Los piratas informáticos éticos que trabajan a través de los programas HackerOne descubrieron más de 65 000 vulnerabilidades de software en 2022 (un 21 % más que en 2021) y más de 120 000 vulnerabilidades de clientes, y los informes de tipos de vulnerabilidad introducidos por proyectos de transformación digital se dispararon a medida que las vulnerabilidades de configuración incorrecta crecieron en un 150 % y las vulnerabilidades de autorización incorrecta crecieron en un 45%.
Esto es según el informe final anual de fin de año de HackerOne, Seguridad impulsada por piratas informáticosque ha estado tomando la temperatura de más de 5000 piratas informáticos durante seis años, combinando sus conocimientos, explorando sus motivaciones y experiencia, y extrapolando tendencias de la creciente biblioteca de vulnerabilidades de la organización para revelar una imagen detallada de la escena de la piratería.
“Los conocimientos de la comunidad de piratas informáticos sobre su experiencia y expectativas les enseñan a las organizaciones cómo ejecutar el mejor programa de su clase que atraerá a los mejores piratas informáticos”, dijo Chris Evans, director de seguridad de la información y director de piratería de HackerOne.
“Los datos de vulnerabilidad de HackerOne, obtenidos de nuestros 3000 programas de clientes, muestran a las organizaciones qué vulnerabilidades sus pares incentivan a los piratas informáticos a informar. Los clientes continúan introduciendo riesgos durante los proyectos de transformación digital. El informe también muestra que los piratas informáticos son expertos en identificar las vulnerabilidades introducidas para que nuestros clientes puedan solucionarlas antes de que provoquen un incidente”.
En la línea superior, HackerOne dijo que vio un aumento del 45% en las organizaciones que invierten en sus programas en 2022, impulsadas por la industria automotriz, las telecomunicaciones y los sectores de criptomonedas y blockchain.
Los pagos promedio de recompensas por errores de estos programas no aumentaron drásticamente, probablemente debido a factores macroeconómicos más amplios, aunque los programas relacionados con los sectores de criptomonedas y blockchain aumentaron sustancialmente sus pagos, de un promedio de casi $ 6500 en 2021 a casi $ 27 000 en 2022.
Chris Evans, Hacker One
Los piratas informáticos que trabajan a través de HackerOne ahora han ganado más de $ 230 millones hasta la fecha, y 22 piratas informáticos ahora han ganado más de $ 1 millón en recompensas, frente a los nueve del año pasado.
Según el informe, los últimos 12 meses han demostrado que es simplemente imposible que la automatización de la seguridad reemplace la creatividad de los humanos, sin importar cuán fuerte griten al respecto los especialistas en automatización de la seguridad.
Casi todos los piratas informáticos (el 92 % de hecho) dicen que pueden llegar a las partes que la automatización no puede, lo que expone el alcance de lo que HackerOne denomina la “brecha de resistencia a los ataques”. Esta es la brecha entre lo que las organizaciones pueden proteger y lo que deberían proteger, y los principales factores que contribuyen a ello son la visibilidad incompleta de los activos de TI, las pruebas insuficientes y la falta de habilidades. HackerOne considera que la mayoría de las organizaciones cubren, en el mejor de los casos, entre el 50 % y el 60 % de su posible superficie de ataque.
Los piratas informáticos que trabajan con HackerOne, el 70% de los cuales lo hacen a tiempo parcial mientras tienen otros trabajos, dijeron que estaban motivados principalmente por aprender (79%), recibir un pago (72%) y divertirse (59%). Mientras tanto, el 59 % también dijo que pirateó para avanzar en su carrera, el 56 % lo hizo por el desafío y el 46 % lo hizo “para proteger y defender”. Solo el 28% citó la fama y el reconocimiento como motivaciones.
Sobre sus motivaciones, Jonathan Bouman, un hacker residente en los Países Bajos entrevistado para el informe, dijo: “Soy médico cuando no estoy pirateando y estoy motivado por el deseo de hacer el bien en el mundo. Hay muchas similitudes entre la medicina y la piratería; Como médico, está capacitado para modelar amenazas en humanos, y compartir conocimientos es lo que nos lleva a detectar nuevas enfermedades o descubrir nuevos tratamientos. Aporto esta curiosidad y un enfoque colaborativo para la caza de errores”.
Al demostrar el valor que un buen hacker puede aportar al equipo de TI de una organización, el informe de 2022 también analizó el impacto de la piratería ética en las carreras cibernéticas, con algunos hallazgos interesantes. Alrededor del 35% de los encuestados dijeron que en realidad habían obtenido un trabajo de seguridad cibernética basado en su experiencia de piratería y un número similar dijo que estaban usando su experiencia en sus CV. Para el 25%, la piratería les había ayudado a obtener un ascenso o progresar en su carrera.
“La piratería me dio una carrera porque dejé la escuela, por lo que mi perfil de HackerOne fue mi currículum”, dijo Roni Carta, un hacker con sede en Francia. “Ahora trabajo como ingeniero de seguridad sénior en el mercado europeo de bricolaje, jardinería y vivienda ManoMano, y no habría conseguido ese trabajo sin mi experiencia en piratería informática. Ahora ejecuto el programa de recompensas por errores y animo a otros jóvenes hackers a desarrollar sus habilidades”.
HackerOne también preguntó a sus hackers qué les atrajo de los programas en los que trabajan. Resultó que las recompensas son la mayor atracción, ya que el 65 % dijo que había elegido un programa en función de las recompensas que se ofrecían. Otras prioridades principales incluyeron el desafío y la oportunidad de aprender, el alcance variado del programa y la rapidez con que el propietario del programa resolvió los errores o emitió recompensas por ellos. El conocimiento de la marca también fue un factor significativo, con casi el 38 % diciendo que hackearon ciertos programas porque les gustaba la marca, y el 4 % porque no les gustaba.
Los desvíos incluyeron programas con alcance limitado, recompensas bajas, tiempos de respuesta y comunicación lentos y pagos lentos. Los piratas informáticos también confían en las críticas negativas cuando seleccionan programas y no les gusta que los obliguen a firmar acuerdos de confidencialidad. Muchos también mencionaron que no les gustaba la marca.
HackerOne dijo que estaba claro que los programas y organizaciones más maduros tenían más probabilidades de atraer a los piratas informáticos más talentosos, al igual que cierta medida de honestidad y transparencia entre los operadores de programas.
Alex Chapman, un hacker del Reino Unido entrevistado para el informe, dijo: “La divulgación nos ayuda a todos a aprender. Al revelar las vulnerabilidades de seguridad, las organizaciones pueden ayudar a aumentar la seguridad general. La divulgación pública demuestra que una organización tiene un alto nivel de madurez en seguridad y será un programa que vale la pena hackear”.