La máxima motivación de los hackers éticos no es el dinero
- Seguridad Inteligente
El informe de HackerOne de 2018 detalla las motivaciones éticas de los hackers, los ingresos, la demografía, los antecedentes educativos y otras cuestiones. También señala por qué algunos hackers de sombrero blanco no informan sobre las vulnerabilidades.
El Informe Hacker 2018 está realizado por HackerOne, una comunidad de ciberseguridad impulsada por hackers. Cuenta con más de 166.000 hackers registrados en total, más de 72.000 vulnerabilidades válidas han sido enviadas, y la plataforma ha pagado más de 23,5 millones de dólares en recompensas.
Del resumen ejecutivo del informe 2018 Hacker se concluye que "Internet se vuelve más seguro cada vez que se encuentra y repara una vulnerabilidad". Esto es lo que hacen los hackers / investigadores de seguridad en HackerOne: encuentran problemas potenciales y los denuncian a las organizaciones afectadas para que se eliminen los problemas antes de que puedan ser explotados por los malos actores.
"Todos los días, los hackers demuestran el poder de la comunidad al informar miles de vulnerabilidades a compañías y agencias gubernamentales para hacer que Internet sea más segura para todos nosotros", asegura Marten Mickos, CEO de HackerOne. "Estamos impresionados por las habilidades, la pasión y la integridad de las personas expuestas en este informe. El trabajo de la comunidad de hackers éticos está reduciendo significativamente el riesgo de infracciones de seguridad".
Hallazgos del Informe Hacker de 2018
Los autores del Informe 2018 Hacker encuestaron a 1.698 encuestados (más que cualquier año anterior), y lo que encontraron es interesante.
En promedio, los hackers / investigadores que más ganan tiene 2,7 veces el salario medio de un ingeniero de software en su país de origen.
El dinero es una de las razones principales por las que los cazadores de recompensas de errores hacen su trabajo, pero ha caído del primer al cuarto lugar. La mayoría de los participantes dicen que su motivación es la oportunidad de aprender consejos y técnicas. La segunda razón más popular se dividió equitativamente entre "ser desafiado" y "divertirse".
Más del 35% de los participantes consideran que hackear vulnerabilidades es un pasatiempo. De los encuestados, el 12% tiene un ingreso anual de bonificaciones de errores de 20.000 dólares o más, con un 3% que dice ganar más de 100.000 dólares por año y un 1% que gana más de 350.000 al año.
India (23%) y los EE. UU. (20%) son los dos países principales representados en el grupo de encuesta.
Más de la mitad de los encuestados estudió ciencias de la computación a nivel de pregrado o posgrado, con 26% estudiando informática en la escuela secundaria.
Casi todos los miembros de la comunidad HackerOne son menores de 35 años, con una mayoría (45%) entre 18 y 24 años.
El tres por ciento de los encuestados identificaron "presumir" como una razón para hackear. Esto plantea la pregunta de cómo empresas como HackerOne demuestran su valor. ¿Cómo muestran que realmente están haciendo una diferencia? Los analistas de HackerOne clasifican los informes de vulnerabilidad en los siguientes grupos de señales.
Señal clara: los informes de vulnerabilidad se cierran como "resueltos". Esto significa que el problema fue un error de seguridad válido que fue resuelto por el equipo de respuesta de vulnerabilidad.
Señal nominal: estos informes están cerrados y marcados como "no se corregirá" o duplicados de problemas resueltos. Aunque no contribuyen a una señal clara, muchos de estos informes fueron técnicamente precisos en función de la mejor información disponible para el investigador.
El Informe Hacker menciona los programas de bonificación de errores de GitHub, Facebook y Google anuncian tasas de señal de 4%, 5% y 7%, respectivamente. El informe señala que el porcentaje de señal clara de base de HackerOne es del 42%.
No todas las empresas aceptan la piratería ética
El informe de HackerOne afirma que, a pesar de que la piratería ética es cada vez más aceptada por las empresas, aún existen importantes obstáculos. "El noventa y cuatro por ciento de Forbes Global 2000 no tiene una política de divulgación de vulnerabilidad publicada", explica el informe. "Como resultado, casi uno de cada cuatro piratas informáticos no ha informado sobre una vulnerabilidad que encontraron porque la empresa no tenía un canal para divulgarla".
Dicho esto, el informe ofrece esperanza y menciona: "El 72% de los hackers encuestados informaron que las empresas están cada vez más abiertas a recibir vulnerabilidades".
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.