(CNN) – En su primer día como secretario de Defensa de Estados Unidos James Mattis aprendió de interceptaciones Un equipo de hackers descubrió fallas críticas en una herramienta que el Departamento de Defensa utiliza para transferir archivos informáticos.
El equipo hacía parte de un programa de recompensas por detectar interceptaciones, conformado por expertos que reciben un sueldo por encontrar debilidades en los sistemas informáticos de agencias del gobierno o de corporaciones.
Pete Yaworski es uno de los 80 hackers de “sombrero blanco” alrededor del mundo que ayudan a identificar los problemas de seguridad de dos de los sistemas internos del Departamento de Defensa. Es canadiense, tiene 32 años e hizo parte del equipo DISCREET de Synack, una firma de ciberseguridad que fue contratada por 4 millones de dólares para hackear al Pentágono.
Durante el proyecto, que duró tres meses y terminó en febrero, Yaworski y el equipo de hackers de Synack se sumergieron en sistemas sensibles para encontrar debilidades que pudieran impactar misiones militares en el extranjero. Una vez que comenzó la interceptación, tomó solo 4 horas encontrar importantes errores.
Este martes, Synack anunció que recibirá una financiación de 21 millones de dólares, liderada por Microsoft Ventures.
A diferencia de algunos ingenieros que se dedican por completo a detectar errores, Yaworksi es un hacker autodidacta que pasa sus días como ingeniero informático para el gobierno de Ontario. De noche, trabaja como contratista de Synack, buscando errores de seguridad en objetivos como el Pentágono. Yaworksi aprendió del tema tomando clases en Coursera, leyendo trabajos de investigación, uniéndose a grupos en línea y, eventualmente, escribiendo un libro sobre recompensas por detectar interceptaciones.
Interceptando al Pentágono
Los hackers de Synack fueron las primeras personas externas en sumergirse en los sistemas privados del Pentágono, pero sus predecesores enfrentaron las fallas públicas y abrieron el camino.
“Antes de eso, era ilegal para los hackers buscar alguna debilidad en las páginas del Departamento de Defensa, incluso si su intención era reportarla para que la arreglaran”, dice Katie Moussouris, fundadora de la empresa Luta Security, que ayudó a estructurar Hack the Pentagon.
Tras el éxito del piloto de 21 días, en el que participaron cientos de hackers, el gobierno anunció planes de expansión.
En noviembre pasado, el Departamento de Defensa lanzó su primer programa de divulgación de debilidades, con el cual ahora es legal que investigadores identifiquen y reporten fallas en las páginas web cuyo dominio termine en .mil
En los próximos tres años, HackerOne y Luta Security organizarán otros 19 desafíos públicos de interceptación que tienen como objetivo sistemas del gobierno.
Por supuesto, hay algunas advertencias comprensibles en el programa. Por ejemplo, los hackers no pueden eliminar sitios web con el rechazo del servicio o apuntarles a empleados del gobierno para tener acceso a los sistemas.
La estrategia de Estados Unidos está ahora ganando terreno en el extranjero. En marzo pasado, el gobierno de Gran Bretaña anunció su primer programa piloto de divulgación de debilidades, con la asesoría de Luta Security.
Bendición para los sistemas de defensa
Al obtener la ayuda de hackers externos, el Departamento de Defensa está haciendo algo que algunos líderes en Washington esperan que se expanda en todo el gobierno federal: usar el talento privado en ciberseguridad para resolver los problemas federales de seguridad.
El Departamento de Defensa y otras agencias del gobierno tienen sus propios especialistas en seguridad. Pero complementar el equipo con hackers que trabajan parcialmente para ellos puede ayudarles a corregir más rápido los problemas.
Las recompensas por interceptar sistemas federales varían. La más alta en el desafío de Synack fue de 30 mil dólares. Sin embargo, la mayoría de las veces los hackers no lo hacen por dinero. Los expertos aseguran que lo hacen por un sentido del deber o, simplemente, por el hecho de jactarse al decir que interceptaron al Pentágono.
Yaworski dice que lo motivó el hecho de marcar la diferencia. Y aunque no es ciudadano estadounidense, explica que se sintió impulsado por cierto sentido de patriotismo.
“Quiero creer que otros gobiernos están observando y analizando esto, y considerando hacer lo mismo”, dice Yaworski. “Parte de esto también es orgullo nacional. Tal vez Canadá haga algo similar”.