Entender a los hackers del siglo XXI

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

El concepto de hackers, viene desde los albores mismos de la informática, no es algo exclusivo de esta época. Existen dos enfoques para la seguridad impulsada por los hackers.

La primera es la coordinación de la vulnerabilidad.

Es esencialmente lo mismo que la Divulgación Responsable o Divulgación de una Vulnerabilidad.

La Coordinación de la Vulnerabilidad es un enfoque más reactivo en el que se publica un proceso, que informa a las personas ajenas a la organización sobre qué hacer cuando descubran una posible vulnerabilidad de seguridad en sus sistemas.

El Departamento de Defensa de EE. UU. lo llama “¿Ve algo? Diga Algo ” del mundo digital.

Es una cordial bienvenida de la industria y fuerzas de seguridad, a los hackers de sombrero blanco para canalizar una corriente de conocimiento colaborativo.

La coordinación de la vulnerabilidad se ha convirtiendo rápidamente en un requisito para el cumplimiento normativo en muchas industrias.

Entre las más destacados están la industria automotriz y de la salud, pero estamos en las primeras fases de una transformación similar en el campo de las finanzas y de los seguros.

La segunda forma, conocida por “pagar por bugs”

Es una forma más avanzada de aprovechar el impulso de la fuerza de los hackers. Puede ser visto por algunos como una extensión a la Coordinación de Vulnerabilidad.

Sin embargo, con una recompensa por un bug se incentiva activamente a la comunidad más grande de hackers para que realicen una investigación continua de la seguridad en ciertos productos, siendo mucho menor el costo de la recompensa, que lo que significaría una revisión interna minuciosa.

Una ventaja adicional es que los ingenieros de software pueden retroalimentarse sobre la seguridad a través del programa de recompensas de bugs de su empresa.

Los ingenieros se verán expuestos a ejemplos prácticos de vulnerabilidades reales y explotables, pero eso es altamente positivo para el ecosistema.

Si ya se realizaron pruebas de penetración, una recompensa de errores es una forma prudente de ahorrar costos.

Una alternativa inteligente es usar el programa de recompensas de bugs para que revele una aplicación o propiedad particular que sea más vulnerable, y se puedan usar estas ideas para enfocar las pruebas de penetración, en última instancia, haciéndolas más eficientes.

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris