Imagine la escena: surge una vulnerabilidad grave que afecta a organizaciones de todo el mundo, lo que permite el acceso no autorizado a datos muy confidenciales. Este escenario ocurrió a fines de 2021 cuando una popular herramienta de código abierto publicó una vulnerabilidad crítica llamada Log4Shell.
Entonces, ¿qué pasó exactamente? Log4Shell es una vulnerabilidad de software que se encuentra en Apache Log4j, una biblioteca de Java ampliamente utilizada para registrar mensajes de error en las aplicaciones. Envió a las organizaciones al modo de pánico mientras luchaban por descubrir si eran vulnerables.
En medio del pánico, la comunidad de piratas informáticos se puso en acción, buscando la vulnerabilidad en Internet y brindando informes en tiempo real que son fundamentales para los esfuerzos de remediación.
Una ventana de respuesta rápida es increíblemente valiosa con una vulnerabilidad como Log4Shell. Para algunas organizaciones, la elección es moverse rápido o ser víctima de una infracción. Cuando se descubre una nueva vulnerabilidad significativa, estar conectado con la comunidad ética es una red de seguridad adicional para las organizaciones.
La plataforma se adapta a la situación. En el caso de Log4Shell, la comunidad de piratas informáticos envió cientos de informes de vulnerabilidad dentro de las 24 horas posteriores a la divulgación pública, mostrando cuán amplia era la vulnerabilidad.
Varios meses después, ¿dónde nos encontramos con el problema de Log4Shell? Hemos visto miles de informes y un total de 398 informes únicos han recibido una recompensa hasta la fecha. El total de la recompensa actual solo en nuestra plataforma es de $1,284,847.
Eso es mucho dinero otorgado a los piratas informáticos, pero por otro lado, es un precio pequeño a pagar en relación con el costo de una violación, calculado en un promedio de $ 4 millones por IBM. Aunque el volumen total se ha reducido, los piratas informáticos continúan encontrando un puñado de vulnerabilidades de Log4Shell todos los días.
En el aspecto comercial, la comunicación y la corrección rápidas atraerán a más piratas informáticos a un programa de recompensas por errores. Es un escenario en el que todos ganan, tanto para los piratas informáticos como para las empresas: los programas de los clientes ofrecen ofertas por el tiempo que dedican los piratas informáticos a buscar fallas de seguridad. Los clientes pujan no solo tratando de ofrecer las mayores recompensas, sino también ejecutando sus programas a un alto nivel.
Los piratas informáticos aprovechan la oportunidad de ayudar a respaldar a la industria cuando se trata de amenazas a gran escala. La comunidad mundial de piratas informáticos ofrece una amplia gama de conocimientos y una variedad de puntos de vista, antecedentes y experiencias, todos los cuales son extremadamente útiles para obtener una cobertura amplia y profunda.
Dicho de otra manera, los humanos exhiben un nivel de creatividad e intuición que las herramientas y los escáneres automatizados no pueden. Tal vez la inteligencia artificial mejore el software a largo plazo, pero en el futuro previsible, las empresas deberán permanecer sólidamente asociadas con la comunidad de piratas informáticos para mantenerse al tanto de las amenazas.
Las organizaciones no deben dar por sentadas las soluciones de piratería. Los piratas informáticos podrían acudir en nuestra ayuda, pero este también fue un momento increíblemente estresante para ellos. Es fundamental que los piratas informáticos se sientan escuchados y valorados. La divulgación de vulnerabilidades puede ser un proceso turbio a veces y las políticas de divulgación de vulnerabilidades (VDP) tienen pautas suficientes para garantizar la protección de la comunidad y las organizaciones de piratas informáticos.
Con el aumento de la transformación digital y la migración a la nube, inevitablemente veremos surgir más vulnerabilidades. Como lo muestra nuestro Informe de resistencia a ataques de 2022un tercio de las empresas globales observan menos del 75 % de su superficie de ataque total, lo que las deja vulnerables a amenazas externas en una época de rápida transformación y desarrollo digital.
Las empresas que en última instancia se mantendrán a la vanguardia serán aquellas que continúen garantizando que su seguridad evolucione constantemente, y trabajar con piratas informáticos es la mejor manera de tener un ojo constante para detectar, identificar y corregir fallas antes de que los malos actores puedan explotarlas.
Chris Evans es CISO y director de piratería en HackerOne, una plataforma de recompensas por errores y piratería ética.