Categorías
Ciberseguridad

Entra en servicio el teléfono 017 para consultas sobre ciberseguridad

El servicio de atención al ciudadano en asuntos de ciberseguridad, el 017, ha entrado este martes en funcionamiento con el fin de que cualquier persona pueda consultar una duda sobre el uso de internet, recabar asesoramiento sobre educación digital o combatir episodios de acoso cibernético.

La nueva línea telefónica que se pone a disposición de padres, menores, educadores o empresas es gratuita, confidencial, operativa los 365 días del año y de alcance nacional. La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, ha informado sobre la puesta en marcha del servicio,

Artigas ha explicado que el 017 contará con un equipo de profesionales de distintos ámbitos vinculados con las tecnologías para resolver “cualquier duda respecto al uso de internet”.

La atención incluye asesoramiento para que los menores usen los dispositivos tecnológicos de manera responsable, proteger los equipos informáticos para hacerlos seguros o recibir apoyo psicológico. También se facilitará información para combatir delitos como el ciberacoso escolar, el envío de imágenes eróticas por mensajería instantánea (“sexting“, en inglés) o la obtención ilegal de datos bancarios de ciudadanos para sustraerles dinero (“phising”).

“Estamos convencidos de que el 017 será una herramienta de enorme utilidad. Queremos fomentar un uso seguro de internet por parte de los menores y ayudar a los padres y profesores en la educación digital de sus hijos y alumnos”, ha subrayado Artigas. El servicio telefónico lanzado por el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, pretende convertirse en “una referencia para todos los usuarios de manera que la ciberseguridad forme parte de la vida cotidiana”, según Artigas.

La secretaria de Estado ha hecho hincapié en que la administración está obligada a promover un uso de las tecnologías “respetuoso, responsable, crítico y creativo”, en particular, entre los menores. “En este camino, todos tenemos que asumir un compromiso: familias, profesores, instituciones y administraciones públicas”, ha afirmado.

Artigas ha apuntado que las tecnologías y los dispositivos móviles no deben ser vistos solo como un riesgo, sino como una herramienta básica en la educación de los jóvenes siempre que se emplee de manera segura. Por ello, ha señalado que “no se puede tener un actitud excesivamente restrictiva en el acceso a esas tecnologías porque sería un freno a la formación de los menores”.

Categorías
Ciberseguridad

Aeropuertos: guía para problemas de ciberseguridad

Destacan que es un manual que ofrece a las aeroestaciones la implementación de medidas efectivas y de manera oportuna

Aeropuertos: guía para problemas de ciberseguridad

El Consejo Internacional de Aeropuertos, ACI por sus siglas en inglés, ha lanzado un nuevo recurso para ayudar a los aeropuertos a establecer un programa de resistencia cibernética y abordar los problemas de ciberseguridad que puedan surgir en sus instalaciones. 

El manual ofrece a los aeropuertos una visión integral sobre cómo implementar un programa de ciberseguridad completo basándose en las mejores prácticas de ciberseguridad con ejemplos de casos y aprovechando la experiencia .

A medida que las amenazas y el riesgo cambian rápidamente, los aeropuertos, los reguladores y los gobiernos enfrentan desafíos cuando intentan implementar medidas de seguridad efectivas de manera oportuna”, dijo la directora general de ACI, Angela Gittens.

Explora la amenaza global actual en esta área, y ofrece una gama de diferentes medidas y soluciones que pueden adaptarse a las diferentes condiciones locales y a los desafíos que enfrentan los aeropuertos de todo el mundo.

El trabajo también ayuda a los aeropuertos a comprender su propia exposición al riesgo de ciberseguridad. Esto incluye la gestión del riesgo cibernético y un sistema de control para ayudar a los aeródromos a evaluar sus estrategias defensivas, que abarcan cuestiones de confidencialidad, integridad y disponibilidad.

Este es el segundo manual de ciberseguridad de ACI, que ya publicó el pasado año el Manual de seguridad cibernética para ejecutivos de aeropuertos, y es parte de una campaña para promover la excelencia en los aeropuertos mediante el intercambio de información sobre estos temas.

 

 

Categorías
Ciberseguridad

España, referente en materia de ciberseguridad

http://www.diariosigloxxi.com/texto-diario/mostrar/1817499/espana-referente-materia-ciberseguridad

Unos de los principales problemas a los que se enfrentan las empresas españolas en el día a día es el de los ciberataques. Una amenaza cada vez más común que se desarrolla dentro del mundo corporativo y, lo que es más alarmante, en el seno de estas empresas.

Según los datos proporcionados por Gartner, el gasto en seguridad empresarial mundial alcanzó los 124.000 millones de dólares en 2019, un 8% más respecto a 2017. Estos datos ponen de manifiesto que el mercado de la ciberseguridad crece y seguirá creciendo para hacer frente a los ciberataques que las empresas reciben de manera constante.

Cada vez las empresas son más conscientes del riesgo al que están expuestas diariamente. Así lo corrobora un estudio realizado por Willis Towers Watson y ESI ThoughtLab, en el que las organizaciones de todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34% durante el próximo año, y cerca del 12% lo harán en más de un 50%. Esto se debe a las grandes pérdidas anuales que sufren las organizaciones por los ciberataques recibidos, siendo la media 4,7 millones de dólares. Datos altamente impactantes, porque no solamente supone una pérdida de dinero, sino que también se verían afectados otros aspectos como los datos internos de la empresa o la credibilidad por parte de sus clientes.

Para hablar sobre todo esto y las perspectivas de futuro en el campo de la ciberseguridad, así como poner en valor los riesgos que supone no implementar la ciberseguridad como uno de los pilares fundamentales de la estrategia de las compañías, se celebró en Madrid la II edición del Cyber Executive Day por IE Business School y Executive Forum. Una cita que contó con la presencia de grandes expertos en el ámbito de la ciberseguridad de las empresas: Checkmarx, A3SEC, Microsoft, Departamento de Seguridad Nacional (DSN) y el IE.

La ciberseguridad es un sector en pleno crecimiento

Hugo Álvarez Rodríguez, Regional Sales Manager IBERIA en Checkmarx, habló sobre las principales preocupaciones de las empresas en materia de seguridad. “Todas las empresas son atacadas en la capa de aplicación en mayor o menor grado”, además continuó su ponencia destacando que “las compañías cada vez invierten más recursos en defenderse de los ciberataques, un 30% más cada año, según Gartner”.

A su vez, Miguel Tomico, Consultor de Ciberseguridad en Checkmarx, quien acompañó a Hugo Álvarez Rodríguez en la ponencia, destacó que “lo más importante es el cambio cultural, luego las personas que se dedican a esto, las aplicaciones, y por último la tecnología”.

Alejandro de la Peña, Director de Ciberseguridad en A3SEC, explicó que “estamos viendo constantemente las dificultades que tienen las empresas ante un ciberataque. Del presupuesto de los departamentos de IT, la primera prioridad es la seguridad del dato, ocupando un 74%, la segunda prioridad es la automatización de los procesos manuales, y la tercera, la parte de concienciación”, añadió Alejandro.

Además, destacó que “las amenazas más comunes son los empleados descontentos, los empleados descuidados, la infraestructura no actualizada, y que el perímetro de seguridad de nuestra empresa ha cambiado”.

Colaboración, coordinación y compromiso. No podemos avanzar solos

Una línea de pensamiento en la que enfatizó, el profesor del máster de Ciberseguridad del IE Business School, Samuel Linares, quien explicó que “si algo está claro, es que no podemos avanzar por este camino solos, aunque tengamos todo el presupuesto del mundo. La única forma que hay es colaborar entre todos. La clave está en las personas”.

También acentuó sus palabras en un aspecto muy positivo puesto que “todo es mejorable, pero vamos por el camino adecuado. España es uno de los países que mejor están haciendo las cosas en esta materia en todo el mundo”.

Por su parte, desde Microsoft, Santiago Lorente García-Barbón, Director de preventa y experto en Ciberseguridad, enfatizó que “actualmente, se destinan 1,37 millones de dólares de gasto anual en el tiempo perdido respondiendo a alertar de malware erróneos”, y continuó su ponencia destacando que “Microsoft tiene una enorme apuesta por la ciberseguridad ya que, somos la segunda organización que recibe más ataques después del Gobierno Americano debido a que tenemos datos muy confidenciales y operamos mucha información que es relevante”.

Alejandro Pinto González, Asesor de Ciberseguridad del Departamento de Seguridad Nacional (DSN) explicó: “Entramos en una etapa distinta en la que tenemos que buscar soluciones. No podemos arrastrar el problema de la ciberseguridad 100 años”. “España es uno de los países más ciberseguros del mundo. En caso de ataque, la respuesta es inmediata y contundente”, concluyó.

Uno de los aspectos en los que todos coincidieron es en la profunda necesidad del entendimiento por parte de todos los actores y agentes que intervienen en el día a día. Un error muy común es pensar que la ciberseguridad es solo para el departamento de seguridad digital, pero lo cierto es que todos deben estar alineados para que Administraciones, empresas y sujetos individuales puedan adelantarse a los peligros a los que se enfrentan en un mundo hiperconectado.

Categorías
Hacking

Hackers iraníes monitorean la industria del turismo para llevar a cabo sus ataques

Los servicios de inteligencia iraníes y otras organizaciones a las que respaldan están vigilando los hoteles, la industria turística y las llamadas telefónicas para llevar a cabo la vigilancia de las personas a través de los datos que recogen, con el objetivo de posiblemente causarles daños físicossegún advirtió un experto en ciberseguridad a una reunión de funcionarios y empresarios en Tel Aviv el jueves.

“Los iraníes están obteniendo acceso a los datos de muchos individuos”, dijo John Hultquist, jefe del equipo de análisis de inteligencia de la empresa de seguridad cibernética FireEye, con sede en Estados Unidos. “Creemos que están vigilando a las personas a través de estos datos, por lo que vemos que el objetivo es la industria de la hospitalidad, la industria de los viajes, la industria de las telecomunicaciones, creemos que están literalmente rastreando a las personas, y, obviamente, hay algunas preocupaciones físicas graves sobre las posibles víctimas que están siendo rastreadas por los servicios de inteligencia iraníes o las organizaciones que están respaldando a estos hackers”.

Hablando sobre la amenaza global iraní en la conferencia Cybertech 2020 celebrada en Tel Aviv, Hultquist dijo que los hackers iraníes o los hackers patrocinados por Irán están mejorando en el juego, son “ingeniosos” y lo que les falta en destreza técnica lo compensan con “creatividad y alguna ingeniería social realmente fantástica”, dijo.

No existe la preocupación de que los actores iraníes, a través de sus acciones, puedan derribar economías enteras, dijo, pero sí existe la preocupación definitiva de que un ataque cibernético pueda causar “daños importantes” a jugadores individuales dentro de la economía.

Y mientras que las capacidades de seguridad cibernética de Estados Unidos e Israel “son las más avanzadas” del mundo, los ciberataques económicos perpetuados por los actores iraníes no tendrán como objetivo los servicios de inteligencia militar bien protegidos, sino el sector privado, donde los hackers encontrarán objetivos no endurecidos o menos endurecidos, dijo.

“A pesar de nuestros avances, todavía tenemos que preocuparnos por estos otros objetivos en los que se van a centrar”, dijo.

Hultquist añadió que su empresa rastreó hasta 10 ataques de hacking “destructivos” diferentes por parte de actores iraníes en el Golfo el año pasado.

“Han estado trabajando en el Golfo, han estado llevando a cabo muchos ataques destructivos allí”, dijo, siendo los objetivos empresas del Golfo como las de petróleo y gas y “otras empresas equivalentes en la región”.

Los hackers rara vez se llevan el crédito por sus acciones, dijo, aunque FireEye, que ha estado rastreando a los perpetradores durante varios años y “observándolos mejorar” tiene la capacidad de saber quién está detrás de estos ataques.

La buena noticia es que conocemos sus trucos, conocemos su comportamiento, y podemos echar un vistazo a nuestras defensas y ver si nuestros controles están preparados”, dijo.

En la conferencia, en la que se advirtió a los asistentes sobre la amenaza que supone el uso de herramientas basadas en la inteligencia artificial, Hudi Zack, Director Ejecutivo de la Dirección Nacional de Cibernética de Israel, encargada de proteger a la nación de los ciberataques, dijo que los hackers están utilizando herramientas de la Inteligencia Artificial para crear nuevas “superficies de ataque” y provocar “nuevas amenazas”.

“Hoy en día la Inteligencia Artificial permite atacar en muchas áreas al mismo tiempo y a gran escala. En un futuro próximo, el mundo cambiará de los juegos mentales de humano a humano a las batallas de máquina a máquina”, dijo.

Categorías
Hacking

Sodinokibi Ransomware Group Sponsors Hacking Contest

sodinokibi ransomware sponsor hacking contest

Larger winnings for underground skills competitions are attracting sophisticated crime groups.

White hats aren’t alone in holding hacking contests. Russian-language cybercriminals are known for running similar competitions on underground forums. However, an analysis of Dark Web activity has uncovered a trend towards offering increasingly high-stakes prizes during such battles. At the same time, increasingly sophisticated participants are throwing their hats into the mix — notably, the operators behind the Sodinokibi (a.k.a. REvil) ransomware.

For instance, a current hacking competition on the illicit forum known as XSS offers members the chance to win a share of $15,000 in return for original articles containing proof-of-concept videos or original code, according to a Digital Shadows report, released on Thursday.

“Since its relaunch as XSS [in 2018], the former Damagelabs has organized three articles competitions, all with four- or five-figure prize funds,” the firm noted.

In the past, competitions on underground forums offered much smaller prize winnings and also focused on lighthearted challenges meant to build community, rather than hacking prowess. For instance, a 2010 competition challenged participants “to design a graphic that best represented the Russian-language segment of the internet (the ‘Runet’) to win an iPad,” according to Digital Shadows.

A more skills-based challenge emerged on the Exploit underground forum in December 2016, when a $2,000 pot was offered for the best articles on broad topics like “malware”, “phreaking” and “hacking.” The event has become an annual winter tradition, but Digital Shadows said that this year the prize levels soared.

“Fast-forward to 2019 and the competition prize fund stood at $10,000, with rules stipulating a word count and content requirements,” the research detailed.

The recently bigger prizes have attracted new interest from advanced threat groups, the firm said. For instance, Sodinokibi’s operators have stepped forward to sponsor the aforementioned XSS event, which is open now for entries.

In this latest competition, articles can be submitted on five different topics:

  • Searching for 0day and 1day vulnerabilities. Developing exploits for them
  • APT attacks. Hacking LAN, elevating rights, hijacking domain controller, attack development
  • Interesting combinations, algorithms. Writing your own crypto algorithms and hacking other people’s
  • Innovative functionality, reviews, analysis of interesting algorithms that are used, development prospects
  • Digital forensics. Software, tricks, methods

The competition winner will win $5,000, with prizes decreasing by $1,000 incrementally for second through fifth place, totaling an overall purse of $15,000. Digital Shadows said that the site administrators also announced that most “suitable” competition finalist would be given the ability to collaborate with the Sodinokibi team for everyone’s mutual benefit.

“[Groups like Sodinokibi] have taken an interest in these competitions in order to foster technical skills among forum members, increase awareness of the availability of their malware (potentially increasing their sales) and gain valuable intelligence they could use for future malware development,” according to the firm.

Of course, the winnings in these underground contests are eclipsed by above-board hacking competitions – like the $25,000 per-exploit prizes given out at the recent Pwn2Own Miami. But Digital Shadows expects the trend of higher-stakes competitions to continue to grow and develop within underground channels.

“Users on successful forums such as Exploit and XSS strongly identify as members of those sites and see the value in participating not only for their own benefit but also for the  good of the forum,” the report concluded. “After all, helping the development of the forum is one of the major drivers behind organizing competitions: Cybercriminal forums need to attract and retain members in order to survive, and being able to present a site as a valuable repository of articles discussing pertinent cybercriminal issues is a real draw.”

Categorías
Ciberseguridad

En ciberseguridad, “la velocidad lo es todo”

El CEO de ThreatShield Security, Félix Negrón, colabora con el FBI en detección de “hackers”. (Suministrada)

Los ataques cibernéticos más avanzados toman solo segundos en burlar un antivirus, penetrar un firewall y secuestrar, infectar o simplemente borrar todos los datos de un individuo, empresa o gobierno, pero fácilmente cuesta millones de dólares y años de trabajo recuperarse de ellos, si algún día las víctimas se recuperan, asegura el experto boricua en ciberseguridad, Félix Negrón.

De hecho, tan reciente como el 27 de enero, hackers anónimos intentaron vender los datos financieros de más de 31 millones de personas que recopilaron a lo largo de diez meses de los servidores de Wawa, una cadena de colmados en Estados Unidos, sin ser detectados.

“Y eso es lo que sabemos hasta ahora. Quizás todas las organizaciones de Wawa han sido afectadas, pero cuando tú miras, Wawa tenía un firewall corporativo muy bueno, un antivirus muy bueno también, y dos buenas compañías de informática. Lo mismo vemos alrededor del mundo: un firewall, un antivirus y un backup (sistema de respaldo de información)”, explicó Negrón.

El gigante del internet Yahoo, la cadena de hoteles Marriott/Starwood y una de las tres empresas que más datos crediticios recopila en los Estados Unidos, Equifax, han sido atacadas con éxito. Yahoo ha sido víctima dos veces.

Esa misma fórmula la tenía la ciudad de Baltimore, Maryland cuando debió pagarle más de $70,000 a hackers anónimos para recuperar acceso a los datos del ayuntamiento. Lo mismo tuvieron que hacer los alcaldes de Atlanta en Georgia y Greenville en Carolina del Norte en los pasados dos años.

Combinados, los gobiernos de estas ciudades han debido gastar más de $20 millones en reforzar sus sistemas de seguridad y procurar pólizas en contra de los constantes ataques cibernéticos, enfatizó Negrón, quien forma parte de la red de expertos en ciberseguridad InfraGard, del Negociado Federal de Investigaciones (FBI, por sus siglas en inglés).

“Esto ya es una ciencia de estudiar al atacante. Estamos hablando de los gobiernos de China, Rusia, Corea del Norte, pero también de personas completamente aleatorias. Todos los atacantes tienen una firma, algo en su código, su modo de operar, que los delata”, añadió el primer ejecutivo de ThreatShield Security, quien dictó una charla sobre las capas de seguridad cibernética durante el Tech Expo del Centro Unido de Detallistas, ayer, en el Sheraton Convention Center.

 

Al estudiar un virus, el boricua puede identificar los sistemas de la red a la que el atacante quiere llegar, desde dónde está atacando y cuál es la forma más rápida de neutralizarlo. Adicionalmente, “si estamos enfrentándonos a un hacker de gran calibre, lo más seguro es que él (o ella) está enseñando a los demás. Si conozco las firmas de lo que hace ese ‘maestro’, también meestoy preparando para el resto”, dijo quien maneja a un equipo de 10 expertos desde Tampa, Florida.

En cuanto a los pequeños y medianos negocios que usualmente creen que no son suficientemente grandes para interesar a loshackers, Negrón dijo que casi la mitad de las empresas de este tamaño que llegan a él después de ser atacadas no logran recuperarse y desaparecen.

“La velocidad lo es todo. Algunos ataques de ransomware (secuestro de datos) toman menos de dos segundos en esparcirse y encriptar toda la data de una empresa. Después te piden miles o millones de dólares a cambio de una llave (código) para reabrirlos. En lo que tomas la decisión, ya perdiste horas de operación. En lo que te recuperas, ya perdiste días o semanas de ingresos”, sentenció el ingeniero, quien resaltó a la Autoridad de Energía Eléctrica como uno de los objetivos predilectos si algún hacker desea causar el caos en la isla.

En cambio, indicó, que empresas y gobiernos de cualquier tamaño deben auditar sus sistemas de seguridad y ponderar el monitoreo de amenazas cibernéticas en tiempo real. “Si quieres cuidar lo que has construido por años, necesitas prevenir los ataques. Una vez que entran a tu sistema, la batalla es casi imposible de ganar”, dijo.

 

Categorías
Ciberseguridad

Los mejores cursos gratuitos de ciberseguridad y seguridad de la información

Lorena Fernández

En este 2020, ya no existen excusas para empezar a aprender sobre temas que nos gustan. Esta nota te propone diversos cursos orientados a principiantes sobre varias aristas de la ciberseguridad y la seguridad de la información. Estamos seguros que la calidad de la formación recibida es alta, y varios de estos cursos están respaldados por importantes instituciones educativas.

Cursos introductorios generales

Criptografía (Primera Parte) – Coursera

Forma parte de una miniserie de dos cursos. Es uno de los más populares y longevos del portal desde que se ha lanzado a la web. Es una de las habilidades indispensables para poner en práctica la protección de la información en los sistemas informáticos. Vas a aprender acerca de la encriptación autenticada, intercambio básico de claves, encriptación con clave pública y mucho más. Tiene una carga hora de 12 a 13 horas aproximadamente, incluyendo el examen final.

Si quieres acceder a un certificado oficial, tendrá un coste de 79 USD. Está respaldada por la prestigiosa Universidad de Stanford. Puedes acceder al curso aquí.

Cybersecurity Basics: A Hands-on Approach – edX

De acuerdo al propio portal, este es un curso de nivel intermedio. Sin embargo, cualquiera que sólo tenga habilidades esenciales para utilizar un ordenador y navegar en Internet, puede participar. Ofrece un panorama completo sobre lo que es la Ciberseguridad, ingeniería inversa, vulnerabilidades y otros temas. Dura 6 semanas y propone dedicar de 5 a 7 horas de estudio por semana para finalizarlo exitosamente.

Sin embargo, la certificación tendrá un coste adicional de 50 USD. Así que, si deseas empezar tu camino formándote en ciberseguridad, con este curso puedes empezar. Está respaldada por la Universidad Carlos III de Madrid. Puedes acceder al curso aquí.

Gobernanza de Datos Personales en la Era Digital – edX

Te ayudará a comprender acerca de la gobernanza de datos, los criterios a considerar cuando se formulan políticas públicas al momento de redactar leyes sobre protección de datos y privacidad. Este curso está más orientado a las implicancias legales de los datos personales, su manipulación y las desviaciones que podría tener estas actividades. Sin embargo, sigue siendo muy útil para ampliar los conocimientos y aplicarlos en tu entorno. Dura 4 semanas y propone dedicar 6 a 8 horas de estudio por semana para finalizarlo.

Para este caso, la certificación tendrá un coste adicional de 50 USD si es que deseas oficializar esta formación. Está respaldada por la Pontificia Universidad Javeriana de Colombia. Puedes acceder al curso aquí.

Seguridad Móvil – Academia ESET

Conocerás las diversas amenazas a las cuales tu dispositivo móvil puede verse expuesta. Además, conocerás acerca de las medidas preventivas que debe tomar para prevenirlas y proteger el uso diario de los móviles. El curso no tiene costo alguno. Puedes acceder al curso aquí.

Cómo armar una red doméstica segura – Academia ESET

Aprenderás sobre lo que necesitas para asegurar una red doméstica. Sabrás acerca de los detalles de cada una de sus fases, los principales tipos de conexión a Internet, establecimiento de parámetros de configuración para el router. Por otro lado, cómo montar los ordenadores y la red inalámbrica en general.

Por supuesto, recibirás lecciones de cómo optimizar la red a favor de la seguridad a la hora de conectarse a ella. Tanto del lado router, como los ordenadores y otros dispositivos que quisieran conectarse. Puedes acceder al curso aquí.

Cursos específicos de seguridad ideales para principiantes

Network Security – Udacity

Algunos de los temas que aprenderás son: criptografía, sistemas de seguridad, autenticación, gestión de claves, detección de intrusiones, detección y mitigación de ataques DDoS y más. Al completar este curso, ganarás las habilidades necesarias para comenzar a realizar evaluaciones sobre redes tanto a nivel laboral como académico.

Una particularidad que hace a este curso bastante atractivo es que la mayoría de los temas tratados tienen como origen diversos papers e investigaciones realizadas en el sector. Además, obtendrás los enlaces para acceder a dicha documentación. Forma parte de un programa de tipo Nanodegree denominado Introduction to Programming. Los detalles de costes y facilidades de pago se encuentran en el portal de Udacity. Puedes acceder al curso aquí.

Gestión y respuesta a incidentes – Academia ESET

Uno de los grandes desafíos a la hora de empezar a trabajar en seguridad es, ¿qué hacer cuando se presenta una incidencia? ¿cuál es el plan de acción para cada caso? Este curso comienza a armar el camino para ti para que sepas cómo y qué hacer. Es completamente gratuito.

No solamente debemos saber responder ante dichas incidencias, sino también, medir los tiempos y proponer aquellos que se ajusten a una rápida y eficaz respuesta. Puedes acceder al curso aquí.

Introducción a las herramientas SIEM – Cybrary

Cybrary es uno de los portales más populares de formación especializada en ciberseguridad. Puedes acceder a cursos gratuitos y con el plus de certificarte. ¡Este es uno de ellos! Las siglas de SIEM responden a Security Information Event Management. Es la combinación de la gestión de Security Information (Información de Seguridad) y Security Event (Eventos de Seguridad).

Aprender y poner en práctica el sistema SIEM en tu entorno tiene grandes beneficios: Mayor eficiencia en las operaciones, menor impacto de las brechas de seguridad y menor coste a raíz de la correcta prevención y mitigación. Puedes acceder al curso aquí.

Fundamentos de Gestión de Vulnerabilidades – Cybrary

De acuerdo al portal, «La gestión de vulnerabilidades es un proceso continuo de riesgos de seguridad de la información que requiere la vigilancia por parte de gerencia». Consiste en un enfoque que implica el descubrimiento, reporte, priorización y respuesta ante las vulnerabilidades que se detectan. Una plataforma de trabajo sólida asegurará que cada proceso y sub-proceso mejore la seguridad de la información en general, y reduzca la superficie de exposición de que esas vulnerabilidades comprometan la integridad de la red. Puedes acceder al curso aquí.

Fundamentos de análisis de malware móvil – Cybrary

Este es un curso que ya requiere un poco más de habilidades como pre-requisito, a razón de los laboratorios de práctica que se dictan. Es altamente recomendable tener conocimientos de programación en lenguajes como C, Java, Swift y Objective C.

Además de conocer la arquitectura de los sistemas operativos móviles Android y iOS, aprenderás a realizar análisis de malware de los dispositivos que pueden llegar a convertirse en reportes técnicos de alta calidad. Puedes acceder al curso aquí.

Windows Forensics y sus herramientas – Cybrary

Este curso se enfoca en un conjunto de software/herramientas que se usan para obtener o procesar información en Windows. Al contrario de lo que muchos puedan suponer, no es demasiado sencillo de aprender. Sin embargo, es sumamente desafiante. ¿Por qué? Windows Forensics contiene varias características aún no documentadas, además de que no permite fácilmente el acceso a las capas físicas de varios dispositivos.

Algunos de los temas que abarca el curso son: registros de sistema, Windows Prefetch, puntos de restauración y archivos pertinentes de sistema. Puedes acceder al curso aquí.

Categorías
Ciberseguridad

Así trabajan los hackers éticos que se dedican a piratear legalmente empresas como Uber, Starbucks o Airbnb

Un grupo de hackers éticos

 

  • Los hackers éticos se cuelan legalmente en el interior de las empresas para ayudarlas a identificar vulnerabilidades y errores, y compañías como Uber, Starbucks, Airbnb, Spotify, Atlassian o incluso en Departamento de Defensa de los Estados Unidos, están recibiendo con los brazos abiertos a estos piratas informáticos para ayudar a segurizar sus sistemas.
  • Estos hackers éticos suelen ser recompensados con miles de dólares a través de sitios como HackerOne o Bugcrowd, o pueden trabajar dentro de una empresa en un “equipo rojo” simulando ataques informáticos para ayudar a identificar vulnerabilidades.
  • Varios hackers éticos relatan cómo es su vida y cómo se iniciaron en el mundo de la piratería informática. 
  • Descubre más historias en Business Insider España.

Para la hacker ética Jesse Kinser la ciberseguridad es un estilo de vida. En su día a día ayuda a proteger los productos de su compañía como directora de seguridad de producto en LifeOmic. Cuando se va a casa, después de que su hijo se duerma, es cuando empieza a piratear.

Como hacker ética se cuela en los sistemas informáticos, pero no para robar información sino para encontrar vulnerabilidades y fallos. Fuera del trabajo, hackea para ayudar a proteger compañías tecnológicas, tiendas de consumo, empresas dedicadas a la salud, proveedores de seguros e incluso entidades gubernamentales. Ha hackeado para empresas como Starbucks, Uber o Airbnb.

“Las cosas están cambiando constantemente, lo que me mantiene involucrada”, explica Kinser a Business Insider. “Todas estas compañías están construyendo fantásticos nuevos productos y yo soy la primera en romperlos”.

Hoy día, organizaciones importantes como Uber, Spotify, Atlassian o incluso el Departamento de Defensa de los Estados Unidos, utilizan cada vez más plataformas como Bugcrowd y HackerOne, que dan la bienvenida a estos hackers éticos —denominados también hackers de sombrero blanco para que entren en esos sistemas y les recompensan por encontrar fallos.

A cambio de encontrar vulnerabilidades, estos hackers son recompensados habitualmente con una recompensa en dinero en efectivo por encontrar un error. Kinser explica que ha ganado miles de dólares con este sistema. Algunos hackers éticos incluso se han convertido en millonarios identificando vulnerabilidades.

Leer más: La historia de Bernardo Quintero, el hacker español que domina la ciberseguridad de Google

El aumento de empresas que abren sus sistemas a estos hackers éticos presagia un importante cambio de actitud hacia la seguridad. Las empresas se están involucrando cada vez más en la comunidad de ciberseguridad y están implicando activamente a los hackers para encontrar o informar sobre vulnerabilidades de seguridad.

Esto también redunda en el beneficio de las empresas. De lo contrario, podrían enfrentarse a brechas de datos, violaciones de privacidad o, en última instancia, grandes pérdidas financieras.

Las percepciones sobre los hackers también están cambiando, según Alex Rice, cofundador de HackerOne y actual CTO. Por ejemplo, el excandidato presidencial del partido demócrata estadounidense Beto O’Rourke era miembro de uno de los grupos de hackers más importantes del estado de Texas, llamado ‘El culto de la vaca muerta‘, aunque pocos prestaron atención a este detalle en su biografía.

Marten Mickos, CEO de HackerOne
Marten Mickos, CEO de HackerOne. HackerOne

“Creo que una de las cosas realmente interesantes sobre la percepción que tiene la comunidad hacker es lo rápido que saltamos sobre el estereotipo que aparece cada vez que alguien dice cómo se imagina a un hacker”, explica Rice a Business Insider. “Se imaginan a alguien en un sótano, por lo general una persona antisocial, pero cuando te fijas en las personas que participan en aportar valor a esta comunidad, en la diversidad de sus orígenes y en los diferentes caminos que han recorrido hasta llegar a este mundillo, es algo realmente sorprendente”.

El hacking y la ciberseguridad son un estilo de vida

Kinser ha estado hackeando durante 13 años. En el instituto, se inició en el mundo del hacking cuando programó sus relojes para encender y apagar su televisor. En la universidad, comenzó a investigar sobre varios temas de seguridad e incluso llegó a trabajar para el Departamento de Defensa de los Estados Unidos. Finalmente, dirigió el programa de recompensas por encontrar vulnerabilidades de Salesforce y también empezó a hackear allí.

Jesse Kinser, directora de seguridad de producto en LifeOmic
Jesse Kinser, directora de seguridad de producto en LifeOmic. Jesse Kinser

Ahora, después del trabajo, Kinser suele pasar tiempo con su familia. Cuando su hijo se duerme, ella empieza a hackear. Dice que si encuentra algo interesante puede quedarse despierta hasta las 2 de la mañana.

Cuando Kinser quiere piratear una página web, comienza a usarla como lo haría cualquier otra persona, pero con la motivación de un cibercriminal. Creará una cuenta de usuario y pensará en dónde pueden quedar los datos confidenciales. Por ejemplo, en una web de venta al por menor, la gente puede crear cuentas en las que introducen los datos de sus tarjetas de crédito. Ella empieza intentando hackear esas áreas primero.

“Es un desafío”, explica Kinser. “Siempre he dicho que el hacking y la ciberseguridad son un estilo de vida. Prácticamente, estoy metida en ello todo el rato”.

André Baptista, profesor de 25 años en la Universidad de Portugal, también es un hacker ético que ha ganado más de 130.000 dólares en recompensas por encontrar errores. Empezó a trabajar cuando encontró un libro en el escritorio de su padre sobre programación. Luego acabaría estudiando informática en la universidad.

André Baptista, profesor de seguridad de la información en la Universidad de Oporto
André Baptista, profesor de seguridad de la información en la Universidad de Oporto. HackerOne

No obstante, comenzó a hackear cuando se involucró en Atrapa la Bandera (CTF, por sus siglas en inglés), un juego para hackers en el que los jugadores intentan encontrar vulnerabilidades en escenarios simulados. Fue el capitán del equipo de CTF de su universidad y logró clasificarse para un evento en Las Vegas, después del cual, según él, “su vida cambió por completo”. En el evento, no encontró ningún error.

“Estaba un poco decepcionado conmigo mismo porque era bueno ya que me clasifiqué en el primer puesto, pero no sabía cómo buscar vulnerabilidades del mundo real ya que estaba acostumbrado a escenarios simulados”, explica Baptista a Business Insider.

A partir de entonces, decidió aprender a encontrar errores reales y comenzó a practicar todos los días. Hace unos dos o tres años, se enteró de la existencia de HackerOne y se dio cuenta de que podía utilizarlo para encontrar vulnerabilidades reales. Y en febrero de 2018, encontró su primer fallo real.

Leer más: 9 secretos de ciberseguridad que los hackers no quieren que sepas

“Los pagos también son realmente asombrosos”, explica Baptista. “Mi vida ha cambiado por completo gracias a HackerOne”.

Tanto Kinser como Baptista viajan frecuentemente para asistir a eventos de hacking. Baptista dice que su trabajo le da mucha flexibilidad. Después de obtener su título, su universidad lo retuvo como profesor. Él puede dar clases, y cada mes, puede volar a algún lugar para asistir a un evento de HackerOne.

Sin embargo, dice que a veces se siente presionado cuando otros hackers encuentran errores en los eventos, y él no encuentra ninguno. Otras veces, es al revés.

“Me encanta estar en múltiples lugares”, afirma Baptista. “Me encanta hacer algo de hacking cuando estoy trabajando en la universidad, cuando tengo algo de tiempo libre entre las reuniones y las clases… Cuando voy a algún lugar como Londres, Ámsterdam, cuando voy allí, me siento muy inspirado porque no tengo otras distracciones y puedo hackear y encontrar algunos errores críticos”.

El equipo rojo

El hacking ético también se da dentro de algunas empresas. Brianna Malcolmson lidera el “equipo rojo” de Atlassian, orientado a analizar y simular las amenazas que podrían tener como objetivo a Atlassian. El término “equipo rojo” procede del campo militar, cuando los países realizaban simulaciones de lo que podrían hacer los enemigos.

El equipo ejecuta ataques contra Atlassian, como un ataque phising para conseguir que alguien instale malware en su equipo informático. Además de encontrar y recopilar información sobre vulnerabilidades, educa a la compañía sobre ciberseguridad, sobre los riesgos a los que se puede enfrentar y sobre cómo cada trabajador puede involucrarse para mejorar la seguridad.

Atlassian también tiene un “equipo azul”, que practica y se entrena en lo que puede suceder ante un incidente de seguridad. Ambos equipos tienen cierta rivalidad, según Malcolmson. Mientras que el equipo rojo debe trabajar duro para esquivar las protecciones definidas por el equipo azul, éste tiene que trabajar para proteger a toda la empresa.

Leer más: Un hacker profesional revela el principal error de seguridad que la gente comete en Internet, y es algo que probablemente haces todos los días

“En realidad, en los últimos cinco años, el número de equipos rojos ha aumentado mucho”, explica Malcolmson a Business Insider. “El equipo rojo fue una cosa del ejército en los años 60 y 70. Se ha expandido más recientemente a las empresas tecnológicas. Ahora hay más equipos rojos en todo Silicon Valley que en todos los años anteriores.

Malcolmson dice que aunque el equipo rojo sea adversario del equipo azul, la relación en realidad es bastante amistosa. “Nos sentimos útiles para la empresa y atendemos las necesidades no sólo de todos los equipos de Atlassian, sino específicamente del equipo azul”, explica Malcolmson. “Cuando ponemos en común los resultados siempre tratamos de hacerlo desde el punto de, hicimos algunas cosas mal pero no se está culpando a nadie… Queremos que siga siendo una experiencia de aprendizaje para todos“.

“Básicamente buenas personas que piensan como los tipos malos”

Rice dice que incluso hace solo 5 años, la piratería informática era sinónimo de actividad criminal. “La gente que tenía estas capacidades era empujada a la clandestinidad”, argumenta. “La gente que lo hizo, lo hizo por amor. No era la manera más obvia de ganarse la vida. Era realmente una comunidad muy pequeña que era básicamente gente que estaba allí apasionada por hacer que la tecnología fuera segura”.

Casey Ellis, fundador y CTO de Bugcrowd, dice que los hackers éticos son “básicamente buenas personas que piensan como los tipos malos”. Bugcrowd reúne a estos hackers para cazar vulnerabilidades.

Casey Ellis, fundador y CTO de Bugcrowd
Casey Ellis, fundador y CTO de Bugcrowd. Business Insider /Julie Bort

“Es un concepto que la gente normal puede entender”, explica Ellis a Business Insider. “Intenta explicarle cómo funciona un cortafuegos a una abuela y ella puede que lo entienda, pero es más probable que se pierda, mientras que esta idea de vigilancia del vecindario de Internet es un concepto bastante intuitivo”.

Ahora bien, la seguridad es una conversación crítica para cualquier empresa, ya que un error que las compañías pueden cometer es tener a los desarrolladores trabajando alrededor de la nube para llevar sus productos al mercado sin pensar en la seguridad.

“Resulta bastante descabellado pensar que los hackers se puedan asociar con las empresas, pero eso es exactamente lo que está sucediendo a día de hoy”, explica Rice. “Podemos hacerlo de un modo más transpartente. Podemos enseñar a la gente a hackear en un entorno clandestino. Podemos recompensar a la gente por hacerlo de una manera justa. Estamos asumiendo la piratería informática como un paso necesario y crítico“.

Aunque muchos hackers puedan proceder de todas las clases sociales, todavía existe una falta de diversidad dentro de la comunidad hacker, ya que sigue siendo predominantemente masculina. Según un informe de Bugcrowd, sólo el 4% de la comunidad hacker mundial es femenina.

Kinser dice que a veces resulta desalentador acudir a un evento de hacking y ver que es la única mujer, pero también la motiva para realizar programas de alcance o trabajar con HackerOne para invitar a más mujeres.

Evento hacker Bug Bash
Una hacker ética busca vulnerabilidades en Bug Bash, un evento organizado por Atlassian y Bugcrowd. El evento tuvo un 35% de asistencia femenina. Bugcrowd

“En lugar de desanimarme mucho por ser mujer y ser de hecho la única mujer en una habitación junto a 50 hombres, trato de usar eso para tender la mano y fomentar la participación femenina”, explica Kinser. “Hasta en mi trabajo diario, la mayoría de gente con la que me relaciono son hombres”.

Cómo empezar a hackear

Para iniciarse en el mundo del hacking ético, Kinser sugiere leer manuales de hacking y aprender sobre cómo los hackers se las arreglan para irrumpir en el interior de un sistema informático. También invita a aprender a crear aplicaciones desde cero, lo que puede enseñar a entender dónde pueden estar los agujeros de seguridad.

“No es necesario ser ningún experto, pero si uno está pirateando una página web necesitará saber cómo funciona antes de tratar de piratearla”, explica Kinser.

Hackers en Bug Bash
Un grupo de hackers de sombrero blanco buscan vulnerabilidades durante Bug Bash, un evento organizado por Atlassian y Bugcrowd. Bugcrowd

De la misma manera, Baptista recomienda aprender a programar y tratar de construir aplicaciones móviles y para webs. También dice que la gente debería empezar a hacer CTFs, que es la manera en la que él se inicio en el mundo del hacking ético.

Para preguntas sobre hacking, existe una enorme comunidad de hackers éticos en Internet.

Leer más: Dos hackers españoles demuestran con una herramienta lo fácil que es reventar contraseñas atendiendo a las pautas con las que se crean las más comunes

“Eso es algo clave que generalmente se pasa por alto”, explica Kinser. “Piensas en gente que se sienta en una esquina que trabaja por su cuenta. Sí, a veces es así, pero al mismo tiempo también nos apoyamos los unos en los otros. Eso es lo que resulta tan poderoso de estos eventos de hacking. Llegar a la gente de la comunidad y realizar preguntas. No hay que tener timidez en hacerlo”.

Dawn Isabel y Jesse Kinser
Las hackers éticas Dawn Isabel y Jesse Kinser ganaron un premio a la mejor vulnerabilidad en Bug Bash, el evento de hacking organizado por Atlassian y Bugcrowd. Bugcrowd

Su mayor consejo es que no te sientas intimidado.

“Todo el mundo tiene que empezar en algún lugar y esta puede ser una industria desalentadora, así que sólo tienes que meterte dentro de ella”, explica Kinser. “Lo más importante es que aprendan unos de otros”.

Este contenido fue publicado originalmente en BI Prime.

Categorías
Ciberseguridad

El pirateo del móvil de #JeffBezos demuestra que los #hackers están ganando la carrera armamentística entre gobiernos y empresas tecnológicas

Jeff Bezos, CEO de Amazon

El móvil del fundador de Amazon, Jeff Bezos, que al mismo tiempo es la persona más rica del planeta, fue hackeado durante la primavera de 2018. El príncipe heredero de Arabia Saudí, Mohamed bin Salmán, parece estar detrás de ese ciberataque según adelantó The Guardian y también sospechan dos expertos independientes de la ONU, que han reclamado una investigación inmediata sobre la posible implicación de Bin Salmán y Arabia Saudí.

Este es solo el último ejemplo de cómo los gobiernos de todo el mundo están gastando miles de millones para que los hackers descubran vulnerabilidades en las redes sociales.

La empresa de ciberseguridad Check Point Software, una de las primeras que denunció el pirateo de WhatsApp por parte del Grupo NSO mediante el desconocido pero potente malware Pegasus, explica a Business Insider que “decenas de millones” de teléfonos móviles están siendo pirateados a diario en todo el mundo. Y otros muchos pueden estar pasando desapercibidos. Algunas amenazas, como el cryptomining —el secuestro virtual de dispositivos para minar criptomonedas— funcionan silenciosamente y son difíciles de detectar, según explica Oded Vanunu,  jefe de Investigación de Vulnerabilidad de Productos en Check Point.

El pirateo a Jeff Bezos ha llegado a los titulares de todo el mundo porque es el fundador de un gigante como Amazon y, al mismo tiempo, es la persona más rica del planeta. Los ciberatacantes son capaces de hackear el móvil de cualquiera, sea o no una personalidad pública. La única razón por la que escuchamos estaos casos es porque involucran a personajes relevantes, explica Vanunu.

Leer más: El lucrativo negocio de las startups que venden herramientas para hackear tu móvil, tu router o tu altavoz inteligente a Gobiernos como el de Arabia Saudí

Una carrera armamentística entre hackers, gobiernos y empresas tecnológicas

Nadie está a salvo de ser hackeado, y no usar WhatsApp —el pirateo al móvil de Bezos se produjo con el envío de un archivo de vídeo que contenía malware— no es exactamente una solución. Incluso si te marchas de la plataforma los cibercriminales pueden intentar explotar otras vulnerabilidades con las que conseguir acceso a tu teléfono móvil.

Los hackers atacan en función de hábitos de uso comunes, como la tendencia a hacer click en un enlace o en un vídeo, para inyectar con malware los móviles y así conseguir acceso a información confidencial. Existen herramientas y software destinado a proteger los móviles de ataques de ese tipo”, asegura Vanunu.

Según su opinión se trata de una carrera armamentística entre las fuerzas del bien —la industria— que intentan destapar esos escenarios  y las fuerzas del mal —gobiernos y empresas peligrosas— que tienen presupuestos multimillonarios para descubrir antes que el resto esas vulnerabilidades de las plataformas para aprovecharlas. El hackeo del móvil de Jeff Bezos es solo un ejemplo de cómo las vulnerabilidades pueden ser utilizadas como armas para instalar spyware y tomar el control de los dispositivos electrónicos.

Leer más: Así trabajan los hackers éticos que se dedican a piratear legalmente empresas como Uber, Starbucks o Airbnb

“Es como una carrera armamentística. El desafío al que la mayoría de organizaciones y gobiernos se enfrentan hoy en día es utilizar tecnología de seguridad de tercera generación que tiene alrededor de 10 años para protegerse contra amenazas actuales, que corresponden a una quinta o sexta generación de ataques”, sostiene Vanunu.

Este tipo de amenazas van a seguir creciendo en el futuro. A lo largo de los próximos 5 años, los ataques están destinados a escalar todavía más y convertirse en más agresivos.

Como usuario, Vanunu recomienda que en lugar de intentar huir del tablero de juego, es importante asegurarse de que tienes todas las herramientas adecuadas para proteger tus dispositivos. Eso empieza por instalar todas las actualizaciones tan pronto como se lancen y evitar hacer clic en enlaces sospechosos que intentan seducir con titulares exageradamente llamativos.

Categorías
Ciberseguridad

Bug Bounty: cómo funciona el mundo del Hacking Ético y la cacería de vulnerabilidades #seguridadinformatica

https://www.welivesecurity.com/la-es/2020/01/21/bug-bounty-como-funciona-hacking-etico-caceria-vulnerabilidades/

Dentro de un entorno corporativo, la realización de pruebas de penetración es una práctica que se utiliza desde hace mucho tiempo para auditar la seguridad de las aplicaciones y de la red. Si bien este tipo de actividades generalmente se realizan desde el marco de un empleo en relación de dependencia o de consultoría y mediante la firma de un contrato, desde hace algunos años, y cada vez con más frecuencia, es común que las compañías publiquen programas de recompensa, más conocidos como Bug Bounty, a través de plataformas como HackerOne o BugCrowd, entre otras.

A través de estas plataformas las empresas interesadas en auditar sus servicios logran conectar con hackers éticos de cualquier lugar del planeta dispuestos a poner a prueba la seguridad de sus servicios. Cualquiera puede inscribirse y participar de estos programas de Bug Bounty, ya sea como un hobby o como una actividad lucrativa. Las empresas cuando abren sus programas detallan el alcance del mismo y fijan distintos premios para quienes encuentren fallos, generalmente de según la gravedad de los mismos.

El pago promedio para vulnerabilidades críticas en 2018 fue de USD 3,384 con un incremento interanual del 48%. En este escenario, HackerOne desembolsó en el año 2018 un total de USD 19 millones a sus miembros por el pago de recompensas. Si bien además del factor económico hay una motivación por aprender y por los desafíos en sí, según datos de una encuesta realizada por HackerOne en 2018, los hackers éticos que se dedican mayormente a participar de programas de bug bounty logran obtener hasta 2.7 veces más dinero que el salario que percibe un ingeniero de software que se dedica a tiempo completo. De hecho, a principio de 2019 un joven argentino de 19 años se convirtió en la primera persona en ganar más de un millón de dólares a través de HackerOne.

Respecto a la cantidad de usuarios en esta plataforma, en 2019 habían registrados más de 300,000 hackers, cifra que representa un aumento del 100% con respecto al año anterior.

Como referencia de las sumas de dinero que llegan a pagarse en algunos, Google anunció un programa de Bug Bounty para sus teléfonos Pixel que ofrece hasta 1.5 millones de dólares para quienes encuentren vulnerabilidades críticas. De todas formas, si estás recién comenzando con esta actividad, no esperes que tus ganancias se acerquen a esas cifras en un corto plazo.

Ventajas de los programas de Bug Bounty

Los programas de bug bounty permiten a cualquier persona, con o sin conocimientos técnicos previos, aumentar su nivel de experiencia en hacking ético. A su vez, permite a profesionales de otros campos obtener una perspectiva diferente sobre los problemas que pueden afectar a las aplicaciones, desde un marco práctico.

Se trata de una muy buena herramienta de aprendizaje y, en líneas generales, ha sido de gran ayuda en cuanto a la generación de una mayor conciencia sobre la importancia del desarrollo de aplicaciones seguras. También inspiró el ingreso de mucha gente al campo de la seguridad informática y ayuda a incrementar la seguridad en general, ya que miles de fallos de seguridad se han solucionado a través de estas actividades.

Consejos para quienes están comenzando con los programas de bug bounty

  • Empezar de a poco: Si no tienes experiencia previa, quizás sea una muy buena idea comenzar con un solo tipo de vulnerabilidad, por ejemplo, XSS, y luego comenzar a incorporar nuevas habilidades. Encontrar primero una vulnerabilidad que realmente te divierta e interese es importante.
  • No pensar solo en el dinero: Lo más probable es que en un principio no sea posible ganar dinero. Si solo tienes esto en mente, puede que pases por alto ciertos detalles importantes y que no te tomes el tiempo necesario para hacer las cosas de la mejor forma. Lo ideal es poder dedicar tiempo suficiente para aprender y que disfrutes la actividad.
  • Hacer reportes claros: Si has descubierto una vulnerabilidad, es importante que sepas reportarla de forma eficiente. Algo en lo que las personas de ambos lados coinciden (bug hunters y empresas) es acerca de la importancia de la elaboración de informes claros que indiquen paso por paso cómo se puede reproducir la vulnerabilidad y que expliquen el uso que un atacante podría darle a la misma, ya que esta información influye en que los hallazgos sean tenidos en cuenta.
  • Tomarse el tiempo de ir a fondo: Si has descubierto una vulnerabilidad, es recomendable que dediques el tiempo necesario para intentar ver todos los caminos que la misma abre para un atacante. Por ejemplo, si la vulnerabilidad fue introducida por un equipo de desarrollo de una determinada empresa, es posible que se repita en otros sitios. Investigar todas las posibilidades aumenta las chances de que seamos exitosos a la hora de convencer a la empresa de que lo que encontramos es serio.
  • Tomar la ruta menos usada: Si recién estás comenzando en el mundo del bug bounty es poco probable que encontremos vulnerabilidades en aplicaciones de empresas muy grandes, que seguramente ya han pasado por varias etapas de pentesting y que ya han sido sometidas a la auditoría de muchos otros cazadores de bugs. Es recomendable evitar frustraciones y empezar por donde otros quizás no hayan mirado todavía.
  • Estudia y practica: La única forma de progresar en el mundo del Bug Bounty es dedicando tiempo. Es necesario practicar, leer reportes que hayan elaborado otras personas y estudiar las distintas metodologías. Por suerte, hay mucha gente en la comunidad que está dispuesta a compartir lo que sabe y eso es algo que definitivamente deberías aprovechar. Según unos de los reportes de HackerOne, el 81% de los cazadores que participan de estos programas dijo haber aprendido por cuenta propia a través de Internet, mientras que apenas el 6% dijo haber realizado un curso formal.

Realizar bug bounties puede ser una experiencia de aprendizaje muy importante. Ver vulnerabilidades en aplicaciones reales nos dará una idea de cuáles son los errores comunes que los desarrolladores de software cometen. De a poco te obligará a aprender de nuevas tecnologías con las que quizás nunca habías tenido que lidiar antes, expandiendo tu base de conocimiento. Si eres un Pentester, te dará una nueva perspectiva que será útil a tu trabajo.

Sitios y recursos recomendados para aprender sobre hacking ético

Sitios para aprender hacking ético

  • Hacker 101: plataforma de HackerOne que ofrece recursos educativos 100% gratuitos.
  • Hacksplaining: un proyecto que ofrece entrenamientos de seguridad dirigido a desarrolladores.
  • Hack This Site!: una iniciativa que ofrece un campo de entrenamiento para que usuarios puedan probar y explorar sus habilidades.

Libros recomendados

Además, compartimos algunos enlaces a otros artículos publicados en WeLiveSecurity en los que encontrarás recursos útiles y de interés.