Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
febrero
(Total:
102
)
- El DJ serbio que se ha forrado recuperando dominio...
- La plaga de anuncios trampa con imágenes de famoso...
- Con una Raspberry Pi y un algoritmo de IA bloquea ...
- Hackean remotamente las impresoras 3D de Anycubic
- Disponible Kali Linux 2024.1 con 4 nuevas herramie...
- El ransomware Rhysida pide 3,6 millones de dólares...
- Browser In The Browser (BitB) sin marcos
- Botnet con Ubiquity EdgeRouter infectados
- Epic Games ha sido hackeada por Mogilevich: han ro...
- Amazon Prime Video incluirá anuncios en España a p...
- Samsung presenta una tarjeta microSD capaz de alca...
- El Bitcoin alcanza su valor más alto de los último...
- PlayStation despide a cientos de empleados y cance...
- Universal Music retira más canciones de TikTok e i...
- Novedades Tails 6.0
- Configurar una VPN con WireGuard y WireGuard-UI en...
- Configurar una VPN Site-to-Site con IPsec
- Influencers "Los Petazetaz" detenidos por violar y...
- Filtración datos personales titulares de las tarje...
- Energizer P28K: el móvil con la batería más grande...
- Lenovo presenta un prototipo de portátil con una p...
- Oppo presenta las Air Glass 3, sus gafas de realid...
- ¿Puede un malware ocultarse en una foto?
- Vulnerabilidades más aprovechadas para realizar at...
- Microsoft se une al club de Apple: diseñará sus pr...
- Nvidia supera las expectativas y sus ventas para c...
- Vuelve el grupo de ransomware LockBit
- Windows 11 aún no es compatible ni con Wi-Fi 7 ni ...
- Avast antivirus multada con 16,5 millones por alma...
- El cristal de las Apple Vision Pro se agrieta sin ...
- Consiguen hackear PlayStation Portal y ejecutar un...
- Google usará Reddit para entrenar su inteligencia ...
- Gemma, la nueva IA de código abierto de Google
- Menores de edad “venden” sus datos biométricos a W...
- Un pasajero en pleno vuelo publica en Reddit una i...
- Filtración programa integral de vigilancia global ...
- Un error en las cámaras domóticas Wyze permitió qu...
- Condenan a prisión en EE.UU. a una popular youtube...
- Más de 28.500 servidores correo Microsoft Exchange...
- Europol confisca los sitios del mayor grupo de ran...
- Microsoft anuncia su mayor inversión en España: 1....
- La Comisión Europea abre una investigación a TikTok
- Comisiones Obreras de España sufre un hackeo con l...
- La UE multará a Apple Music con 500 millones de eu...
- GhostTask: crea tareas programadas de forma sigilo...
- Acusan a X (Twitter) de recibir dinero de grupos t...
- LineageOS 21, la mejor ROM alternativa llega actua...
- KeyTrap: Vulnerabilidad crítica de diseño en DNS
- Europa dictamina que las puertas traseras en siste...
- Nothing Phone 2a: especificaciones, precio y diseño
- Se casa la pareja que solo se podía comunicar medi...
- Microsoft presenta su aplicación PC Manager para m...
- NVIDIA Chat with RTX, un chatbot de IA que se ejec...
- OpenAI presenta Sora, su nueva herramienta para ge...
- El ‘boom’ de los influencers de 10 años: el reto d...
- Suplantación del CEO utilizando la técnica de inte...
- Cuidado con enamorarte de una IA: son una trampa p...
- ChatGPT es el nuevo aliado de los grupos cibercrim...
- Las empresas empiezan a usar una herramienta de IA...
- Vuelve la fiebre por el Bitcoin: alcanza su máximo...
- Google, Meta y OpenAI anuncian medidas para identi...
- Vulnerabilidad crítica en Docker permite escapar d...
- Vulnerabilidad en el software Magician de Samsung SSD
- IA, pérdidas de trabajo y los despidos
- Filtrados los datos de 33 millones de pacientes fr...
- OnlyFake: identidades falsas de cualquier país
- Ovrdrive USB, el pendrive que se autodestruye
- Amazon es acusada de recomendar los productos más ...
- Descubren malware en mini-ordenadores vendidos en ...
- El cursor de tu ratón está torcido, y ha estado as...
- La telco mexicana Claro reconoce haber sufrido un ...
- Según Estados Unidos, los coches eléctricos chinos...
- Vulnerabilidad en productos Ivanti expone a miles ...
- Empresa de recuperación de datos avisa: «Pendrives...
- Rompen el cifrado BitLocker de Windows 10 y Window...
- Vulnerabilidad crítica que afecta a la mayoría de ...
- Apple presenta una IA de código abierto para edita...
- ¿Una botnet de DDoS con cepillos de dientes? No es...
- Vulnerabilidades en Cisco, Fortinet, VMware y QNAP
- Cómo ver todas las contraseñas de conexiones WiFi ...
- Google advierte por la creciente amenaza de empres...
- Operación Synergia de la Interpol arresta a 31 per...
- Roban 24 millones a una empresa suplantando al CEO...
- España gana el Ambassador World Cup 2023
- Cómo banear miles de direcciones IP's con ipset
- Facebook cumple 20 años
- Condenan a 40 años de cárcel al hacker que filtró ...
- Vulnerabilidad 0-day en el registro de eventos de ...
- Roban 15 millones de registros de Trello a través ...
- AnyDesk sufre una brecha de seguridad y recomienda...
- Importantes vulnerabilidades en el syslog() de la ...
- En España un ciberataque de ransomware deja sin si...
- Google cambiará el nombre de Bard a Gemini
- Google presenta ImageFX, su generador de imágenes ...
- Amazon anuncia el chatbot Rufus, un asistente de c...
- Demandan en España a Worldcoin, la empresa que esc...
- Binance filtra su código fuente e información conf...
- Microsoft ignoró avisos sobre un exploit de DALL-E...
- El impacto de la IA le está reportando millones de...
- Las SSD de 16 TB llegarán pronto
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
España gana el Ambassador World Cup 2023
El equipo español, del que ejercían como seleccionadores los ‘embajadores’ de HackerOne Carlos Rivero y Diego Jurado, estaba formado por un amplio plantel de expertos en ciberseguridad, conocidos en el sector por sus alias: hipotermia, djurado, alexandrio, blackGamba, bsysop, corraldev, crypt-0crc, curiositysec, godiego, iambouali, ickogz, jfran_cbit, milo23, mr-medi, n0xi0us, santero, six2dez_, zere, rhack o roskyfrosky.
Detectar ‘bug bounties’
Todos ellos, explica Pedro Núñez Cacho Fuentes, responsable de competiciones Capture the Flag y de Ejercicios de Simulación en Telefónica Tech, la filial tecnológica de Telefónica, son «profesionales altamente cualificados en ciberseguridad y poseen un talento excepcional para detectar vulnerabilidades en sistemas informáticos”. El trabajo de estos expertos consiste “en analizar detenidamente el código y parchear las vulnerabilidades descubiertas para evitar que otros actores maliciosos se aprovechen de ello. Aquellos que participan en estas competiciones se especializan en el análisis de vulnerabilidades y suelen estar trabajando en programas de recompensas [que pueden ir desde el mero reconocimiento y la consecución de ‘puntos’ en plataformas del sector a grandes cifras de dinero] por encontrar errores en el código, conocidos como bug bounties, tanto en esferas públicas como privadas”.
Aunque Núñez-Cacho no ha intervenido en la formación del equipo ganador en Buenos Aires, sí está capacitado para analizar su trabajo, ya que forma parte del equipo entrenador de la selección española de ciberseguridad que promueve el Instituto Nacional de Ciberseguridad de España (INCIBE), sociedad dependiente del Ministerio de Transformación Digital. Su ‘selección’, al contrario de la que participó y ganó el certamen organizado por HackerOne, no está compuesta por profesionales contrastados, sino por jóvenes de entre 18 y 25 años a los que preparan “para participar todos los años en competiciones organizadas por la Agencia de la Unión Europea para la Ciberseguridad (ENISA)”.
El sistema de competición del Ambassador World Cup es similar al de cualquier competición deportiva, explica el algecireño Tarek Bouali (iambouali, su alias), ingeniero de seguridad en Factorial, la empresa barcelonesa de desarrollo de software de recursos humanos que emplean más de 60.000 compañías internacionales de renombre. “Es como un mundial de fútbol, pero de ciberseguridad. Participan selecciones de 25 países, compitiendo durante ocho meses”. Se van celebrando rondas eliminatorias en enfrentamientos de varias semanas entre dos equipos. De cada pareja de contendientes, el país que acumula más puntos o ‘goles’ avanza a la siguiente ronda. “Los ‘goles’ serían los puntos otorgados por el programa de HackerOne, dependiendo del impacto de las vulnerabilidades que cada equipo encontraba en las empresas participantes: dos puntos para vulnerabilidades de bajo impacto, cuatro puntos para las de impacto medio, ocho puntos para las de alto impacto y doce puntos para las de impacto crítico. El que suma más, gana el partido”, explica.
Al contrario de lo que pueda pensarse, la localización de vulnerabilidades no se hace en webs de empresas que elija el hacker a su voluntad, sino que son las propias empresas las que se ofrecen voluntariamente para ver si alguien descubre brechas de seguridad en sus sistemas. El seleccionador español Diego Jurado (djurado, en el sector), que trabaja como ingeniero superior de seguridad en la empresa estadounidense Activision Blizzard King –que desarrolla videojuegos como Call of Duty, Guitar Hero o Candy Crush–, adquirida por Microsoft en octubre de 2023, nos explica el mecanismo: “En cada ronda había diferentes empresas que se ofrecían voluntarias para exponer sus activos y para que buscáramos de manera focalizada estos fallos”.
En las distintas fases eliminatorias, el equipo español hackeó empresas como Yahoo, OpenSea o Tinder. En la final, a la que llegaron los equipos de Israel y España, las empresas que se pusieron voluntariamente a prueba fueron la empresa estadounidense de software Adobe, la multinacional argentina de comercio electrónico Mercado Libre, la cadena hongkonesa de tiendas de productos de salud y belleza A.S. Watson y TikTok. “Hubo dos semanas de teletrabajo, pero la última semana se celebró de forma presencial en Buenos Aires”.
La diferencia entre ‘legal’ e ‘ilegal’
Carlos Rivero (hipotermia es su alias), el otro seleccionador del equipo español de ciberseguridad, explica a Forbes por qué el hackeo se realiza a empresas voluntarias: “Si yo me pongo a hackear una empresa por mi propia voluntad, eso es ilegal. Son las propias empresas las que se ofrecen, se muestran abiertas a que los mejores las ponga a prueba. Si alguien descubre una vulnerabilidad o bug bounty, la reporta y recibe una compensación económica por esa información. Su colega djurado nos desvela la cuantía de las recompensas económicas: “Varían según la criticidad y según la empresa. Hay empresas que pagan más y empresas que pagan menos. Por uno de los fallos de seguridad más grandes que descubrimos nos pagaron 65.000 dólares. Sólo por ese fallo. Ha habido rondas en las que hemos sido capaces de sumar mucho dinero: entre 100.000 y 150.000 dólares, por descubrir varias vulnerabilidades. En las primeras rondas hubo una empresa que pagó casi 200.000 dólares por un fallo muy, muy crítico, y lo descubrió una persona del equipo de EE UU”. Hipotermia añade que “uno de los programas de bug bounty más famosos, y por donde empieza la gente más novata, es el Departamento de Defensa de EE UU. Puede parecer que sea una estructura súper complicada, pero es muy fácil encontrar cosas, porque tienen muchísimas páginas abiertas en Internet y siempre están añadiendo contenidos. Pero ellos no pagan. En ese caso, y en el de otras empresas que tampoco, pero que están abiertas a que se descubran sus vulnerabilidades, te dan puntos dentro de plataformas como HackerOne”. Es el modo en el que la gente que empieza puede conseguir puntos con los que irse labrando reputación como hacker ético.
Aunque las cifras de las que hablan los expertos puedan parecer exorbitantes, no lo son. De hecho, el trabajo de búsqueda de bug bounty –lo que podríamos definir como un experto autónomo o freelance en ciberseguridad– está sujeto a mucha inestabilidad laboral. “En el programa de bug bounty, los hackers españoles somos los mejores, lo hemos demostrado”, afirma Diego Jurado rotundo. “Pero hay mucha gente que empieza y lo deja porque es un trabajo que puede resultar muy frustrante. Cuando no eres capaz de sacar ningún fallo, no cobras nada. Esto no es como un trabajo de cuarenta horas semanales con un salario asegurado. Como bug bounty, puedes dedicarle horas y horas y no encontrar ningún fallo. Además, sólo te pa- gan por los fallos si eres el primero en encontrarlo. Si hay una persona que se te anticipa, él será quien se lleve el dinero”.
Desde su posición en Telefónica Tech, Pedro Núñez-Cacho expone lo que podríamos denominar como la gran brecha de la ciberseguridad española: los salarios. “En España, los profesionales con perfiles de gestión muy sénior suelen tener salarios que oscilan entre los 80.000 y 120.000 euros. Hablando de perfiles más júnior, con edades comprendidas entre los 18 y 25 años, las ofertas salariales se sitúan entre los 25.000 y 40.000 euros. En EE UU o Reino Unido están pagando a una persona que se dedique al desarrollo del software, salarios muy superiores». Es por eso por lo que los principales talentos españoles en ciberseguridad suelen optar por trabajar para empresas internacionales. “Estamos hablando de un rango salarial que va de los 150.000 a los 300.000 euros y sin necesidad de residir en el extranjero, o desde una playa de las Bahamas, si lo prefieres, dado que este trabajo permite el teletrabajo de manera permanente. Estos datos forman parte de una investigación de The Wall Street Journal de 2022”, comenta Núñez-Cacho.
Sobre la Ambassador World Cup
Se trata de una competición eliminatoria organizada por al empresa HackerOne, una especie de enorme hackathón de ocho meses de duración, en el que intervienen cientos de expertos seleccionados por países y los ‘embajadores’ de HackerOne de veintiséis países. Esta compañía estadounidense se fundó hace doce años, después de que los piratas informáticos neeerlandeses Jobert Abma y Michiel Prins descubrieran en 2011 importantes vulnerabilidades de seguridad en cien de las más destacadas empresas internacionales de alta tecnología (incluidas Facebook, Google, Apple o Microsoft). Abma y Prins se pusieron en contacto con las empresas en las que habían detectado importantes fallos. Sin embargo, entonces todavía no había calado tanto la preocupación por la ciberseguridad y lo que una brecha podía suponer y muchas empresas ignoraron sus advertencias. No fue ese el caso de Alex Rice, de Facebook, que sí las atendió y entendió y propuso a los hackers neerlandeses fundar HackerOne en San Francisco.
La empresa está especializada en gestión de resistencia a los ataques informáticos, mediante la experiencia en seguridad de hackers buenos –conocidos como white hacks o hackers éticos–, así como en la evaluación continua y mejora de procesos para detectar y parchear brechas por las que puedan colarse ataques digitales. Al contrario de lo que sucedió con los ataques llevados a cabo inicialmente por Abma y Prins, realizados sin aviso previo, de forma ilegal (aunque tuvieran un fin positivo), la labor de HackerOne se realiza con pleno consentimiento de las empresas a las que se va a someter el ataque, con el fin de descubrir sus vulnerabilidades, que son las que gratifican económicamente a HackerOne y a los especialistas en ciberseguridad que descubren esas brechas. Entre los clientes de HackerOne se encuentran, en la actualidad, el Departamento de Defensa de EE UU, General Motors, Goldman Sachs, Google, Hyatt, Lufthansa, Microsoft, Nintendo, PayPal o la española Inditex.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.