Si hay un tema tecnológico que ha destacado a lo largo de 2023 -además de la IA generativa -, ése es sin duda la ciberseguridad. Los ataques no sólo se están disparando, afectando a todas las industrias y sectores, sino que se están diversificando.
El Informe Oficial sobre Ciberdelincuencia 2023 de Cybersecurity Ventures revela que se prevé que el coste anual mundial de la ciberdelincuencia alcance los 9,5 billones de dólares en 2024. La cifra no es más que un reflejo de un panorama global de amenazas que desafía constantemente a los expertos en ciberseguridad. Cybersecurity Ventures concluye que «el riesgo cibernético no tiene fin».
Techopedia habló con Phil Venables, Director de Seguridad de la Información (CISO) de Google Cloud, parte del Consejo de Asesores del Presidente de EE.UU. sobre Ciencia y Tecnología (PCAST) y miembro del Consejo de HackerOne, para conocer su opinión sobre el panorama mundial de las amenazas y lo que el sector debería tener en cuenta.
- Ver más
IA y automatización frente a humanos en el bucle
El informe Splunk CISO revela que el 35% de los CISO ya utilizan la IA para la seguridad, y más de la mitad (61%) probablemente la utilizarán en los próximos 12 meses. Y lo que es más importante, el 86% de los CISO encuestados creen que la IA generativa paliará las carencias de habilidades y la escasez de talentos en materia de seguridad.
Mientras los equipos de seguridad, el gobierno, las fuerzas de seguridad internacionales y las organizaciones se apresuran a encontrar soluciones que puedan mitigar el ransomware, los exploits de día cero, los ataques sin archivos, el malware de puerta trasera y la influencia de la dark web, la gran solución se presenta a menudo como la IA.
Pero, Phil Venables aboga por otra solución: los hackers éticos.
Dijo Venables a Techopedia:
«La automatización es vital para garantizar la seguridad, ya se trate de producir código y configuraciones seguros o de descubrir y mitigar vulnerabilidades.
“La automatización siempre ha sido importante y lo será cada vez más, especialmente con las capacidades de IA generativa más avanzadas. Pero siempre hay margen para la creatividad humana, y los expertos en pruebas de penetración, hackers éticos, red teamers u otros pueden desarrollar nuevas formas de explotar los sistemas directamente o en sus costuras.”
Venables dijo que el talento de los hackers éticos se potenciará con la automatización, y «el dúo de IA y humanos siempre será vital».
El estado de la seguridad mundial y la ciberguerra
La Previsión de Ciberseguridad 2024 de Google destaca el aumento del uso de la IA en la ciberdelincuencia, y advierte de que los ciberdelincuentes apoyados por estados-nación de China, Rusia, Corea del Norte e Irán seguirán intensificando sus operaciones.
El informe pide a los líderes que se centren en las vulnerabilidades de día cero (y los dispositivos de borde), la seguridad de las elecciones estadounidenses, el auge del hacktivismo, los wipers, la infraestructura basada en el espacio, los entornos de nube híbrida, las técnicas de extorsión, el espionaje y las «botnets durmientes» a medida que se acerca 2024.
Preguntamos a Venables por qué los hackers éticos son fundamentales en este escenario específico de amenazas globales.
«Para seguir el ritmo de los actores de las amenazas, las organizaciones deben aumentar la sofisticación de sus propias estrategias de ciberseguridad. Sin embargo, esto puede suponer un reto cuando muchos CISO disponen de recursos limitados».
Y añadió:
“La comunidad mundial de hackers éticos resuelve este problema ampliando los recursos y mejorando la escalabilidad de los equipos de seguridad. Esta comunidad está formada por miles de expertos con conocimientos externos que se amplían con la complejidad del panorama de las amenazas.
«Las organizaciones que contratan a hackers éticos acceden a una economía de escala y habilidad que es casi imposible replicar utilizando sus propios recursos internos».
El dilema presupuesto-riesgo-coste del CISO: conseguir el apoyo de los hackers éticos
El uso y la adopción de programas que despliegan hackers éticos siempre se ha enfrentado al mismo dilema: los presupuestos de ciberseguridad.
Dado que muchas organizaciones creen que los hackers éticos no son una solución esencial, sino un extra, las pruebas de penetración, los programas de recompensas por errores y las búsquedas de vulnerabilidades realizadas por humanos suelen quedar fuera de las estrategias por cuestiones de costes o prioridades.
Y este problema de presupuesto-seguridad no hace más que empeorar. Las Predicciones de Gartner para 2024 y más allá sugieren que para 2028, el coste de la lucha contra los riesgos de ciberseguridad y cumplimiento no sólo superará la marca de los 30.000 millones de dólares, sino que «canibalizará» el 10% de los presupuestos de marketing y ciberseguridad.
Los CISO de todo el mundo, ya trabajen en una empresa privada mediana o grande, o incluso en el espacio público o gubernamental, se enfrentan a este problema a diario.
Techopdia preguntó a Venables qué les diría a los CISO que luchan por conseguir la aprobación de los consejos de administración y los ejecutivos, están constantemente sopesando los costes del riesgo frente a las capacidades de mitigación, y a menudo apenas se libran de los gastos básicos para cubrir las amenazas más graves. ¿Cómo deberían enfocar a los hackers éticos como recursos valiosos?
«Los programas de recompensa e información sobre vulnerabilidades requieren, en efecto, una inversión inicial y recursos para su puesta en marcha. Pero esa inversión se recupera cuando se reduce el riesgo de incidentes de ciberseguridad, que pueden causar importantes daños monetarios y de reputación. El Informe sobre Seguridad Impulsada por Hackers de HackerOne descubrió que casi tres cuartas partes (70% ) de sus clientes evitaron un incidente de ciberseguridad importante gracias al trabajo de los hackers éticos».
Venables añadió que si los CISO no consiguen el presupuesto, incluso después de compartir los beneficios potenciales de ahorro de costes y reducción de riesgos de los compromisos impulsados por hackers, todavía tienen algunas cartas que jugar.
«En este caso, deben trabajar con la dirección y otras partes interesadas internas clave para generar confianza, colaborar y abordar las objeciones de frente», dijo Venables.
Venables explicó que, por ejemplo, al departamento de TI puede preocuparle el volumen de nuevos informes de vulnerabilidad de un programa de recompensas por fallos, y a la dirección puede preocuparle que el coste de las recompensas del programa supere los presupuestos.
Estas preocupaciones, muy legítimas, pueden mitigarse controlando de cerca el alcance del programa y ofreciendo visibilidad sobre la estructura del programa, los planes de recompensas a los hackers y el proceso de triaje.
«Los CISO también pueden fomentar la adhesión de los líderes identificando casos de éxito de otros programas del mismo sector, o de organizaciones a las que la junta ya asesora.»
Lo que aportan los hackers éticos
El Informe sobre Seguridad Impulsada por Hackers de HackerOne sugiere que es más arriesgado para las empresas no trabajar con hackers. El estudio destaca una investigación de 2023 que muestra que un tercio de las empresas ya han recortado los presupuestos de seguridad en los últimos 12 meses y prevén recortes mayores para el año que viene.
Naturalmente, los equipos de seguridad se reducirán, y su capacidad para mitigar las amenazas se verá afectada. HackerOne destaca en el informe la importancia de los hackers éticos.
«En este clima, corres más riesgos si ignoras las ventajas que una enorme comunidad de tenaces hackers éticos de talento puede aportar a la seguridad de tu organización».
Pero, ¿qué aportan los hackers éticos? ¿Por qué se han convertido en la solución a la que recurren miles de marcas líderes de todo el mundo? Preguntamos a Venables qué hace que un hacker ético sea bueno en su trabajo.
«Los mejores hackers coinciden con los ciberdelincuentes en su ingenio, habilidad técnica y profunda curiosidad: están en una eterna búsqueda del conocimiento. Los mejores hackers son también muy colaboradores y reconocen el poder de la comunidad: escuchar las técnicas y perspectivas de los demás, sobre todo en lo que respecta a las amenazas y tecnologías emergentes, suele ser una de las mejores formas de aprender y perfeccionar las habilidades.»
¿Por dónde deben empezar las organizaciones?
Desde la notificación de vulnerabilidades, los programas de recompensas por fallos y las pruebas de penetración, los hackers éticos impulsan una amplia gama de soluciones y programas, cada uno con sus puntos fuertes y sus retos. Para las empresas que se inician en el mundo de los hackers éticos, saber por dónde empezar puede ser una tarea abrumadora.
Venables explicó que el tipo de programa impulsado por hackers que debe priorizar una organización depende de sus prioridades de seguridad.
«Los programas de notificación de vulnerabilidades y recompensas no tienen un plazo determinado y son mejores para las organizaciones que buscan reducir el riesgo de forma continua en un amplio ámbito de activos digitales».
Venables añadió que el más básico de estos programas, los programas de divulgación de vulnerabilidades (PDV), son simplemente un proceso público para que cualquiera informe de un fallo de seguridad en los productos o servicios de una organización.
«Los VDP son un peldaño hacia los programas de recompensa por vulnerabilidad y de recompensas por fallos, que incentivan a los hackers éticos con recompensas monetarias. Éstos pueden ser públicos o privados y se adaptan mejor a las organizaciones más maduras en materia de seguridad que pueden gestionar un mayor volumen de informes sobre vulnerabilidades.»
Por el contrario, las pruebas de penetración (pentests) son evaluaciones de seguridad focalizadas y puntuales. El alcance de estos compromisos es menor que el de los programas de recompensas continuas y suelen utilizarse para realizar pruebas en profundidad de un producto o sistema concreto.
«Las organizaciones sometidas a un mayor escrutinio normativo también pueden utilizar los resultados de las pentesting para ayudar a garantizar el cumplimiento de algunas normas de ciberseguridad. Al ser de menor alcance, el pentesting puede ser una opción para explorar compromisos impulsados por hackers sin el compromiso total de un programa continuo de recompensas por fallos.»
Piensa a lo grande, consigue pequeñas victorias
Hay varias buenas prácticas, consejos y enfoques que los líderes pueden tener en cuenta antes de iniciar su viaje de hacker ético.
«Siempre es mejor empezar con un alcance pequeño y centrado y un número manejable de informes de vulnerabilidades para que los equipos internos puedan adaptarse y construir sobre el éxito del programa de forma incremental. Las empresas de recompensas por fallos, como HackerOne, también pueden proporcionar programas y políticas pro forma que pongan en marcha a las organizaciones, ahorrándoles mucho trabajo en el proceso.»
Venables aconsejó a las organizaciones que evaluaran su madurez y preparación en materia de seguridad para recibir y gestionar informes externos sobre vulnerabilidades poniendo en marcha un programa.
«Deben haber establecido orientaciones y planes claros para que los hackers y los equipos internos los sigan a lo largo del proceso de notificación y gestión de vulnerabilidades».
Venables añadió que esto incluye planes para la logística de informes y triaje, políticas de divulgación, orientación sobre conducta ética para hackers y equipos de seguridad, y comprobaciones y balances rigurosos para evaluar los problemas de seguridad.
«Las organizaciones también deben tener una idea clara de la capacidad de su equipo interno y de los recursos que pueden dedicar al nuevo programa».
Las organizaciones que quieran lanzar programas que incluyan recompensas deben definir qué servicios entran en el ámbito del programa, qué se considera (y qué no) una vulnerabilidad recompensada, las cantidades de las recompensas y una orientación clara para los hackers sobre la participación en el programa y la notificación de vulnerabilidades.
El fin de todos los bucles de ciberataque
La industria internacional de la ciberseguridad parece estar atrapada en un bucle en el que DevOps construye nuevo software de ciberseguridad para que las organizaciones funcionen, mientras que los ciberdelincuentes encuentran constantemente formas nuevas e inesperadas de vulnerar estos sistemas.
Más tarde, las vulnerabilidades y los exploits de día cero se detectan en la naturaleza o se denuncian, se parchean y se remedian, los reguladores y las fuerzas de seguridad intervienen si es necesario, y entonces el ciclo vuelve a empezar. Preguntamos a Venables cómo pueden los CISO romper este bucle.
«No se trata de un reto con una solución inmediata», dijo Venables. «Mientras haya nueva tecnología, siempre habrá nuevos días cero y actores de amenazas que busquen explotar vulnerabilidades. Hará falta un esfuerzo colectivo de todos los que se ocupan de la ciberseguridad para mejorar la seguridad de Internet en general.»
«Sin embargo, los CISO pueden contribuir hoy a este esfuerzo colectivo adoptando las mejores prácticas de ciberseguridad, incluida la participación de hackers éticos cuando proceda, para reducir las posibilidades de que su organización participe en el próximo incidente de ciberseguridad generalizado y costoso.»
A pesar del nivel de amenaza global y del ritmo de los ciberataques, que muchos se atreven a calificar de crisis global, y a pesar del auge de las nuevas tecnologías que se espera aceleren estas tendencias delictivas, Venables sigue confiando y siendo positiva.
«En última instancia, si aplicamos los principios de seguridad por diseño y seguridad por defecto, además de buscar nuevos enfoques arquitectónicos para mitigar clases enteras de riesgo, entonces avanzaremos».