La piratería está creciendo, pero en algunos casos, eso no es malo. Esa es la conclusión principal del informe anual sobre el estado de la piratería ética publicado por la plataforma de recompensas por errores HackerOne. A partir de 2020, la organización puede presumir de una base de 600.000 hackers de sombrero blanco; una comunidad dos veces más grande que el año anterior, que en total cobró un récord de $40 millones en recompensas en los últimos 12 meses.
HackerOne, que conecta a las empresas con piratas informáticos éticos que buscarán fallas de seguridad a cambio de dinero, dijo que el dinero ganado en recompensas este año fue casi igual a la cantidad total otorgada en todos los años anteriores combinados.
Las organizaciones de alto perfil, que según el informe incluyen a General Motors, Google, Goldman Sachs, Toyota e IBM, están comprensiblemente interesadas en asegurarse de que los investigadores de seguridad de HackerOne descubran las vulnerabilidades en sus productos y servicios antes de que lo hagan los hackers maliciosos.
Desde su lanzamiento en 2012, las empresas han pagado a los hackers éticos de la plataforma un total de 82 millones de dólares a cambio de la detección exitosa de más de 150 000 vulnerabilidades.
VER: 10 consejos para nuevos profesionales de ciberseguridad (PDF gratuito)
Los premios en efectivo individuales también son cada vez más grandes. En 2018, HackerOne vio al primer hacker recibir una recompensa de $1 millón; el año pasado, a siete de ellos se les pasó esa cantidad de ganancias totales. Además, la cantidad de piratas informáticos que ganaron $ 100,000 casi se triplicó desde 2018, para llegar a 146. «Eso coloca el potencial de ganancias de una carrera de piratería muy por encima del salario promedio global actual de TI de $ 89,732», se lee en el informe.
Entonces, ¿quién exactamente está repartiendo el dinero? Aunque las empresas privadas se involucran cada vez más, el informe destaca que los gobiernos federales están más interesados en utilizar las habilidades de los hackers de sombrero blanco.
«Los gobiernos y las agencias gubernamentales son decididamente progresistas en el uso y la promoción de este enfoque comprobado de ciberseguridad», dijo HackerOne, y señaló un crecimiento interanual del 214 % en la demanda de las organizaciones públicas.
El Departamento de Defensa de EE. UU., en particular, ejecuta programas en asociación con HackerOne, denominados «Hack the Pentagon», «Hack the Army» y «Hack the Air Force». La Comisión Europea también se ha asociado con la plataforma de piratería ética y ha lanzado varios programas de recompensas por errores como parte de su proyecto de Auditoría de software libre y de código abierto (FOSSA).
El creciente interés en los piratas informáticos éticos surge cuando las industrias enfrentan una escasez significativa y de rápido crecimiento de habilidades de seguridad. Como destaca el informe de HackerOne, la tasa de desempleo del personal capacitado en seguridad cibernética es del 0 %, lo que sugiere que la demanda de trabajadores en esta profesión es aguda y se corresponde con una oferta insuficiente.
De hecho, un estudio reciente mostró que hay casi tres millones de personas trabajando en ciberseguridad en todo el mundo, y que necesitaremos otros cuatro millones para cubrir los puestos de seguridad actuales y futuros.
Parte del problema radica en la falta de capacitación formal para los expertos en seguridad: por ejemplo, no hay niveles A o GCSE en seguridad. El informe publicado por HackerOne refleja este vacío. Un abrumador 84% de los hackers de sombrero blanco encuestados dijeron que aprendieron su oficio a través de recursos en línea y materiales educativos autodirigidos. «La capacitación de piratas informáticos continúa teniendo lugar fuera del aula tradicional», se lee en la investigación.
VER: 2020 es cuando la ciberseguridad se vuelve aún más extraña, así que prepárate
Sin embargo, con los ataques cibernéticos aumentando en número y alcance, es probable que las organizaciones públicas y privadas continúen utilizando los servicios de los hackers de sombrero blanco. Se estima que el delito cibernético le costará al mundo $ 6 billones anuales para 2021, por lo que se volverá más rentable que el comercio global de todas las principales drogas ilegales combinadas.
Aunque HackerOne ha visto crecer su base de usuarios y los premios de recompensas por errores, la plataforma dijo que muchas organizaciones desconocen los beneficios de la piratería ética. Casi dos tercios de los investigadores de seguridad encuestados informaron que no informaron algunos de los errores que descubrieron, en algunos casos porque no había un canal disponible para informar los hallazgos a la organización.
Según el informe, la gran mayoría (93%) de las empresas de Forbes 2000 no tienen un medio fácil para informar sobre posibles problemas de seguridad. HackerOne, por lo tanto, recomienda implementar una Política de divulgación de vulnerabilidades (VDP) para ofrecer una forma sencilla a los piratas informáticos de sombrero blanco para informar fallas. Como señala: «Si ves algo, di algo».