el ciberdelito se convirtió en una posibilidad y luego en una realidad. Las únicas personas con las habilidades para perpetrar delitos eran los hackers, por lo que el término hacker se corrompió. Se convirtió en lo que significa para la mayoría de la gente de hoy. Pídele a alguien que te explique qué es un hacker y te describirá a alguien con amplios conocimientos de computadoras, sistemas operativos y programación y la intención delictiva de acceder a sistemas informáticos a los que no debería tener acceso.
Pero incluso dentro de esta nueva definición de hackers, existen diferentes tipos de hackers. Algunas personas que intentan comprometer una red son los chicos buenos. Usando un truco del viejo oeste en blanco y negro, los buenos y los malos se distinguen por el color del sombrero que usan.
Tipos de hackers
- Un hacker de sombrero negro (black hat) es malo. Ellos son los que comprometen las redes y cometen delitos informáticos. Intentan ganar dinero a través de sus actividades ilegales.
- Un hacker de sombrero blanco (white hat) tiene permiso para intentar comprometer una red. Los contratan para probar la seguridad de una empresa.
En la vida, sin embargo, las cosas rara vez son en blanco y negro.
- Un hacker de sombrero gris (gray hat) se comporta como un hacker de sombrero blanco, pero no pide permiso por adelantado. Ponen a prueba la seguridad de una empresa y hacen un informe a la empresa con la esperanza de un pago posterior. Infringen la ley (hackear una red sin permiso es ilegal, sin discusión), incluso si la empresa está agradecida y realiza un pago. Legalmente, los de sombreros grises operan al filo de la navaja.
- Un hacker de sombrero azul es alguien que no tiene habilidades, pero que ha logrado descargar un software de ataque de baja habilidad, como un programa de denegación de servicio distribuido. Lo usan contra un solo negocio que, por la razón que sea, desean incomodar. Un ex empleado descontento podría recurrir a tales tácticas, por ejemplo.
- Un hacker de sombrero rojo es el único justiciero del mundo del hacking. Son hackers que se dirigen a los hackers de sombrero negro. Al igual que que el hacker de sombrero gris, el hacker de sombrero rojo utiliza métodos legalmente cuestionables. Al igual que ”El Castigador” , operan fuera de la ley y sin investidura oficial, impartiendo su propia marca de justicia.
- Un hacker de sombrero verde es alguien que aspira a convertirse en hacker. Son aspirantes a sombrero negro.
Hackers criminales y hackers profesionales
Los hackers profesionales pueden ser hackers éticos autónomos, disponibles para probar las defensas de cualquier empresa que desee que prueben y midan su seguridad. Pueden ser hackers éticos que trabajan para empresas de seguridad más grandes, desempeñando el mismo papel pero con la seguridad de un empleo regular.
Las organizaciones pueden emplear directamente a sus propios hackers éticos. Trabajan junto con sus contrapartes en el soporte de informática para investigar, probar y mejorar continuamente la ciberseguridad de la organización.
Un equipo rojo (red team) se encarga de intentar obtener acceso no autorizado a su propia organización, y un equipo azul (blue team) se dedica a tratar de mantenerlos fuera. A veces, el personal de estos equipos es siempre de un solo color. O eres un equipo rojo o un equipo azul. A otras organizaciones les gusta cambiar las cosas con el personal moviéndose efectivamente entre equipos y adoptando la postura opuesta para el próximo ejercicio.
A veces, los actores de amenazas pasan a la profesión de seguridad convencional. Personajes reconocidos de la industria como Kevin Mitnick, que alguna vez fue el hacker más buscado del mundo, dirigen sus propias empresas de consultoría de seguridad.
Otros hackers famosos han sido reclutados para trabajos muy importantes, como Peiter Zatko , un miembro del colectivo de hackers Cult of the Dead Cow. En noviembre de 2020, se unió a Twitter como jefe de seguridad después de los puestos en Stripe, Google y la Agencia de Proyectos e Investigación Avanzada de Defensa del Pentágono.
Charlie Miller, conocido por exponer vulnerabilidades en los productos de Apple y hackear los sistemas de dirección y aceleración en un Jeep Cherokee, ha trabajado en puestos de seguridad senior en la NSA, Uber y Cruise Automation.
Otras historias
Las historias de cazadores furtivos convertidos en guardabosques siempre son divertidas. Sin embargo,no deberían llevar a nadie a concluir que el hacking ilegal o cuestionable es el camino rápido hacia una carrera en ciberseguridad. Hay muchos casos en los que las personas no pueden conseguir trabajos en ciberseguridad debido a errores que cometieron en sus años de formación.
Algunos hackers profesionales trabajan para, y fueron capacitados por, agencias de inteligencia gubernamentales o sus contrapartes militares. Esto complica aún más las cosas. Los equipos de operativos autorizados por el gobierno encargados de realizar actividades cibernéticas de recopilación de inteligencia, defensivas y ofensivas para garantizar la seguridad nacional y luchar contra el terrorismo son una necesidad. Es el estado del mundo moderno.
Estos individuos altamente calificados con una gran cantidad de conocimientos sensibles finalmente son dados de alta. ¿A dónde van cuando se van? Tienen un conjunto de habilidades empleables y necesitan ganarse la vida. ¿Quién los contratará y debería importarnos?
Alumnos del mundo de las sombras
Todos los países técnicamente capaces tienen unidades de ciberinteligencia. Recopilan, descifran y analizan inteligencia militar y no militar estratégica, operativa y táctica. Proporcionan el software de ataque y vigilancia para quienes llevan a cabo misiones de espionaje en nombre del estado.
Son los jugadores de un juego de sombras en el que el enemigo intenta hacerte exactamente lo mismo. Quieren penetrar en tus sistemas como tu quieres acceder a los suyos. Sus contrapartes están desarrollando herramientas de software defensivas y ofensivas y están tratando de descubrir y aprovechar los ataques de día cero, al igual que tu.
Si vas a contratar a un cazador furtivo para que sea tu guardabosques, ¿por qué no contratas a uno de los cazadores furtivos de élite? Esa es una buena idea. Pero, ¿qué sucede si uno de los antiguos hackers de la crème de la crème elige trabajar en el extranjero o hace algún otro movimiento polémico en su carrera?
Resulta que no es nada nuevo y está sucediendo todo el tiempo. Shift5 es una empresa emergente de ciberseguridad fundada por dos ex miembros de la Agencia de Seguridad Nacional. No solo trabajaron en la NSA, sino que también trabajaron en la unidad de Operaciones de Acceso a Medida. Esta es una de las divisiones más clandestinas de la NSA. Shift5 ofrece tecnología para ayudar a proteger la infraestructura crítica de Estados Unidos. Piensa en el suministro de electricidad, las comunicaciones y los oleoductos. Ese es el talento local de Estados Unidos protegiendo a Estados Unidos, lo que parece perfectamente razonable.
Israel
El equivalente de la Fuerza de Defensa de Israel a la NSA es la Unidad 8200. La Unidad 82, o “The Unit”, es su famoso grupo de inteligencia militar. Los exalumnos de la Unidad, y su propio equipo interno secreto llamado Unidad 81, han fundado o cofundado algunas de las empresas de tecnología más exitosas. Check Point Software, Palo Alto Networks y CyberArk tienen ex miembros fundadores de the Unit.
Para ser claros, no hay nada en absoluto que sugiera que tengan una agenda oculta, lealtades cuestionables o prácticas controvertidas. Se trata de empresas de éxito con récords impecables liderados por cerebros técnicos brillantes. Así que eso también está bien.
Las complicaciones surgen cuando se contrata a ex agentes de inteligencia estadounidenses en el extranjero. Su conjunto de habilidades y función laboral pueden constituir un servicio de defensa que requiere una licencia especial de la Dirección de Controles Comerciales de Defensa del Departamento de Estado. Dos ciudadanos estadounidenses y un ex ciudadano estadounidense aparecieron en los titulares recientemente cuando se reveló que habían sido empleados del grupo DarkMatter, que se fundó en los Emiratos Árabes Unidos. DarkMatter dirigió el infame programa de vigilancia Project Raven para el gobierno emiratí.
En septiembre de 2021, Marc Baier, Ryan Adams, Daniel Gericke celebraron un acuerdo de enjuiciamiento diferido que limita sus futuras actividades laborales y requiere un pago conjunto de multas de 1.68 millones de dólares.
Habilidades atractivas en un mercado restringido
Las empresas contratan a antiguos hackers expertos por su experiencia y atractivos conjuntos de habilidades. Pero si estás involucrado en actividades de ciberseguridad para una agencia estatal o militar, debes comprender los límites y controles que existen para asegurarte de brindar tus servicios a organizaciones aceptables y con fines aceptables.