1

Ni los hackers se escapan de la falta de talentos en TI

Los cibercriminales y hackers / hacktivistas enfrentan muchos de los mismos problemas de contratación que tienen las organizaciones para la defensa de su seguridad.

Bueno, casi. Es claro que esta escasez de talento que experimentan los ciberatacantes tiene “giros” particulares y así lo ha precisado un informe publicado este martes por Digital Shadows.

La buena noticia del informe divulgado por la empresa asesora es que los piratas enfrentan la falta de candidatos cualificados para trabajos tales como crear malware, desarrollar exploits, operar bot net y mules.

Además, los cibercriminales están limitados en su capacidad para investigar adecuadamente las nuevas contrataciones, realizar una amplia difusión del talento requerido, así como para encontrar personas que sean dignos de confianza (¿!) pero estén dispuestos a romper la ley (¡¡!!)

¿Plus?: el tiempo es una limitación importante.

“Los criminales cibernéticos tienen que ser muy rápidos. Su ventana para obtener beneficios económicos carece de profundidad“, explicó el vicepresidente de estrategia de Digital Shadows, Rick Holland.

Mientras tanto, los grupos encargados de hacer cumplir la ley, los bancos y los grupos de seguridad están manteniendo un ojo sobre ellos, esperando que cometan un error.

Hackers de buena presencia

Para encontrar a los candidatos adecuados, los grupos criminales publican ofertas de trabajo en las job boards subterráneos, realizan entrevistas a través de Skype, piden referencias y comprueban la reputación de los solicitantes en los sitios dedicados a avergonzar a los malos actores.

Las entrevistas por Skype  son una herramienta popular pero ni el solicitante ni el entrevistador puede permitirse el lujo de exponerse el uno con el otro para evitar la aplicación de la ley. Como resultado, el vídeo está apagado, las voces están enmascarados y el tráfico se dirige a través de los servicios de anonimato como TOR.

Un anuncio típico requiere que se cifren todas las comunicaciones, mientras que el pago – por supuesto – se hará en Bitcoin.

Algunos grupos también ponen a los nuevos empleados en un período de prueba hasta que demuestran su valía.

“Si tienes tanta seguridad que hace que sea difícil reclutar gente, entonces también hace que sea difícil para ellos obtener beneficios económicos”, explica Holland.

Ley de la Oferta y la demanda

Algunos grupos también ofrecen incentivos para nuevos talentos, como la promesa de fama y notoriedad, participación en las ganancias y gastos de viaje.

Sin embargo, la forma más activa en la que los criminales reclutan, lo más probable es que el proceso de contratación se verá comprometida. Incluso si no quedan atrapados por las autoridades, sólo el propio proceso de contratación puede proporcionar información valiosa para las organizaciones de defensa.

Esto proporciona información acerca de las habilidades y herramientas en la carta, así como también, potencialmente, sobre las industrias y organizaciones que pueden ser objetivos en un futuro próximo.

Por ejemplo, una de las razones por lo que muchos hackers utilizan herramientas y métodos de ataque simples debido a que el conjunto de habilidades de nivel de entrada son los más fáciles de encontrar.

“Esas habilidades de bajo nivel incluyen inyecciones SQL y cross-site scripting”, explicó Holland.

Y hay una lección para los defensores. “Si nos centramos en la seguridad de las aplicaciones, reducimos la huella de las inyecciones de SQL y la secuencia de comandos cross-site, puede que no eliminemos todos los ataques, pero reduciríamos la superficie de los msmos. Son las cosas más simples”, dijo.