Victor Gevers es un hacker ético holandés que busca en Internet posibles filtraciones e información que es vulnerable a los piratas informáticos “malos” y lo informa a los involucrados.
Gevers ha estado rastreando vulnerabilidades en Internet durante años. Lo hace desinteresadamente y de acuerdo con las pautas del Centro Nacional de Seguridad Cibernética (NCSC). En 2015 colaboró en el libro Ayudando a los piratas informáticos por Chris van ‘t Hof, autor y orador en el campo de la seguridad cibernética.
Esto finalmente resultó en que la pareja fundara el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD), junto con la ex diputada Astrid Oosenbrug, en septiembre de 2019 para dar a todos los “hackers de ayuda” holandeses una identidad común. “Además, una fundación nos dio la oportunidad de atraer a más participantes”, dice Van ‘t Hof.
Muchas organizaciones de seguridad cibernética solo escanean e informan a sus propios clientes o a un segmento específico de Internet, pero DIVD no hace distinción y su misión es hacer que Internet sea más seguro en todo el mundo. “Los delincuentes tampoco miran una parte específica, sino que ven todo Internet como una oportunidad. Así es como nos acercamos a Internet también”, añade.
En el mapa
“Realmente no pensamos hace dos años que creceríamos tan rápido”, dice Van ‘t Hof. “Pensamos que atraeríamos a unas 10 o 20 personas en total, pero ya tenemos 72 participantes”.
Esa popularidad y notoriedad se debe a varias cosas. “El descubrimiento de la vulnerabilidad en Citrix a principios de 2020 fue una especie de volante para DIVD. Siguieron algunos problemas menores, como vulnerabilidades en SolarWinds, Pulse y Fortinet, pero DIVD realmente apareció en el mapa con la filtración en el software de Kaseya”, dice Van ‘t Hof.
El investigador de DIVD Wietse Boonstra había descubierto ocho vulnerabilidades dos meses antes, y junto con Kaseya trabajaron muy duro para encontrar una solución. “Ya casi llegamos”, añade Van ‘t Hof.
Los ciberdelincuentes de REvil, que mientras tanto habían descubierto la última vulnerabilidad que necesitaba ser reparada, eligieron el viernes 2 de julio para lanzar el ataque. “Probablemente pensaron: ‘Es el fin de semana del 4 de julio y todo el mundo en EE. UU. está bebiendo cerveza y haciendo una barbacoa’”, dice Van ‘t Hof. Pero no habían contado con el DIVD.
“Llevábamos mucho tiempo analizando qué organizaciones usaban el software de Kaseya, por lo que el sábado por la mañana pudimos advertir de inmediato a numerosas empresas de todo el mundo que apagaran sus servidores: 2200 proveedores de servicios administrados, cada uno con entre 100 y 1000 clientes. Eso salvó potencialmente a 1,5 millones de víctimas”, añade.
“Cuando considera que 1500 organizaciones en todo el mundo fueron víctimas del ataque REvil, puede ver el impacto que han tenido nuestros informes. El daño podría haber sido mucho mayor. De hecho, en dos días, no teníamos empresas vulnerables aquí en los Países Bajos. Fue entonces cuando DIVD se volvió realmente interesante para el mundo exterior y definitivamente estábamos en el mapa”.
Después de esto, DIVD quería expandir sus actividades y trabajar más de cerca con las empresas y el gobierno, así como atraer nuevos voluntarios. Esto requirió una profesionalización de la fundación.
“Todavía queríamos trabajar con investigadores voluntarios, pero se tuvo que crear un presupuesto para otras funciones”, dice Van ‘t Hof. Para ello, presentó una propuesta al Digital Trust Center (DTC), la organización holandesa que ayuda a los emprendedores con un emprendimiento digital seguro.
“Al mismo tiempo, sucedieron otras cosas. Empezamos a trabajar con el NCSC [National Cyber Security Centre], por ejemplo. Eso fue especial, porque no fuimos reconocidos como CERT [cyber emergency response team], pero se ha hecho una construcción separada para eso. Además, la Junta de Seguridad Holandesa concluyó en su Vulnerable a través del software informan que es fundamental el despliegue de voluntarios para la búsqueda de vulnerabilidades”.
Para completar la montaña rusa, la empresa estadounidense de seguridad cibernética Huntress se puso en contacto con el DIVD para preguntar si podía ser de alguna ayuda.
“Les contamos nuestras ambiciones internacionales y se ofrecieron a hacer una contribución financiera. Luego no escuchamos nada durante un tiempo, así que los contactamos para preguntarles qué esperaban exactamente de nosotros. ‘Danos tu número de cuenta’, fue la respuesta. No mucho después resultó que habían transferido $100,000”, dice Van ‘t Hof. “Estábamos estupefactos”.
Nueva estructura
Por muy contenta que estuviera la fundación con la donación, provocó un ligero pánico. “Fue justo antes del cambio de año cuando surgió el término ‘impuesto sobre el patrimonio’, por lo que rápidamente establecimos un fondo y encontramos una oficina de administración para manejar las cuentas anuales”, dice Van ‘t Hof.
Esto aceleró la profesionalización de la fundación. Se instaló una nueva estructura, con el DIVD como instituto fundamental. “Victor Gevers era el presidente de eso antes, pero como queríamos una estructura diferente, eso se detuvo y tuvimos que buscar un director. Sorprendentemente, todos señalaron en mi dirección. Asumí esa tarea”, dice Van ‘t Hof.
Chris van ‘t Hof, DIVD
Bajo la bandera del Instituto DIVD se encuentra el fondo destinado a agrupar todos los subsidios, donaciones y otros flujos de dinero. “Con ese fondo podemos financiar proyectos que contribuyan a un internet más seguro”, explica el director de la DIVD.
Para dar forma a la ambición global, también se creó una fundación separada, CSIRT.global, a cargo de Eward Driehuis. “Esa fundación establecerá departamentos en otros países para que los piratas informáticos voluntarios también puedan ayudar a escanear e informar”, dice Van ‘t Hof.
Finalmente, está la Academia DIVD, bajo el cuidado de Astrid Oosenbrug. La academia se centra en los jóvenes entusiastas de la informática a los que les va mejor en línea que en la escuela. “Con esto, tenemos un doble objetivo”, dice Van ‘t Hof. “Primero, queremos permitir que talentos desconocidos ingresen al mercado laboral, porque existe una necesidad sin precedentes de personas con buena seguridad. En segundo lugar, esperamos evitar que los jóvenes se sientan atraídos por el lado equivocado. Los jóvenes vulnerables son reclutados en abundancia en los foros de hackers. Queremos ofrecerles una alternativa”.
Desarrollo personal
La construcción con diferentes cimientos fue una elección consciente. “No solo ofrece una cierta forma de distribución del riesgo, sino que queremos empoderar especialmente a nuestros voluntarios y otras personas involucradas”, dice Van ‘t Hof. “Ahora tenemos 72 voluntarios que hacen su trabajo durante el día y salvan el mundo por la noche. Queremos darles un lugar donde puedan ser reconocidos”.
Por ejemplo, un voluntario que encuentra una amenaza de día cero y luego se convierte en una celebridad internacional puede obtener un puesto en una de las fundaciones. “De esta manera, ofrecemos a las personas la oportunidad de desarrollarse también en otras áreas. DIVD está ahí para salvar Internet, pero también queremos poder brindarles a las personas un lugar para hacer eso y contribuir a su desarrollo”.
Chris van ‘t Hof, DIVD
Van ‘t Hof explica, en broma, que la fama de DIVD en todo el mundo ha llevado a la confusión. “Durante Kaseya, algunos periodistas en Estados Unidos pensaron que éramos el CERT holandés y se sorprendieron de que solo fuéramos un grupo de voluntarios”, dice.
Cuando se le preguntó cómo DIVD puede garantizar que los nuevos voluntarios sean realmente hackers éticos, el director explica que las personas nuevas solo pueden unirse a la fundación a través de una red de confianza. “Solo trabajamos con personas que nuestros voluntarios conocen y en las que confían”, dice. “También hacemos una investigación de antecedentes. Por último, nunca trabajamos solos en un proyecto, siempre trabajamos en equipo”.
Escaneo y generación de informes
Desde entonces, el DIVD ha recibido una subvención del DTC de 192 000 €. Esto se utilizará para cubrir puestos de personal.
“También compartimos nuestra información con el DTC”, dice Van ‘t Hof. “Ya lo hicimos con otros partidos, pero ahora también lo hacemos con el DTC”. Este es un avance importante, ya que el DTC se centra en las pequeñas y medianas empresas (PYME) holandesas. “Hay 1,8 millones de pymes en los Países Bajos y, en lo que respecta a la seguridad cibernética, es ahí donde radica el mayor desafío. Esas pymes suelen ser proveedores de grandes organizaciones y gobiernos, por lo que es crucial que también se les advierta en caso de una vulnerabilidad”.
Mientras que otras organizaciones se enfocan en escanear un segmento particular de Internet, DIVD escanea todo Internet. “Hacemos 4.200 millones de direcciones IP. A veces nos sale una lista de 100.000 direcciones IP que necesitamos avisar, lo que se traduce en un buen día de trabajo haciendo notificaciones. También tenemos nuestro propio sistema autónomo (AS50559) para esto y algunos servidores pesados en un centro de datos cerca de Amsterdam, porque usamos una enorme cantidad de potencia informática y ancho de banda”.
Además de la internacionalización de DIVD, Van ‘t Hof tiene otro objetivo. “Quiero una junta de investigación independiente garantizada dentro de tres años y fondos suficientes. Nuestros investigadores deben seguir siendo voluntarios, para mantenerlo puro, pero como fundación tenemos mucho trabajo por hacer, por lo que sería bueno recibir más apoyo. Nuestra ambición es hacer una contribución importante para encontrar, informar y corregir vulnerabilidades en todo el mundo, y en ese sentido vamos por buen camino”.