Casos como los de Uber demuestran una nueva forma de negocio con los datos.

Hackeo

Hace un par de días se dió a conocer que la empresa de servicios de transporte privado, Uber, sufrió un hackeo. De acuerdo con la información revelada dos individuos accedieron a la información de la compañía de transporte y descargaron más de 55  millones de datos de usuarios, alrededor de los países en donde opera la empresa. Estados Unidos y Reino Unido, fueron dos de los países que sufrieron una mayor afectación por la filtración de la información.

Dentro de los principales datos que se presume que fueron robados se encuentran nombres, contraseñas, códigos de usuarios, números y correos de las personas que han utilizado el servicio.

Con base en información dada a conocer por Bloomberg, se destaca que los expertos de la compañía no detectaron rastros de robo de información ni mucho menos indicios referentes a que se descargaran números de tarjeta de crédito, cuentas bancarias, historiales de viajes o fechas de nacimiento. Pese a ello una vez que se supo del hackeo, la empresa  pago $100,000 dolares para que borrasen la información robada.

El caso de Uber es fundamental para comprender las dimensiones que tiene el robo de información y sus afectaciones sobre una empresa que opera a nivel global. La ciberseguridad se ha convertido en un tema de vital importancia para las empresas, las autoridades cada vez piden mayor información para comprobar datos como identidad, perfil transaccional y fuentes de donde emanan los recursos, así como para garantizar una mayor transparencia. El problema radica en que todos los datos se encuentran en computadoras o redes electrónicas que pueden ser fácilmente vulneradas sino se tienen los controles adecuados.

EST13690398018e41d_0

Ciberseguridad, más allá de la protección de la información

Detectar vulnerabilidades de las empresas en sus sistemas operativos se ha convertido en un negocio bastante rentable para cientos de programadores a nivel mundial. Ahora los criminales utilizan plataformas electrónicas como una industria sumamente eficaz para el robo de identidad, generar fraudes, desviar de recursos y manipular información confidencial, factores que sin duda pueden ser causantes de pérdidas que pueden acabar con las empresas.

El cibercrimen ha encontrado en los huecos legales y en las fallas de los sistemas operativos la oportunidad idónea para desarrollar sus servicios. Se tiene registro de existen empresas que estan legalmente constituidas y se dedican a comprar y vender códigos maliciosos diseñados para aprovechar vulnerabilidades de seguridad cibernética específicas, a precios que van desde los 15, 000 hasta más 1 millón de dólares, de acuerdo al sistemas y las brechas que se deseen vulnerar, reveló Forbes.

Frente a esta situación se han creado programas de detección de errores implementados por las empresas, mejor conocidos como bugbounty, un esquema en el que los desarrolladores reciben recompensas por informar de los errores relacionados con vulnerabilidades. Esos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los conozca, evitando incidentes de abuso generalizado. Los programas de bonificaciones de errores han sido implementados por un gran número de organizaciones, incluidas Mozilla, Facebook, Yahoo !, Google, Reddit, Square, y Microsoft, entre otras.

En este escenario José Pino, fundador y director general de Boxug, se declara convencido de que una de las formas más efectivas para garantizar seguridad a las empresas son las plataformas de bugbounty, tal como Boxug.  Jose Pino es un caso de éxito, el hacker colombiano ha sido uno de los pocos que ha podido vulnerar los sistemas con los que operan instituciones como la Universidad de Harvard y  Microsoft.

32345fc5-8073-4da5-b441-33c2828c53eb-original.png

Boxug frente al cibercrimen

Establecida hace un par de meses, Boxug, se funda como una red de hackers, universidades, empresas y gobiernos que se dedican a la detección de vulnerabilidades cibernéticas en Latinoamerica. El principal objetivo de esta empresa es crear reportes de actividades vulnerables detectadas en startups que operen en dicha región del mundo.

Una vez que un hacker o entidad descubre una vulnerabilidad en un sistema operativo de una empresa la reporta y a cambio recibe una recompensa económica en un plazo no mayor a 48 horas. En entrevista con El Economista, José Pino, revelo  “Utilizamos estas vulnerabilidades como llave de contacto para incentivar a las compañías a que se unan a nuestro programa de recompensas”. De acuerdo con el director de Boxug, hasta el momento, se tienen registros de 1,302 hackers que han levantado un aproximado de 751 reportes de vulnerabilidad a empresas latinoamericanas, de los cuales 190 corresponde a 132 startups.

De acuerdo con Boxug, las startups peruanas y mexicanas son las más desprotegidas de Latinoamérica. La principal vulnerabilidad de las startups de la región es el llamado Remote Code Execution, el cual permite filtrar la información, seguidas del Cross-Site Scripting, herramientas que utilizan los delincuentes para suplantar la información y poder extraer datos que se encuentren en bases de datos. 

El objetivo de Boxug, es ser un intermediario de seguridad para que cientos de hackers encuentren debilidades en los sistemas de las compañías, las cuales pagan por vulnerabilidad detectada y no por el tiempo que tarda cada hacker o especialista en seguridad informática se tarda en detectar una vulnerabilidad. Con este esquema de trabajo, las empresas invierten menos en seguridad y obtienen una mayor seguridad por su dinero, así como los programadores reciben recompensas por lo errores detectados que van desde los 3 a 6 dólares dependiendo el grado de vulnerabilidad. Por el momento Boxug solo opera en Latinoamérica, pero de acuerdo con Pino se está trabajando en un programa que funcionara a nivel global.

Fuente

www.eleconomista.com

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.