Desde la vuelta de las vacaciones está operativo el IBM X-Force Red, formado por cientos de expertos en seguridad y ‘hacker’ éticos, y que pretenden a ayudar a las empresas encontrar vulnerabilidades en sus sistemas tecnológicos e informáticos.

Estos expertos ofrecen a las empresas su experiencia y sus conocimientos para encontrar fallos de seguridad en aplicaciones, redes, elementos del hardware (especialmente, los ‘wearables’, todo lo relacionado con la movilidad), los dispositivos vinculados al Internet de las Cosas, los terminales punto de venta (TPV) y sistemas similares, y los cajeros automáticos, entre otros.

Al mismo tiempo, el IBM X-Force Red se dedica a analizar debilidades de seguridad más relacionadas con el factor humano dentro de la empresa. Y lo hace realizando simulaciones de ataques de ciberdelincuentes mediante el ‘phising’, el ‘ransomware’, y otras técnicas de ingeniería social. Los ‘hackers’ éticos no se limitan exclusivamente a la seguridad informática, sino que también analizarán cómo proteger la integridad física de los empleados y directivos de una empresa.

El planteamiento del IBM X-Force Red es que la tecnología puede ayudar a prevenir ataques cibernéticos a la empresa, pero que es fundamental contar con el elemento humano. “Los probadores humanos de élite pueden aprender cómo funciona un entorno y crear ataques únicos usando técnicas aún más sofisticadas que aquellas que tienen los criminales”, señalan en IBM.

“IBM X-Force Red ofrece a las organizaciones la libertad de permanecer ágiles sin crear puntos ciegos en su estructura de seguridad”, insisten en la compañía.

Los hackers éticos tienen experiencia en actividades online dentro de sectores como la salud, la distribución, el comercio minorista, las fábricas, los servicios financieros, y el sector público.

Sistema de recompensas

Las empresas tecnológicas, las conocidas ‘telecos’, acumulan cada vez más datos de sus usuarios, por lo que están preocupados sobre la seguridad de esa incesante masa de información. Uno de los sistemas más habituales es la puesta en marcha de programas de recompensa económica a ‘hackers’ y otros expertos si se encuentran errores o vulnerabilidades en sus sistemas. Algunas empresas incluso han llegado a externalizar estas actividades, aunque se trate de cuestiones tan estratégicas como su seguridad.

Durante años, Apple se había resistido a formar parte de esos sistemas de recompensa. Pero el jefe de ingeniería de seguridad de Apple, Ivan Krstic, ha anunciado que la compañía ofrecerá a partir de este mes recompensas en efectivo de hasta 200.000 dólares a los investigadores que descubran vulnerabilidades en sus productos.

El programa Bug Bounty está limitado a ‘hackers’ e investigadores que previamente hayan divulgado vulnerabilidades o errores que la empresa considere valiosos. Éstos recibirán una invitación de Apple para participar en el sistema de recompensa para la empresa.

El programa contempla cinco categorías de riesgos y recompensas:

1.-vulnerabilidades en los componentes de arranque seguro, hasta 200.000 dólares

2.-vulnerabilidades que permiten la extracción de material confidencial de Secure Enclave, hasta 100.000 dólares;

3.-ejecuciónes de códigos maliciosos, hasta 50.000 dólares

4.-acceso a los datos de la cuenta de iCloud en los servidores de Apple, hasta 50.000 dólares

y 5.-procesos de ‘sandboxed’ de acceso a los datos de usuario, hasta 25.000 dólares.

Al mismo tiempo, la firma Exodus Intelligence ofrece hasta 500.000 dólares, más del doble que Apple, a los que sean capaces de detectar vulnerabilidades ‘día cero’ en iOS 9.3, el sistema operativo móvil de la firma de la ‘manzana’

En el campo de los navegadores las recompensas de Exodus Intelligence por detectar vulnerabilidades ‘día cero’ ascienden a 150.000 dólares en Google Chrome; 125.000 dólares en Microsoft Edge; y 80.000 dólares en Firefox.

En Windows 10 LPE, el sistema operativo de Microsoft, la recompensa puede ascender a 75.000 dólares.

Si se encuentran fallos o vulnerabilidades en Adobe Reader o en Adobe Flash, la recompensa puede llegar a los 60.000 dólares.