“Un hacker es alguien que disfruta con el reto intelectual de superar las limitaciones de forma creativa”

A menudo tendemos a vincular la palabra hacker con connotaciones negativas; sin embargo, lo cierto es que sus mentes sobresalientes, su capacidad estratégica y sus habilidades especializadas son las cualidades más demandadas del sector de la seguridad. Así, teniendo en consideración la coyuntura actual marcada por la transformación digital, la tensión geopolítica, el crecimiento exponencial e irrefrenable de las ciberamenazas y la maduración del mercado de la ciberseguridad, el rol de los hackers ha cobrado un protagonismo absoluto. Desde las esferas corporativas hasta las administraciones públicas, todos quieren tener entre sus filas un perfil capaz de detectar sus vulnerabilidades y brechas de seguridad y ponerles solución. Rompemos el aura de misterio y secretismo ahondando en las entrañas de HackerOne, la plataforma de que brinda tranquilidad a sus usuarios gracias a las “mentes brillantes” de los hackers de sombrero blanco que conforman su plantilla.

Es Laurie Mercer, ingeniero de seguridad de la firma quien, con su narración, nos invita a descubrir la compañía que aspira a “empoderar al mundo para construir una Internet más segura” y “ganarse la confianza de sus clientes y usuarios a través de la privacidad, el cumplimiento, la seguridad y la transparencia”. Así es como nace y se transforma HackerOne para lograr sus objetivos.

¿Cómo nace HackerOne? ¿Qué podría contarnos de aquellos primeros pasos que dio la organización allá por el 2012?

Los fundadores, Jobert Abma y Michiel Prins, crecieron en los Países Bajos desarrollándose como hackers. Fue a los diecisiete años cuando sus padres, cansados de verles pegados al ordenador, les dijeron que los dejaran aparte y consiguieran un trabajo o crearan un negocio a partir de sus actividades de hacking. Motivados por esta propuesta realizaron una lista de cien marcas de todo el mundo que pretendían hackear y, además, les propusieron a estas organizaciones hacerlo. Con el fin de persuadir a las empresas y que les dieran luz verde, les decían que, si no encontraban nada, obsequiarían a la empresa con pastel para todos los empleados; sin embargo, si lograban su cometido, la empresa tendría que invitarles a una reunión con tarta. Y lo cierto es que nunca tuvieron que comprar una.

Dado el frenético ritmo de crecimiento y modernización de la tecnología y el mercado de la ciberseguridad en la última década, ¿cómo diría que ha evolucionado desde entonces hasta la fecha?

El pasado año, la plataforma HackerOne alcanzó la barrera del millón de hackers registrados; no obstante, esta cifra no deja de crecer. Mientras la mayor parte de la comunidad explora y aprende, el número de vulnerabilidades comunicadas por los hackers aumenta cada año. En 2021, el número de hackers que presentaron vulnerabilidades aumentó un 63% en comparación con el año anterior. Este crecimiento continuo encuentra su razón de ser en dos motivos diferenciados: por un lado, las organizaciones de todo el mundo están invirtiendo más en el hacking ético; por otro, cada vez más personas con ganas de hackear quieren tomar parte de la acción. Además, los incentivos para los hackers son cada vez más atractivos, de hecho, hasta ahora, hemos pagado más de 200 millones de dólares en total a la causa. Desde 2019, alrededor de 22 hackers han ganado más de un millón de dólares con su trabajo.

A menudo se refieren a HackerOne como un conjunto de hackers éticos o hackers de sombrero blanco, ¿qué cree que significa esto? ¿Está de acuerdo con la citada designación?

No consideramos que los hackers sean delincuentes. La definición de hacker es la de alguien que disfruta con el reto intelectual de superar las limitaciones de forma creativa. A los que utilizan las habilidades de hacking con fines maliciosos los llamaríamos ciberdelincuentes o atacantes, por tanto sí, nos sentimos representados por este concepto.

Teniendo esto en cuenta, ¿cuál diría que es la misión de HackerOne en la actualidad? Para abordarla, ¿cuentan con diferentes segmentos de actividad?

Nuestro objetivo aspira a construir una Internet más segura dando a las organizaciones acceso a la mayor comunidad mundial de hackers éticos altamente cualificados. Armada con una amplia base de datos de tendencias de vulnerabilidad y puntos de referencia de la industria, esta comunidad es capaz de mitigar el riesgo cibernético buscando, encontrando y reportando de forma segura las debilidades de seguridad para las organizaciones de todas las industrias con superficies de ataque cada vez mayores. En este sentido, HackerOne brinda Programas de Divulgación de Vulnerabilidades que proporcionan un canal claro a través del cual informar de una vulnerabilidad de software; Programas de Bug Bounty que incentivan a los hackers a encontrar vulnerabilidades con recompensas financieras, además de Pentests y nuestro recientemente lanzado producto de Gestión de Superficie de Ataque.

Si tuvierais que hacer un retrato robot de los trabajadores de HackerOne, ¿qué tipo de perfiles integran sus filas?

Uno de los principales hackers españoles pertenecientes a HackerOne es un CISO de Galicia. Según nuestro informe Hacker, la mayoría de la comunidad (82%) se define como un hacker a tiempo parcial, y el 35%, además, cuenta con un trabajo a tiempo completo. Muchos de ellos, según arrojan los datos, son autodidactas y cuentan con formación técnica: el 37% de los hackers ha estudiado informática a nivel de postgrado y el 20% cuenta con un título que lo acredita. El hacking sigue siendo una actividad muy popular entre la Generación Z; y es que el 55% de la comunidad es menor de 25 años. Además cabe destacar que el hacking les está allanando el camino para labrarse un futuro: el 33% ha aprovechado sus habilidades para conseguir un trabajo y el 23% planea continuar su carrera en la seguridad de la información dentro de un equipo de seguridad interno.

¿Y sus clientes?

HackerOne trabaja con organizaciones que ofrecen servicios en línea que necesitan proteger los datos de los usuarios y que no pueden arriesgarse a ser avergonzadas por una violación de datos. Esto puede describir a muchas organizaciones diferentes, desde gobiernos hasta bancos y empresas tecnológicas. En Europa, HackerOne ha trabajado con empresas como Spotify, Beirsdorf y Lufthansa, y con gobiernos como la Comisión Europea o el Ministerio de Defensa del Reino Unido. A nivel mundial, HackerOne trabaja con empresas en China como Alibaba y Tiktok, y en América con empresas como Goldman Sachs, Microsoft y Starbucks. En la actualidad, hay más de 3.000 corporaciones que utilizan HackerOne a nivel mundial.

El escenario actual geopolítico, los avances tecnológicos y la sofisticación de técnicas y herramientas han ayudado al crecimiento exponencial de las bandas cibercriminales y de los ciberataques, ¿cuál es su filosofía y estrategia para plantarles cara?

Las empresas ya no pueden evitar el problema. La única forma de defenderse de un ciberataque es hackearse a sí mismo. Las empresas deben incorporar la resiliencia en su ADN; y lo cierto es que solo se es resiliente cuando se ha probado la misma metodología que emplea el adversario.

En su página web se postulan como líderes en Gestión de Resistencia a Ataques (ARM), ¿qué implica esto?

Nuestro último informe sobre la resistencia a los ataques evidencia que las organizaciones se enfrentan a una diferencia significativa entre lo que son capaces de proteger y lo que necesitan proteger: la brecha de resistencia a los ataques. Muchas no confían en poder cerrar la brecha, ya que sufren una falta de visibilidad sobre su perímetro de seguridad. Nosotros lo abordamos combinando la experiencia en seguridad de los hackers éticos con el descubrimiento de activos, la evaluación continua y la mejora de procesos para encontrar y suturar la brecha. A esto lo llamamos Gestión de la Resistencia al Ataque. Recientemente hemos lanzado un producto dedicado - HackerOne Assets - que proporciona el descubrimiento y la supervisión de todos los activos conocidos y desconocidos.

Las organizaciones que conocen su brecha de resistencia a los ataques están en una posición más óptima para mejorar su postura de ciberseguridad y transformar su negocio mientras se adelantan a las amenazas. La comunidad de HackerOne es un poderoso activo para aumentar la visibilidad, el seguimiento y la priorización de riesgos en todo el panorama digital de una organización. Creemos que esto nos convierte en líderes del sector.

¿Qué puede contarnos sobre el programa de recompensas de HackerOne? Hay dos premios, uno por detección de errores y otro por solución, ¿cómo funciona?

HackerOne lleva a cabo su propio programa público de recompensas por errores para cualquier vulnerabilidad en nuestros sistemas. La plataforma ofrece hasta 25.000 euros por una vulnerabilidad y ha pagado más de 600.000 euros en total. HackerOne paga una recompensa cuando confirma que una vulnerabilidad es válida y única. A continuación, la plataforma procede a solventarla. Una vez arreglada, HackerOne pedirá al remitente que vuelva a probar la vulnerabilidad por una pequeña tarifa. Este modelo nos ha funcionado muy bien.

Los hackers a menudo se rodean de un aura de misterio y desconfianza, ¿qué beneficios trae consigo su integración en las empresas?

Cuando se asiste a un espectáculo de magia, puede parecer misterioso e incluso fantástico. Luego, cuando entiendes cómo funciona el truco, esta percepción se esfuma. Los hackers son técnicos que han invertido tiempo en dominar la tecnología para descubrir lagunas y trucos técnicos. En cuanto a la desconfianza, HackerOne cree que la transparencia es la mejor medicina, por eso todos los hackers tienen un perfil público en el que les permitimos incluir sus cuentas de Twitter y LinkedIn, y les permitimos mostrar sus investigaciones de seguridad a través de Hacktivity. La claridad genera confianza.

Hoy en día, vemos que la actitud hacia los hackers está cambiando, y que cada vez más organizaciones utilizan los conocimientos de la comunidad de hackers para protegerse mejor. Las iniciativas gubernamentales y el creciente número de Programas de Divulgación de Vulnerabilidades dirigidos por instituciones públicas también han sido un catalizador de este cambio. Nuestra exitosa colaboración con el Departamento de Defensa de los Estados Unidos en julio de 2022 tuvo como resultado la participación de 267 hackers éticos que identificaron más de 349 informes procesables.

¿Hacia dónde camina el futuro de la ciberseguridad?

El futuro de la ciberseguridad refleja la evolución más amplia de la tecnología. Actualmente, en Europa, la migración a la nube, la transformación digital y las nuevas tecnologías están siendo adoptadas por las grandes empresas. Mientras, las pequeñas empresas emergentes llevan años utilizando estas tecnologías, por lo que podemos aprender las lecciones de estos pioneros. Una de las lecciones es que la nube es totalmente diferente de las plataformas tecnológicas heredadas. Las empresas tienen que capacitar totalmente a su personal para entender las nuevas tecnologías y los modelos de amenaza. Otra lección es que, a medida que se acelera el desarrollo de software, hay que acelerar la seguridad. Un pentest anual no es suficiente. No contratarías a un guardia de seguridad para tu oficina durante un día al año si está abierta 365.

En ese escenario del mañana, ¿qué peso tendrá HackerOne y los hackers que componen la plataforma?

HackerOne apoya a las organizaciones en su viaje de transformación digital y complementa los equipos de seguridad con los conocimientos y la experiencia de los hackers. Estoy convencido de que tendrán un papel más importante en el futuro, y se integrarán en el ciclo de vida del desarrollo de software desde el principio en términos de pruebas de código y revisiones de seguridad, hasta el final, cuando surjan las vulnerabilidades. Es un momento muy emocionante ver como nuevos hackers, clientes y socios se unen a nuestra plataforma. En última instancia, esto fomentará nuevas oportunidades para aprender unos de otros y mejorar la ciberresiliencia de todos.