Page 77

Ciberseguridad Corporativa

Hacking ético ma, desde el punto de vista práctico la vulnerabilidad suponía un riesgo equivalente a conectarse a una red WiFi pública. Fue corregida por los principales fabricantes en el plazo de un mes desde la publicación. Por su parte, Meltdown y Spectre son un conjunto de vulnerabilidades de diseño de los procesadores Intel y ARM que afecta a casi todos los ordenadores personales, servidores, móviles y tabletas. El 3 de enero de 2018 se filtraron Meltdown y Spectra, cogiendo por sorpresa a todo el sector (tan sólo Apple había llegado a distribuir en las actualizaciones de diciembre mitigaciones parciales). A lo largo del mes de enero fueron apareciendo diferentes parches, aunque todavía no está totalmente corregido. La mejor manera de evitar un «zero day» es el Hacking Ético. En cierto modo se trata de adelantarse lo más posible a los atacantes, porque se descubre vulnerabilidades

«El interés de las empresas de seguridad por contratar personal formado en Hacking Ético es creciente»

con suficiente antelación como para que los fabricantes desarrollen los par-

responsable de los descubrimientos, y

de las empresas de seguridad por con-

ches y los usuarios los instalen.

premiando económicamente a los in-

tratar personal formado en cuestiones

Continuamente estamos viendo

vestigadores en función de la severi-

de Hacking Ético es creciente.

parches que corrigen vulnerabilidades

dad de las vulnerabilidades encontra-

Sin embargo, es importante tener

que nunca han llegado a ser explota-

das. «Bug Bounty Program» fue creado

en cuenta que si la tecnología cambia

das. Por eso el Hacking Ético juega un

por Netscape (precursor de Firefox), y

a un ritmo muy acelerado, la relativa a

papel fundamental en la parte preven-

recientemente se han popularizado en-

seguridad lo hace mucho más rápido.

tiva de la seguridad.

tre todas las grandes empresas de soft-

Es muy normal que una técnica que hoy

ware o servicios web que ya cuentan

en día sea muy eficaz para atacar o ve-

con un nivel elevado de seguridad.

rificar un determinado tipo de entor-

Destacan los equipos internos de seguridad de las grandes compañías de hardware y software, empresas de se-

Facebook Bug Bounty pagó a los in-

guridad, Google Project Zero o los in-

vestigadores 880.000 dólares durante

vestigadores independientes.

2017, pero la cantidad de dinero de-

Cada vez hay más organizaciones que están implementando los «Bug Bounty Program», especialmente em-

pende del tipo de vulnerabilidad.

Vulnerabilidad en Google

te obsoleta dentro de dos años. En este sentido, las empresas de seguridad están más interesadas en perfiles con una sólida formación básica y con carreras donde se haya demostrado la capacidad de aprender y de adap-

presas de software o servicios web.

Reglas básicas de ataque

no, pase a considerarse completamen-

Recientemente el investigador chino

tarse a nuevas tendencias y nuevos re-

Guang Gong recibió más de 100.000

tos, más que la formación técnica muy

dólares por parte de Google por una

específica ya que forma perfiles menos interesantes en el largo plazo. ●

Estos programas promueven en

vulnerabilidad que conseguía atacar de

Hacking Ético, estableciendo unas re-

forma remota a Pixel, el último teléfono

glas básicas de ataque y comunicación

de Google. En este contexto, el interés

Fotos: Shutterstock

Abril 2018 / Cuadernos de Seguridad / 75

Cuadernos de Seguridad - 332  
Cuadernos de Seguridad - 332