A estos 'hackers' les pagan por vulnerar los sistemas del Pentágono
En su primer día como Secretario de Defensa de Estados Unidos, James Mattis, se enteró de errores.
Un equipo de hackers había descubierto defectos cruciales en una herramienta que el Departamento de Defensa usa para transferir archivos de computadora.
El equipo era parte de un programa de cazarrecompensas de fallas, hackers expertos a los que se les paga por encontrar vulnerabilidades en corporaciones o agencias gubernamentales.
Pete Yaworski es uno de los 80 hackers de todo el mundo que ayudaron a identificar problemas de seguridad en dos de los sistemas internos del Departamento de Defensa. El canadiense de 32 años pertenecía al equipo DISCREET de Synack, una firma de seguridad con un contrato de 4 millones de dólares para hackear al Pentágono.
Lee: Samsung retrasa lanzamiento del rival de Siri
Durante el proyecto de tres meses que terminó en febrero pasado, Yaworski y el equipo de hackers de Synack se sumergieron en sistemas críticos para encontrar vulnerabilidades que podrían afectar misiones militares en el extranjero. Una vez que comenzaron el hackeo, sólo les tomó cuatro horas para encontrar errores importantes.
Synack anunció el martes pasado una ronda de financiamiento de 21 millones de dólares, encabezada por Microsoft Ventures.
A diferencia de algunos ingenieros que pasan sus carreras dedicados a la caza de errores, Yaworksi es un hacker autodidacta que pasa sus días como ingeniero informático para el gobierno de Ontario. Por la noche, trabaja como contratista de Synack, buscando fallas de seguridad en objetivos como el Pentágono. Yaworksi se autoeducó en seguridad informática tomando clases en Coursera, leyendo trabajos de investigación, uniéndose a grupos en línea y eventualmente, escribiendo un libro sobre cazarrecompensas de errores.
Hackeando al Pentágono
Los hackers de Synack fueron los primeros en entrar bajo la cubierta de los sistemas privados del Pentágono, pero sus predecesores derribaron defectos públicos y allanaron el camino.
La primavera pasada, Hack the Pentagon se convirtió en el primer programa de cazarrecompensas de errores para el gobierno de Estados Unidos.
Recomendamos: Tres aplicaciones para hacer dinero con tu celular
“Antes de ese punto, habría sido ilegal que los hackers buscaran siquiera una vulnerabilidad en los sitios web del Departamento de Defensa, incluso si su intención era reportarlos para que fueran corregidos”, dijo Katie Moussouris, fundadora de Luta Security, quien ayudó a iniciar el programa Hack the Pentagon.
Tras el éxito del piloto de 21 días, en el que participaron cientos de hackers, el gobierno anunció planes de expansión.
En noviembre de 2016, el Departamento de Defensa lanzó su primer programa de revelación de vulnerabilidades en curso: ahora es legal que los investigadores identifiquen y denuncien fallas en los sitios web. Durante los próximos tres años, HackerOne y Luta Security recibirán hasta 19 desafíos públicos de hackeo que apuntan a sistemas gubernamentales.
Hay algunas advertencias comprensibles en el programa, por ejemplo, los hackers no pueden eliminar sitios web con ataques de denegación de servicio o atacar a empleados del gobierno para obtener acceso a los sistemas.
La estrategia de Estados Unidos está ganando terreno en el extranjero. En marzo pasado, el gobierno de Reino Unido anunció su primer piloto de revelación de vulnerabilidades, con la ayuda de Luta Security.
Una bendición para los sistemas de defensa
Al obtener la ayuda de los hackers externos, el Departamento de Defensa está haciendo lo que algunos líderes en Washington esperan que se extienda por todo el gobierno federal: usar talento privado de ciberseguridad para los problemas de seguridad federales.
Lee: Toshiba teme no sobrevivir tras sus enormes pérdidas
El Departamento de Defensa y otras agencias gubernamentales tienen sus propios especialistas en seguridad, pero complementar sus recursos con hackers, puede brindar una solución más rápida.
De acuerdo con Chris Lynch, director del Servicio Digital de Defensa, hay un creciente interés en los programas de cazarrecompensas de fallas y eso está llevando a un cambio cultural dentro de la agencia.
“Tenemos gente saliendo de la nada, diciendo: “Oye, tengo este sistema y estoy buscando maneras en las que pueda usar cazarrecompensas de errores”, dijo Lynch a CNNTech. “El hecho de que yo informe al Secretario de Defensa sobre los programas de cazarrecompensas de errores informáticos y programas masivos de descubrimiento de vulnerabilidades es una evolución sorprendente. Estas cosas no existían hace dos años”.
Las recompensas por hallar errores federales varían. La recompensa más alta en el desafío de Synack era de 30,000 dólares. Aunque usualmente, la gente no lo hace por el dinero. Tanto Lynch como Moussouris dicen que los hackers participan por un sentido del deber o simplemente por el derecho de jactarse de decir que hackearon al Pentágono.
Yaworski dijo que estaba motivado para hacer la diferencia. Y aunque no es un ciudadano estadounidense, fue obligado por algún sentido de patriotismo.
“Me gustaría pensar que otros gobiernos están observando, prestando atención y considerando la misma oportunidad para ellos mismos”, dijo Yaworski. “Parte de esto era orgullo nacional también. Tal vez Canadá avance y haga algo similar”, concluyó.
