Home Opinión La organización que no hizo caso a un “hacker ético”

La organización que no hizo caso a un “hacker ético”

30 de septiembre 2021. Foto: © FREEPIK PREMIUM

Por Andrés Velázquez

¿Qué pasa cuando alguien quiere contactar con una organización para decirle que encontró una vulnerabilidad para que puedan solucionarla?

Hace un par de meses recibí un mensaje directo de uno de mis seguidores, alguien que obviamente no quería ser reconocido pero que al momento de empezar a leer lo que me había enviado, identifiqué claramente la intención de la cadena de mensajes.

Había encontrado varias vulnerabilidades críticas en un sistema de administración de una empresa muy reconocida que le permitiría a cualquiera el modificar órdenes o instrucciones. Dentro de los mensajes comentó: “a mi me interesa que lo corrijan y que otros no puedan hacer mal uso de ello. Yo soy cliente de ellos”.

Este seguidor es un “hacker ético”; no de los que se contratan para poder hacer pruebas de forma periódica para identificar las vulnerabilidades en la infraestructura y aplicaciones de producción o de desarrollo. Es una persona que, en su tiempo libre, se dedica a buscar vulnerabilidades en sitios que normalmente usa para identificar vulnerabilidades y hacérselo saber a la empresa afectada. Lo hace porque “es lo que debe hacer”.

Dentro de la cadena de textos, me externaba con preocupación: “he tratado de reportarlo con los responsables de ciberseguridad y enviando mensajes a las redes sociales oficiales de la marca, es más, he enviado mensajes a personas que encontré que tienen que ver con esa organización: nadie me hizo caso, la vulnerabilidad sigue ahí después de varios meses.”

Su preocupación cambió un par de semanas después y se convirtió en desilusión que al final llevó a que hiciera pública la vulnerabilidad porque “nadie está haciendo nada”.

Qué difícil es este tema. ¿Cómo lograr aprovechar esta situación y qué riesgos conlleva?

Tuve la oportunidad de hablar con dos organizaciones diferentes para poder entender la visión que cada una de ellas tenían y pudimos llegar a algunos puntos de reflexión:

No es conveniente publicar la información de los responsables de ciberseguridad de la organización, esto puede ser contraproducente.

Se debe tener capacitación directa a los Community Managers y aquellos que reciben comunicaciones del exterior para saber canalizar la información internamente.

Es importante reconocer que no todo lo reportado es cierto y habrá que validarlo. Pero que, si alguien reporta algo, es importante revisarlo.

Hay personas buenas y malas. Aquellas que quieren un entorno más seguro en las aplicaciones y servicios y aquellos que buscan extorsionar con información falsa.

Con más madurez en ciberseguridad, es posible implementar un modelo de bug bounty o cazarrecompensas de vulnerabilidades tecnológicas, con sus ventajas y desventajas, pero no es aplicable para todas las empresas.

La mayoría de las empresas, por temas de tiempo y presupuesto, se centran en corregir únicamente las vulnerabilidades críticas que son resultado de las pruebas de penetración o análisis de vulnerabilidades. Las medias o bajas se quedan para después, siendo posible que se aprovechen y sean más críticas en contexto que las críticas por calificación de vulneración.

También las pruebas de penetración, puede ser que no estén correctamente orientadas y que no puedan identificar las vulnerabilidades como las que un tercero pueda identificar. Recordemos casos como los ataques de SPEI en México o los ataques a SWIFT en Chile entre otros. Todas las organizaciones afectadas cumplían con pruebas de penetración, supervisión de las autoridades y otros temas regulatorios: aún así les pasó. Quizá el tema esté del lado de cómo se hacen y planean las pruebas.

Desde la alta administración: ¿Qué debemos hacer?

Lo importante es hablarlo internamente y establecer una estrategia. Definir la importancia de recibir una alerta por parte de un tercero externo que no necesariamente está buscando un beneficio económico. Pero también entender que habrá algunos terceros externos que buscarán el beneficio económico directamente con la organización o vendiendo esa información a otros para afectar a la organización mencionada.

Quizá en algún momento, si se van hacia un programa de bug bunty, se requerirá presupuesto y una gran organización, pero no necesariamente es algo a corto plazo.

Invitaría a hablar de realizar pruebas de penetración más allá de lo tradicional. De proponer nuevas formas de probar. Incluir a las áreas de auditoria para que complementen a ciberseguridad en las pruebas.

No, no es nada fácil. Es algo más que agregar a los planes de ciberseguridad, a la estrategia, al plan director.

Hoy la empresa que tiene la vulnerabilidad identificada por este “hacker ético”, nunca respondió y la vulnerabilidad sigue ahí. Alguien ya la está aprovechando obtener un beneficio.

¿Tu organización, está preparada para esto?

Nota original: Forbes México