El antivirus ha muerto, ¡viva el antivirus!, dirían algunos especialistas en seguridad informática que creen que las compañías de ciberseguridad tradicionales tienen los días contados si es que no actualizan sus estrategias y métodos de detección de vulnerabilidades para el público en general y para empresas particulares, gobiernos y otras instituciones. 

Este es el caso de José Pino, fundador y director general de Boxug, quien está convencido de que uno de los métodos más efectivos para garantizar a las empresas la seguridad de sus sistemas de información son las plataformas de bugbounty, como es el caso de Boxug.             

Nacida el 25 de septiembre pasado, Boxug (https://boxug.com/) es la primera empresa de recompensas por detección de vulnerabilidades (bugbounty) en América Latina. Pino la define como una red de hackers, empresas, gobiernos y universidades que actualmente, como parte de su etapa de lanzamiento, mantiene una iniciativa en la que recibe reportes de hackers sobre las vulnerabilidades detectadas en startups de toda América Latina y recompensa económicamente estas detecciones en un plazo no mayor a 48 horas.    

“Utilizamos estas vulnerabilidades como llave de contacto para incentivar a las compañías a que se unan a nuestro programa de recompensas”, dijo José Pino en entrevista con El Economista desde Colombia.

Pino es un investigador de seguridad (hacker) colombiano y director de Boxug que puede presumir de haber vulnerado los sistemas de la Universidad de Harvard y de Microsoft, entidades que le otorgaron un reconocimiento por haberles notificado sus fallas de seguridad, lo que también ha ocurrido con más de 40 empresas y organizaciones de Internet, como Mozilla, Dropbox, Paypal, Yahoo, Twitter, MEGA, Mailchimp, entre otras.

De acuerdo con el director de Boxug, hasta el momento, 1,302 hackers han levantado 751 reportes de vulnerabilidad a empresas latinoamericanas, de los cuales se han validado 190 vulneraciones a 132 startups. Con el 21% de un total de 500 vulnerabilidades, las startups mexicanas ocupan el segundo lugar entre las más desprotegidas de la región latinoamericana, sólo después de las compañías de Perú (38.2%); le siguen Chile (14.4%), Brasil (11.8%), Colombia (9%) y Argentina (5.6 por ciento). 

La principal vulnerabilidad de las startups latinoamericanas detectadas por Boxug es el llamado Remote Code Execution, el cual permite tener acceso total al servidor de la víctima, ya sea un banco, una empresa o cualquier otra entidad y controlar los sistemas de la misma de manera remota. En segundo lugar se encuentra el Cross-Site Scripting, que los ciberdelincuentes aprovechan para realizar suplantaciones de identidad a través de ataques de phishing, con los cuales es posible construir clones de páginas y sitios web para obtener las credenciales de los usuarios que accedan al clon.     

En tercera posición se ubica el SQL Injection, una vulnerabilidad que permite tener acceso a las bases de datos SQL y así poder extraer nombres de usuario, correos electrónicos y contraseñas de todas las personas que se encuentren registradas en dicha base.

De acuerdo con José Pino, estas vulnerabilidades se deben principalmente a errores de implementación de programación que cometen los desarrolladores al crear una aplicación. En este sentido, cualquier ciberdelincuente puede aprovecharse de estos errores de programación para acceder a los sistemas de las compañías y así es como se generan los robos bancarios y las filtraciones de información.

“El objetivo de Boxug es disminuir el cibercrimen, tanto en los países de habla hispana como en el mundo. Buscamos crear estrategias proactivas para poder aminorar los delitos informáticos y estar un paso más adelante de los ciberdelincuentes”, dijo Pino.

Por el momento, la plataforma de Boxug es una versión inicial de la iniciativa cuya versión oficial se prevé sea lanzada en enero. Por esta razón, las recompensas que reciben los hackers van, dependiendo del grado de peligro que representen, desde los 3 a 6 dólares para el caso de las vulnerabilidades de grado bajo, como puede ser el SQL Injection, y de 12 a 36 dólares, para aquellas vulnerabilidades de grado medio a alto, como es el caso de Remote Code Execution.                               

Además de la plataforma oficial de Boxug, la compañía está a punto de lanzar otro producto el cual tendrá la característica de ser sin fines de lucro para la empresa, llamado Global Bugbounty, que funcionará de la misma forma que Boxug, pero a escala global. 

“Una empresa de ciberseguridad puede llegar a cobrarte cientos de miles de dólares, encuentren vulnerabilidades o no. Lo que hace Boxug es funcionar como un intermediario de seguridad para que cientos de hackers encuentren estas debilidades en los sistemas de las compañías, que pagan por vulnerabilidad detectada y no por el tiempo que tarda cada hacker o especialista en seguridad informática en detectar una vulnerabilidad. Con esto, las empresas invierten menos en seguridad y obtienen una mayor seguridad por su dinero”, dijo José Pino.

 

rodrigo.riquelme@eleconomista.mx