Hackers ètics ajuden les empreses a blindar-se contra els atacs informàtics

Des de l'inici del confinament els atacs a les xarxes s'han multiplicat i són cada cop mes sofisticats. Sovint impliquen una doble extorsió, no només es roba informació crítica, sinó que s'amenaça també les companyies amb la seva publicació si no es paga un rescat. L'impacte per a les empreses també és doble: d'una banda el reputacional, i de l'altra l'econòmic, per recuperar de nou els sistemes afectats.

Moltes de les dades robades durant el confinament s'estan utilitzant ara per extorsionar les empreses amenaçant-les d'haver de pagar un rescat, que ha crescut fins els 250.000 euros de mitjana, sota amenaça de publicar o vendre la informació robada.

Segrest del compte d'Instagram

És el que li va passar a una jove empresa de fundes per penjar-se el mòbil. Ricardo Sala, fundador de Hanek, explica que van rebre un mail en què saludaven educadament, inclús demanaven disculpes per l'inconvenient i així és com va saber que els havien segrestat el compte d'Instagram.

El que fan, diuen, és enviar-te un correu com si fossin Instagram i quan poses el teu usuari, la teva contrasenya i et dona error, el que fas és donar-lo al hacker. Per tant, podia fer el que volia. Com diu en Ricardo: "És un segrest en tota regla". 

Una persona que vol fer una compra per internet hi ha algunes coses que mira, i una és la confiança que li dona la marca i una de les coses que donen confiança és veure quin compte d'Instagram té i si té interacció... i de cop això t'ho treuen.

Per una empresa com aquesta, perdre el compte d'Instagram és com perdre l'aparador. 

És com si una botiga que està pagant tots els mesos el lloguer per ser a passeig de Gràcia, de cop, es desperta un dia i és enmig del desert als Monegros, que no hi passa ningú.

A partir d'aquí, va iniciar-se una cursa a contrarellotge per rescatar el compte. I, després d'insistir-hi molt, Facebook, propietària d'Instagram, va recuperar-lo, i va posar punt final a un malson de 8 dies.

Una mostra de l'augment d'aquest tipus d'atacs és que quan van anar a posar la denúncia als Mossos, de les 8 persones de la cua, 6 denunciaven delictes digitals. 

Des de que han recuperat el compte, utilitzen noves mesures per blindar-se contra aquests atacs com la doble autentificació. De fet, considera que hauria de ser obligatòria per dissuadir els pirates informàtics. 

Hackers ètics

A l'altra banda dels pirates informàtics, trobem els hackers ètics que treballen per trobar les vulnerabilitats de les empreses. Busquen, com els altres, forats a les plataformes de les empreses, però n'informen les companyies.

Borja Berastegui, fundador i bounty hunter a CazHack, assegura que la majoria dels que es dediquen a això va començar a fer-ho per aprendre i "què és una motivació enorme dins del món de la ciberseguretat."

Crec que la primera va ser Uber... Simplement vaig trobar una manera amb què podia trobar informació privada d'Uber que no hauria de ser allà i vaig provar amb Uber perquè crec que era una empresa molt sonada que estava donant bones recompenses i que tenia molta infraestructura amb la qual provar i jugar.

Diu que és una pura competició... per veure qui troba més vulnerabilitats... les més greus, perquè en base a això són recompensats.

És com, "escolta si troben una errada a la meva empresa, avisa'm a mi i jo et recompensaré per això, no cal que caiguis en la il·legalitat, cometent un crim".

De vegades només busquen reconeixement; en altres casos, una recompensa econòmica, a través de programes que es coneixen com "Bug bountys".

Fins fa poc, a Espanya aquests programes eren poc habituals i molts experts d'aquí només poden participar en els programes que llancen plataformes estrangeres.

Però que juguin sense el teu consentiment, i no els hackers, sinó els pirates informàtics, pot sortir car. L'Hospital Broggi o Adesles són algunes de les últimes víctimes d'aquests tipus d'atacs. L'asseguradora, després de tres setmanes, encara treballa per refer-se.