211service.com
Keren Elazari sobre la importancia de los hackers
Cómo pensar en los piratas informáticos útiles como los sistemas inmunológicos de Internet puede fortalecer su seguridad y preparar y proteger mejor su presencia digital.
1 de agosto de 2019
El desarrollo de la seguridad cibernética está entrelazado con la evolución de la comunidad de hackers. Keren Elazari, analista de seguridad cibernética e investigadora sénior del Centro de Investigación Cibernética Interdisciplinaria de la Universidad de Tel Aviv, educó al mundo en su charla TED de 2014 sobre la importancia de cultivar hackers amigables para la protección de Internet. Hoy, investiga las amenazas de seguridad cibernética más apremiantes y cómo prevenir estas infracciones.
En este episodio, Elazari comparte su historia de convertirse en una hacker cuando era joven en Israel y habla del empoderamiento que ganó al convertirse en una jugadora importante en la comunidad global de hackers. Ella explica cómo las empresas, las organizaciones y los gobiernos ahora colaboran con piratas informáticos útiles mediante la creación de programas de recompensas por errores y otras iniciativas. Elazari explica consejos sobre lo que las empresas deberían buscar en cuanto a amenazas cibernéticas.
Business Lab está organizado por Elizabeth Bramson-Boudreau, directora ejecutiva y editora de MIT Technology Review. El programa es producido por Katherine Gorman, con la ayuda editorial de Emily Townsend y Mindy Blodgett. Música de Merlean, de Epidemic Sound.
Mostrar notas y enlaces:
Cibersemana de Tel Aviv: https://cyberweek.tau.ac.il/2019/
Sitio web de Keren: https://www.k3r3n3.com
Twitter de Keren: https://twitter.com/k3r3n3
Charla de Ted: https://www.youtube.com/watch?time_continue=2&v=JpFFb1jEUf0
TRANSCRIPCIÓN COMPLETA
De MIT Technology Review, soy Elizabeth Bramson-Boudreau y esto es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado.
Desde que tenemos sistemas informáticos, ha habido quienes buscan romper las protecciones, pero estos piratas informáticos también pueden desempeñar un papel útil en la identificación de brechas en la seguridad cibernética y la identificación de amenazas futuras.
Este es el último episodio de nuestra serie sobre ciberseguridad. Y hoy, estamos hablando de piratería.
Desde los primeros días de Internet, ha habido expertos cibernéticos amigables, incluido nuestro invitado, y estos piratas informáticos han sido fundamentales para la salud del sistema inmunológico de Internet. Keren Elazari es analista de seguridad cibernética e investigadora sénior en el Centro de Investigación Cibernética Interdisciplinaria de la Universidad de Tel Aviv.
Elizabeth Bramson-Boudreau: Keren, bienvenido a Business Lab.
Frio Elazari: Hola. Estoy feliz de estar aquí. Me complace aprovechar esta oportunidad para hablar sobre lo que podemos aprender de los piratas informáticos y cómo los piratas informáticos desempeñan un papel fundamental en la sociedad de la información actual.
Elizabeth: Bueno. Eso es genial. Comencemos porque realmente quiero hablar sobre el concepto del hacker como algo para celebrar. Creo que mucha gente ha llegado a creer que los piratas informáticos estaban amenazando y lo estás abordando desde un punto de vista muy diferente. Antes de entrar en eso y hablar sobre su punto de vista, ¿puede contarnos un poco sobre usted y cómo se ha convertido en un líder y una especie de líder en este tema?
Frio: Por supuesto, Isabel. Empecé mi camino en el mundo cibernético, en el ámbito digital, si se quiere, cuando era muy joven. Tenía alrededor de 11 o 12 años cuando tuvimos acceso a Internet por primera vez en Israel, en Tel Aviv, donde crecí. Y les rogué a mis padres por una computadora propia que pudiera conectar a Internet. En aquellos días, tenías que resolverlo por tu cuenta, cómo hacer que el módem funcionara, cómo conectarse a los servidores correctos, cómo configurar tu computadora.
Y luego, una vez que estaba en línea, realmente dependía de usted encontrar su camino. Y afortunadamente, encontré mi camino con salas de chat y grupos en línea para personas apasionadas por la tecnología como yo. Y estaba aprendiendo inglés escribiendo y hablando con estas personas en salas de chat que no tenían idea de que estaban hablando con una niña de 13 años de Tel Aviv.
Para ellos, yo era solo otro hacker, solo otra personalidad en línea detrás del apodo. Y fue allí en estas salas en línea donde aprendí a apreciar lo curiosas, creativas e innovadoras que pueden ser las personas que se hacen llamar hackers. Y alrededor del año 1995, fue cuando mi vida realmente cambió porque fue cuando vi la película 'Hackers' con Angelina Jolie interpretando a una feroz hacker de secundaria. Y cuando vi esa película, realmente me conecté. Inmediatamente resoné con la historia que mostraba esa película.
Y fue una historia de este grupo de piratas informáticos de la escuela secundaria que son un poco raros o forasteros. Pero juntos como grupo, en realidad evitaron una catástrofe ecológica. Descubrieron la corrupción corporativa. Le mostraron al FBI dónde se escondía el verdadero ciberdelincuente.
Y es este grupo de niños que se parecían mucho a mí y escuchaban la misma música que yo y tenían la misma ideología que yo tenía. Ese es el grupo de niños que me mostró que ser un hacker en realidad puede significar que eres el héroe de la historia. Afortunadamente, pude tomar esa imagen del hacker como héroe y la imagen de esa mujer joven y poderosa interpretada por Angelina Jolie y convertirla en mi realidad. Decidí que ese sería mi modelo a seguir y que me gustaría ser un hacker amigable, uno que ayude a las organizaciones y naciones a comprender los problemas de seguridad para que podamos crear mejores sistemas y podamos evitar que ocurran resultados catastróficos como resultado. de ciberataques.
A lo largo de mi carrera, desde aquellos, ya sabes, mediados de los 90, ese es el punto de vista que siempre he tenido. Ahora he trabajado con diferentes tipos de organizaciones, con agencias gubernamentales. Serví en el ejército israelí. Trabajé con las principales empresas tecnológicas israelíes. Y en todos estos lugares, aporté el punto de vista del hacker y, en particular, el punto de vista del hacker amistoso: ¿cómo podemos solucionar este problema? ¿Cómo podemos crear algo mejor? Así que esa es la perspectiva que he tenido en el pasado, supongo, 25 años, casi en mi carrera en el mundo de la ciberseguridad.
Elizabeth : Quiero decir, supongo que intuitivamente entiendo por qué los hackers son extraños y, ya sabes, entre comillas, 'raros'. Pero, ¿qué tiene esa comunidad que la hace, a menudo, tan impulsada ideológicamente?
Frio: Es mi punto de vista que los hackers tienden a ser extraños. Si. Pero también tendemos a ser extremadamente apasionados por la tecnología. Y esto a veces puede conducir a resultados frustrantes cuando un grupo de piratas informáticos identifica un problema e intentamos solucionarlo, pero no recibimos la atención que necesitamos, o somos inmediatamente tildados de delincuentes o vándalos. Y eso muchas veces conduce a ese resultado en el que la gente nos ve con, ya sabes, tal vez un punto de vista potencialmente malicioso. Muchos de los hackers que conozco tienen, ya sabes, tal vez no la misma ideología, pero todos comparten ideales muy apasionados sobre el papel de la tecnología en nuestra vida, el papel del acceso a la información sobre esta idea de que las personas deberían tener acceso al conocimiento y información, que la tecnología no solo debe ser propiedad de las grandes empresas y no solo debe ser algo a lo que tenga acceso la gente con mucho dinero o privilegios, sino que Internet y esa tecnología es algo que debe democratizarse. Y creo que esta es quizás una ideología que encontrarás con muchos piratas informáticos.
¿De dónde viene? es una buena pregunta Y no es que todos los hackers compartan el mismo punto de vista o la misma ideología. Pero allá por los años 80, hubo un documento mágico que circuló por la BBS, los sistemas de tablones de anuncios y más tarde, en las primeras revistas web, y este documento se llamó 'El Manifiesto Hacker'. Y en 'The Hacker Manifesto', la persona que lo escribió habla de las personas que sienten curiosidad por la tecnología como piratas informáticos, personas que quieren explorar el mundo digital por todo lo que tiene sin barreras, y que esas son las personas que llamarse a sí mismos piratas informáticos. Así que de ahí vino esa ideología. Por supuesto, en la década de los 90, también hubo bastantes elementos criminales y el crimen organizado en particular, que adoptaron el nuevo potencial que Internet y el mundo tecnológico pueden ofrecerles. Y estas personas deberían llamarse ciberdelincuentes. Pueden usar habilidades de piratería o capacidades de piratería, pero no necesariamente comparten las mismas ideologías que tienen los piratas informáticos con los que crecí y que represento.
Elizabeth: Hablemos un poco más sobre esta idea del hacker amigable. Los oyentes de Business Lab están dirigiendo empresas y están muy preocupados por mantener esta empresa segura frente a las ciberamenazas. Es su punto de vista y me gustaría escuchar más sobre eso, que los piratas informáticos pueden ayudar a encontrar problemas tecnológicos y pueden actuar como una especie de sistema inmunológico. Entonces, ¿qué le dirías a las personas que dirigen sus empresas?
¿Cómo deberían pensar en los mundos de los piratas informáticos y en qué deberían pensar cuando les preocupa la ciberseguridad y este tipo de decisiones que deberían tomar para mantener o fomentar una mayor seguridad en esas empresas?
Frio: Absolutamente. Por lo tanto, mi punto de vista es que los piratas informáticos pueden ser el sistema inmunológico de nuestra nueva realidad conectada. Y para aquellos oyentes del podcast que quieran aprender más sobre eso, les recomiendo que vean mi charla TED 2014, que se llama 'Los piratas informáticos son el sistema inmunológico de Internet'.
Desde 2014, he compartido este mensaje de que los piratas informáticos pueden ser aliados útiles con una variedad de organizaciones y personas diferentes. Y, sorprendentemente, en los últimos años, cada vez más empresas están encontrando el valor de trabajar con el ecosistema amigable de los hackers. Y una gran forma en que esto realmente está sucediendo es el fenómeno conocido como programas de recompensas por errores. Por lo tanto, estos programas de recompensas por errores, también denominados a veces programas de divulgación de vulnerabilidades o programas de recompensa por vulnerabilidades, son en realidad marcos administrados por empresas muy grandes, empresas como Google, Facebook, Yahoo, Microsoft, Samsung e incluso empresas que no son estrictamente empresas de tecnología, empresas como United Airlines, por ejemplo, o Western Union o incluso Starbucks, la cadena de cafeterías. Todas estas compañías en realidad tienen un programa de recompensas por errores.
Y lo que esto significa es que están invitando activamente a piratas informáticos amistosos a ver su producto, ya sea su aplicación o su sitio web. Puede que sea un coche. En el caso de Tesla, tiene una larga relación con los piratas informáticos. Y básicamente le están diciendo a los piratas informáticos: miren nuestro producto.
Si encuentra vulnerabilidades, si puede descubrir fallas de seguridad y si nos puede informar sobre esos problemas, lo recompensaremos por sus esfuerzos, y esas recompensas, esas recompensas, pueden ser en forma de dinero pagado en tarjetas de crédito prepagas o las tarjetas de débito, por ejemplo, pero también pueden ser una forma de remuneración no monetaria que en realidad tiene mucho valor simbólico en el ecosistema hacker. Entonces, por ejemplo, esto podría ser botín, camisetas o sombreros o experiencias únicas.
Por ejemplo, recuerdo cierto año en el que Microsoft eliminó uno de los clubes más grandes de Las Vegas y contrató a uno de los DJ más importantes y accedió a esa fiesta. Y ese club con ese disc jockey superestrella solo estaba disponible para esos investigadores, esos amigables hackers que identificaron vulnerabilidades y las revelaron al programa de Microsoft. En otro caso…
Elizabeth: ¿Entonces se convirtió en una cosa de estatus, una especie de insignia de honor para ser invitado?
Frio: Definitivamente hay un elemento de estatus. Y, de hecho, una de las razones por las que los programas de recompensas por errores tienen tanto éxito es porque en realidad han creado redes sociales a su alrededor con piratas informáticos que compiten en las tablas de clasificación. Se podría decir que esto se ha gamificado y los piratas informáticos compiten para ocupar el primer lugar en las cinco o diez listas principales de piratas informáticos que han encontrado vulnerabilidades en el sitio web o programa en particular. En ciertos casos, hay recompensas aún más especiales que solo se otorgan a los mejores piratas informáticos en un programa en particular. Por ejemplo, Tesla tiene una moneda de desafío y esto es casi como una medalla y solo hay 20 de estas monedas de desafío de Tesla en el mundo y salen solo para los mejores piratas informáticos que ayudan a Tesla. De hecho, el verano pasado vi a Elon Musk en persona asistir a la convención de hackers más grande del mundo, un evento llamado DEF CON, que se lleva a cabo en Las Vegas cada año. Y Elon Musk llegó allí con su equipo y con sus jefes de ingeniería tanto para Tesla como para SpaceX para hablar con esos talentosos hackers que pudieron encontrar vulnerabilidades en el producto de Tesla. Por supuesto, tal vez no sea una sorpresa que una empresa innovadora como Tesla o que los gigantes de Silicon Valley como Facebook y Microsoft trabajen con piratas informáticos. Pero en los últimos años, organizaciones como el Pentágono, el Departamento de Defensa de los Estados Unidos también lanzaron su programa Hack the Pentagon. Y ese programa de recompensas por errores realmente ha mostrado una gran iniciativa, excelentes resultados. Desde el momento en que se lanzó por primera vez hasta este año, ha habido muchas vulnerabilidades en los sitios web del Pentágono que se descubrieron a través de ese programa. Eso significa que los criminales, los espías, los malos que encuentran la vulnerabilidad, no te van a contar lo que descubrieron. Y al crear estos programas, estamos permitiendo efectivamente que el sistema inmunológico. De hecho, estamos permitiendo a esos amigables piratas informáticos un camino, un camino legal legítimo para informar sus hallazgos y ayudarnos a estar más seguros.
Y estoy muy entusiasmado y esperanzado con la adopción de estos programas de recompensas por errores. Y creo que eso es algo que todos los líderes empresariales deben preguntarse: ¿tenemos una oportunidad como esa para que los piratas informáticos amistosos nos informen sobre sus hallazgos?
Elizabeth: Tengo un par de preguntas. ¿Hay tipos particulares de errores que ese tipo de programas de recompensas son más adecuados para buscar? Y en segundo lugar, ¿cómo los líderes empresariales que no dirigen Tesla o Facebook son empresas monumentalmente grandes y con buenos recursos? ¿Cómo accedieron a este tipo de programa?
Frio: Así que esas son grandes preguntas. Estoy muy feliz de hablar sobre las recompensas de errores durante todo el tiempo que desee, porque este ha sido el corazón del estudio, el trabajo de investigación que he estado haciendo en el Centro de Investigación Cibernética de la Universidad de Tel Aviv durante el último par de años. . Y una de las cosas que descubrimos es que estos programas tienen mucho valor cuando el producto que se está probando o la plataforma que se está analizando ya es pública. Entonces, si tiene un sitio web, por ejemplo, si es United Airlines y las personas compran boletos de avión en su sitio web, ya tiene un producto muy público que vive en la Web. Y cuando tienes un producto como ese, es realmente útil que todos esos hackers identifiquen las vulnerabilidades. En el caso de United Airlines, por cierto, no pagan dinero. Pagan millas aéreas. Y la gente ha ganado millones de millas al encontrar vulnerabilidades en el sitio web de United Airlines. En otro caso, cuando se trata de aplicaciones o sistemas web o incluso, como mencioné anteriormente, con automóviles, con sistemas Tesla en el automóvil, cuando hay un producto de cara al consumidor que tiene una gran cantidad de tecnología o cuando ese producto está en la web o es una aplicación móvil, ese es un buen momento para obtener la ayuda de esos amigables piratas informáticos a través del formato de programas de recompensas por errores. Ahora, usted preguntó cómo pueden las organizaciones pequeñas disfrutar de ese beneficio. Hay una variedad de formas. Uno que es importante entender que hoy en día existen plataformas que realmente median esa relación con esos piratas informáticos. Mencioné que es casi como si las redes sociales se hubieran construido a su alrededor. Las dos plataformas líderes se llaman HackerOne y Bugcrowd.
Hay varias otras compañías, pero estas son las dos plataformas más grandes y en realidad median muchos de los programas de recompensas por errores y tienen más de 100,000 piratas informáticos amigables que se registran y usan esas plataformas. Así que ese es el acceso a una gran cantidad de piratas informáticos. Así que ese sería el lugar número uno que recomendaría mirar. En segundo lugar, es importante comprender que incluso una organización pequeña puede tener algún tipo de compromiso o salida para trabajar con piratas informáticos amigos.
Por un lado, en realidad existe un estándar internacional para la divulgación coordinada de vulnerabilidades, y ese es el estándar internacional para la divulgación coordinada de vulnerabilidades de CVD. Y puedo buscar el número de ese estándar para poder compartirlo con sus oyentes.
Ahora, aparte de eso, hay otro proyecto que se llama security.txt. Y lo que básicamente dice el proyecto security.txt, dice que si tiene un sitio web o una tecnología orientada al consumidor, lo que quiere hacer es asegurarse de que en algún lugar de su sitio web haya un archivo llamado security.txt y en realidad tiene la información de a quién deben contactar las personas si encuentran una vulnerabilidad de seguridad en su sitio. Se sorprendería de cuántas veces el simple hecho de tener la información de contacto correcta hace posible que un hacker amigable se acerque y diga: 'Oye, encontré un problema en tu sitio, encontré un error en tu código. Es posible que desee saber al respecto.
Elizabeth: Correcto. Eso tiene mucho sentido. Así que quiero cambiar un poco para mirar las amenazas de seguridad cibernética que no se relacionan solo con las computadoras o las redes. Y creo que muchos de nuestros oyentes son conscientes de que la amenaza solo está creciendo con iot y la proliferación de dispositivos conectados. Hable sobre eso y lo que la comunidad de hackers está haciendo y podría estar haciendo para brindar un mayor apoyo y ayudar a los líderes empresariales.
Frio: Absolutamente. Antes de hacer eso, solo quiero mencionar que el estándar internacional del que hablé anteriormente es ISO 29147. Ese es el estándar internacional número 29 147, que en realidad es un estándar internacional para la divulgación coordinada de vulnerabilidades del que cualquier organización puede aprender, adaptar y aplicar. para su negocio. Así que solo quería darle la información sobre eso. Ahora, con respecto a una pregunta, creo que realmente diste en el clavo. Realmente ya no se trata de sistemas de información o, ya sabes, nuestros teléfonos o nuestras computadoras.
Realmente hay una gran cantidad de nuevas tecnologías conectadas en las que confiamos con nuestras vidas todos los días, ya sea que se trate de cerraduras domésticas conectadas y sistemas de vigilancia como cámaras web o, ya sabes, las cosas en las que confiamos para que nuestro automóvil llegue a tiempo, la navegación las herramientas de las que dependemos, las cosas de las que dependen los aviones, las tecnologías médicas. Y esta es una gran razón, en realidad, por la que ahora estamos hablando en nuestra industria sobre ciberseguridad y no sobre seguridad de la información, porque ya no se trata de proteger secretos o nuestras contraseñas o números de tarjetas de crédito. Realmente se trata de proteger todos estos sistemas cibernéticos físicos conectados. Ahora, cuando se trata de esos dispositivos iot, los dispositivos de internet de las cosas. Aquí es donde creo que mucha gente, ya sean líderes empresariales o, ya sabes, particulares, realmente no nos damos cuenta de que tenemos que ser el director de información de nuestra propia casa, porque en la casa de cada familia hoy en día, en realidad hay más de una docena de dispositivos, por lo general, tal vez incluso más. Y tienes consolas de entretenimiento, tienes DVD, tienes cámaras web, tienes gadgets y tabletas y dispositivos personales, por supuesto, teléfonos y computadoras. Y para todos estos dispositivos, realmente no hay ningún director de seguridad de la información o director de información que los mantenga por nosotros. Entonces, como individuos, como consumidores, es realmente la responsabilidad asegurarse de que esos dispositivos tengan entornos de sistema operativo actualizados que no tengan nombres de usuario y contraseñas predeterminados. Esas son cosas que tenemos que hacer y nadie las está haciendo por nosotros.
Y ahí es donde se están infiltrando muchos de los nuevos tipos de amenazas, porque mucha gente te dirá: 'Oye, bueno, no me importa si alguien piratea mi cámara de seguridad que tengo en mi patio trasero porque no No tengo nada que ocultar. Pero lo que la gente no se da cuenta es que los delincuentes están aprendiendo a utilizar todos estos activos digitales como peones en sus propios ejércitos digitales. Y en los últimos años, hemos visto ataques masivos en los que los delincuentes se han apoderado de cientos y miles de estos tipos de dispositivos conectados, ya sean cámaras web o grabadoras de video digital, a veces incluso fotocopiadoras de oficina como una máquina Xerox. Y todos estos dispositivos pueden ser utilizados por delincuentes para lanzar más ataques cibernéticos. Entonces, cuando se trata de estos dispositivos, realmente depende de todos y cada uno de nosotros asumir la responsabilidad también. En primer lugar, protege ese dispositivo, ya sea actualizando el sistema operativo o reemplazando la contraseña predeterminada. Por cierto, el estado de California tiene una nueva ley vigente, que se aplicará en enero de 2020. Si en realidad está vendiendo o comercializando cualquier dispositivo de Internet de las cosas en el estado de California, debe asegurarse de que no va a tener una combinación predeterminada de nombre de usuario y contraseña. Por lo tanto, no puede tener dispositivos que tengan la contraseña de uno, dos, tres, cuatro o algo así, como hemos visto en los últimos años. Eso es algo que está cambiando en el estado de California. Esperemos que más estados sigan su ejemplo. Pero lo devuelve a la responsabilidad personal que tenemos como consumidores. Y también tenemos una responsabilidad y potencialmente una fuente de apalancamiento como dueños de negocios. Cuando compramos tecnología, cuando adquirimos tecnología de un proveedor, de un proveedor que nos la está vendiendo, podemos decir: Oye, ¿cuáles son tus protocolos de seguridad? ¿Cuál es su método para actualizar el sistema operativo o el firmware de este dispositivo? ¿Cómo puede verificar que no va a tener contraseñas simples de uno, dos, tres, cuatro tipos? ¿Cómo puedo cambiar mis contraseñas? Y creo que a medida que más personas exijan algo mejor de los proveedores que crean estas tecnologías y venden estos productos, en realidad tendremos un ecosistema más seguro.
Elizabeth: Entonces, supongo que estos son realmente, supongo, enfoques de abajo hacia arriba. Entonces, la responsabilidad recae en la persona que compra el dispositivo, ese dispositivo conectado o en el equipo de seguridad de la empresa. Mencionó el estado de California, pero en general, ¿es esto algo que debemos asumir que no va a ser ayudado por el apoyo o la regulación del gobierno?
Frio: En realidad, los gobiernos están haciendo mucho más que antes. Particularmente en los EE. UU., vamos a ver más enfoques regulatorios que serán un poco más agresivos en sus requisitos de las empresas y los líderes empresariales para tener más conocimientos sobre seguridad cibernética, para tener un miembro de la junta directiva de una organización que tiene conocimientos y experiencia en ciberseguridad. Ya hemos visto casos en los que, por ejemplo, en el caso presentado, creo que la FTC contra Uber. Como habrás escuchado, Uber tuvo varias filtraciones de datos en los últimos dos años. Y como ese caso se presentó ante la Comisión Federal de Comercio, la FTC en realidad ha analizado muy de cerca el nivel de los controles de seguridad aplicados por Uber. Y en realidad se están empleando con personas que tienen conocimientos, que trabajan para estos reguladores de consumo que van a hacer preguntas muy granulares a nivel técnico, y van a esperar que las empresas tengan controles de seguridad razonables. Ahora bien, ¿qué significa control de seguridad razonable?
Significa cosas que son las mejores prácticas, cosas que se consideran algo que cualquier otra empresa de ese tamaño o dentro de ese tipo de presupuesto estaría haciendo. Y un tipo de control razonable que los reguladores están comenzando a buscar es si una empresa tiene algún medio de comunicación con esos piratas informáticos amistosos que están por ahí tratando de informar vulnerabilidades. Entonces, ¿la compañía tiene un programa de recompensas por errores? ¿Tienen una política clara de divulgación de seguridad o vulnerabilidad? ¿Están haciendo saber a las personas que hay una manera de informarles sobre las vulnerabilidades? Y esto es algo de lo que en realidad estamos viendo que cada vez más reguladores comienzan a hablar. Tengo mucha suerte en ese sentido porque tengo una hermana que es abogada y ahora se está especializando en política de ciberseguridad en los Estados Unidos. Y junto con ella, he aprendido mucho sobre la forma en que los reguladores estadounidenses están comenzando a presionar mucho más en lo que respecta a los controles de seguridad por parte de las empresas estadounidenses.
Elizabeth: Bueno, eso es genial. Entonces, hablemos un poco más sobre otros tipos de amenazas. Entonces, ¿qué pasa con el ransomware? Hemos hablado en este podcast sobre ransomware. ¿Ves eso como una amenaza real y creciente?
Frio: Por lo tanto, es importante comprender que el ransomware estuvo muy de moda en 2017 y 2018. Pero los delincuentes siempre evolucionan y no van a hacer lo mismo. Entonces, lo que fue, ya sabes, muy valioso y rentable para los delincuentes en los últimos años ya no es tan rentable porque cada vez más organizaciones se han dado cuenta y no van a pagar el rescate. Van a volver a una copia de seguridad o van a encontrar una forma alternativa de eludir ese cifrado de ransomware. Lo que ha sucedido es que, en realidad, los delincuentes han descubierto un enfoque mucho más lucrativo. Y esto es algo llamado criptojacking, también conocido a veces como criptominería. Y lo que hace el cryptojacking es básicamente una vez que el delincuente tiene la capacidad de lanzar cualquier tipo de código malicioso en su sistema, ya sea su computadora personal, sus servidores web o sus servidores en la nube. Lo que van a hacer es que, en lugar de cifrar los datos y solicitar un rescate, en realidad ejecutarán un programa silencioso que extraerá monedas criptográficas. Una estafa muy popular. Su computadora que está usando usted está usando exactamente su computadora, usando su poder de cómputo. Entonces, para algunas empresas de com, cuando esto sucede en sus servidores en la nube, cuando esto sucede en su infraestructura de AWS, por ejemplo, en realidad podría acumular decenas de miles de dólares en costos de energía informática. Y los delincuentes se van con millones de dólares en criptomonedas. Y la criptomoneda muy popular que se extrae de esta manera se llama Monero. Y en realidad ha habido tantas campañas que están creando malware muy evasivo que va a minar para ese Monero. De hecho, incluso las redes wi-fi en las sucursales de Starbucks en Argentina tenían este malware de minería de Monero. Entonces, cuando las personas iniciaban sesión en Wi-Fi, abrían su computadora portátil para iniciar sesión en Starbucks Wi-Fi.
En realidad, ese software de minería se ejecutaba en sus computadoras durante cinco o 10 segundos a la vez, generando una gran cantidad de ingresos en forma de moneda criptográfica para los delincuentes. Y es por eso que digo, Elizabeth, que es realmente importante aprender de lo que están haciendo los piratas informáticos. Es muy importante observar lo que hacen los delincuentes porque están en constante evolución. Y aquí es donde paso mucho de mi tiempo estudiando y observando estas nuevas técnicas, estas nuevas tendencias, la forma en que los delincuentes están mejorando su juego porque realmente están inventando nuevos modelos de negocios para tomar nuestros activos digitales y convertirlos en dinero muy rápido. Y están haciendo algo nuevo todo el tiempo.
Elizabeth: Entonces, ¿cómo sabría si su red es lo que está buscando para determinar si su red es o no vulnerable a este tipo de crypto jacking o crypto mining? Quiero decir, eso suena terrible.
Frio: Sí. Sí. Eso es eso. Eso es terrible. Esa es una gran pregunta. Entonces, una manera en la que notará que tiene malware de crypto jacking en sus sistemas es, por supuesto, si tiene una factura muy alta de Amazon Web Services a fin de mes, que es mucho más alta de lo que esperaba, o si Al observar su consumo de energía, ve que, de repente, sus servidores están funcionando a velocidades de CPU mucho más altas, sus procesadores en realidad están trabajando mucho más. También puede notar que su máquina se está calentando. Se está ejecutando se calienta porque una CPU está trabajando más duro. Y puedes notar esto incluso como individuo, si tu conexión parece ser extremadamente lenta. Estás abriendo tu navegador web para sitios específicos y les lleva mucho tiempo cargar. Podría significar que podría tener este tipo de malware de criptominería o criptojacking en su sistema. Es importante tener en cuenta que la mayoría de las veces estos tipos de ataques ahora están dirigidos a esas instancias en la nube. Así que ya no están cuidando las computadoras individuales de las personas simplemente porque no necesariamente tienen el poder de cómputo que quieren. Sin embargo, los jugadores que tienen computadoras potentes, generalmente con GPU y unidades de procesamiento gráfico potentes, pueden ser más susceptibles a este tipo de malware de criptominería.
Elizabeth: ¿Acaso AWS y otros proveedores de la nube no van a estar buscando esto en lugar de simplemente pasar una factura alta a sus clientes? Creo que estarían haciendo algo, ya sabes, podrían hacer que una IA eche un vistazo a cualquier pico o comportamiento inusual en el uso, creo.
Frio: Así que es muy, es muy... Estoy de acuerdo con usted en que sería intuitivo para nosotros esperar que los proveedores de la plataforma en la nube hagan más y estén atentos a estas amenazas. Pero la realidad es que, en muchos casos, la forma en que los delincuentes ingresan a los sistemas de las personas es porque tienen una instancia de nube fácilmente insegura, de fácil acceso y mal configurada. Así que muchas veces la compañía de la nube dirá que es su problema porque dejó la puerta abierta de par en par. No configuró sus servidores en la nube para que sean seguros. No pusiste una contraseña o usas la contraseña predeterminada o usaste alguna muy conocida. Tenía algunas vulnerabilidades muy conocidas en sus servidores en la nube. Así que realmente no es su problema. Es tuyo. Y esto, creo, nos lleva de vuelta a un problema importante que mucha gente tiene ahora con el consumo de tecnología. Realmente no entendemos cuánta responsabilidad recae aún en los consumidores. Y hay muchas expectativas para el proveedor de tecnología, ya sea un servicio en la nube o un dispositivo de Internet de las cosas o un sistema operativo. Tenemos muchas expectativas de que la empresa que nos vende un producto haga mucho más en lo que respecta a la seguridad.
Pero la realidad es que su modelo de negocio en muchos casos se basa en que el cliente lleve más de esa responsabilidad sobre sus hombros. Y no necesariamente nos damos cuenta de esto. Ahora, no quiero solo, ya sabes, nombrar y avergonzar a las empresas. Definitivamente hay proveedores de nube que están haciendo más. Sé que Amazon y AWS tienen un gran equipo dedicado a buscar amenazas de seguridad en su plataforma en este momento. Resulta que son los más populares entre los delincuentes porque es la plataforma en la nube más poderosa. Así que realmente tenemos que continuar todo el tiempo. Y este juego del gato y el ratón, y en el momento en que la gente de Amazon encuentre una manera de evitar que el malware criptográfico de las campañas, se propague, surgirá un nuevo tipo de ataque.
Elizabeth: Así que ese es un gran lugar para que pasemos a mi siguiente y última pregunta, ¿qué es lo que sigue? ¿Y no estoy seguro de quién es el gato y quién el ratón? Pero, ¿adónde va el gato después? ¿Y dónde deben pensar los líderes preocupados por la seguridad cibernética sobre el futuro de la amenaza?
Frio: Realmente no está claro quién es el gato y quién el ratón aquí. Estás absolutamente en lo correcto. Pero cuando se trata de eso, en lo que estoy pensando cuando estoy pensando en lo que sigue, estoy pensando en las personas y pensando en el talento humano. Estoy pensando en las personas que van a ser esos profesionales de la seguridad, esos amigables hackers, esos líderes empresariales del futuro. ¿Y cómo podemos hacer que esas personas sean tan conocedoras, innovadoras y creativas como algunas de las malas personas que existen? Porque supongo que mientras la gente escriba código, tendremos vulnerabilidades, mientras la gente use tecnología. Habrá personas y organizaciones malintencionadas que desearán utilizar esa tecnología para obtener beneficios nocivos o manipularla. Y vamos a necesitar más gente que nunca. Así que mi punto de vista es que la amigable comunidad de hackers puede ayudar. Pero también es muy importante invertir en ciberseguridad, educación y concienciación, por eso me postulo. Además de Tel Aviv, es el evento de la comunidad de investigación de seguridad y la comunidad de hackers más grande de Israel. Es por eso que en la Universidad de Tel Aviv organizamos algo llamado Semana Cibernética de Tel Aviv, que brinda conocimiento e información a más de 8,000 personas cada verano. Es por eso que cada vez que viajo, cada vez que tengo tiempo libre, paso mi tiempo yendo a eventos de hackers y ya sea una reunión comunitaria o una conferencia de tecnología, porque realmente debemos prestar atención al tipo de investigación y conocimiento que ahora se está desarrollando. generados por piratas informáticos amigos para que podamos sacar a más personas armadas con información y conocimiento. Necesitan desarrollar un futuro mejor y más seguro para todos nosotros. Un área en la que mucha gente está pensando es el área de la IA.
Y eso es algo que, ya sabes, es realmente crucial para entender que en realidad podríamos estar en una carrera armamentista cuando se trata de tecnologías de IA y específicamente IA para ciberseguridad, tanto en el lado ofensivo como defensivo. Pero mientras que la carrera armamentista en realidad se convierte en una realidad, está en la carrera para reclutar el talento, las personas que realmente pueden crear ese sistema de próxima generación. Y esa es un área en la que creo que actualmente Estados Unidos tiene una ventaja. Y si desea mantener esa ventaja, debe continuar invirtiendo en ese tipo de conocimientos y ese tipo de talento y desarrollar esos piratas informáticos externos que en realidad pueden ser los futuros defensores del mañana.
Elizabeth: Entonces, Keren, ¿dónde pueden las personas obtener más información si quieren aprender más sobre algunas de las cosas de las que has estado hablando hoy?
Frio: Así que soy muy fácil de encontrar en línea. Mi nombre es Keren Elazari. Pero en el mundo de los hackers, me conocen como Keren E. Todas las E se escriben con tres. Así que puedes ir a mi sitio web, K3R3N3.com. Puedes encontrarme en LinkedIn. Puedes ver mi charla TED en Ted.com: 'Los piratas informáticos son el sistema inmunológico de Internet'. Hay una variedad de contenido que publico en YouTube. Y le invitamos a visitar la Semana Cibernética de Tel Aviv. Y BSides Tel Aviv, BSidestlv.com es el sitio que desea visitar, si quiere venir y experimentar la comunidad de hackers que tenemos aquí en la hermosa y soleada Tel Aviv.
Elizabeth: Maravilloso. Bueno, muchas gracias por acompañarnos aquí en Business Lab.
Frio: Gracias, Isabel.
Elizabeth: Eso es todo por este episodio de Business Lab. Soy su presentadora, Elizabeth Bramson-Boudreau. Soy el CEO y editor de MIT Technology Review. Fuimos fundados en 1899 en el Instituto Tecnológico de Massachusetts. Y puede encontrarnos impresos en la web, en docenas de eventos en vivo cada año y ahora en forma de audio. Para obtener más información sobre nosotros y la feria, visite nuestro sitio web en technologyreview.com. Este programa está disponible dondequiera que obtenga sus podcasts.
Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos en Apple Podcasts. Business Lab es una producción de MIT Technology Review.
Nuestro editor principal es Mindy Blodgett. Este episodio fue producido por Collective Next con la ayuda editorial de Emily Townsend. Un agradecimiento especial a nuestro invitado, Keren Elazari.
Gracias por su atención. Volveremos pronto con nuestro próximo episodio.