Hackers éthiques : qu'est-ce qui se passe et pourquoi représente-t-il la dernière espérance pour le secteur financier

Les citations récentes sont pour beaucoup d'élocuentes et prouvent l'un des grands mâles qui padecen millions d'entreprises del sector financiero, inmersas en el proceso de transformación digital : los cibertaques a compañías, institutions et organismes internationaux FinTech (cualquiera sea su volumen, tamaño, sector, alcance y envergadura) son una de las principales amenazas globales, qui recrudecera dans les prochaines années.

Le récent informer sur les braquages ​​de banque modernes (Attaques bancaires modernes), appelé L'escalade : du braquage au détournement, de l'habitation à la destruction (La escalada : del atraco al secuestro, de la morada a la destrucción), incluye las conclusionses y reportes de 130 dirigeants en sécurité financière et directeurs de sécurité de l'information (CISO) de tout le monde. La quinta edición de cette prestigieuse enquête, réalisée par la firma global VMware (fournisseur de services multiples dans le monde pour des décennies de multinationales, y compris la sécurité et la prévention du cyberterrorisme) soutient que le 63% De ces institutions financières esparcidas por la planète ont supporté une augmentation des attaques destructrices de cet an, qui représentent un 17% de plus Que l'année dernière.

El 74% d'esos líderes en matière de sécurité financière, on admet qu'on subit une ou plusieurs attaques de rançongiciel, cyberdélinquance organisée et attaques destructrices en 2022, et 63% de ces victimes payer la rescate, là cual se désaconseja, parce que fomenta l'incrémento de ce type de délits.

Par ailleurs, j'ai également admis que le 51 % de nos institutions financières llevan a cabo persecuciones de amenazas semanazas en la actualidad. Mais ces esfuerzos pas d'alcanzan… Par conséquent, la majorité des consultants de l’étude planifient d’augmenter la présupposée de sécurité entre un 20 et 30% para el próximo ejercicio, así como designar la detección y respuesta extendida como su prioridad principal en la inversión de seguridad. En ese rubro de 'gastos' en materia de detección y prevención, ya han incluido en la cima de su listado a los nuevos jugadores estrella del tablero cibernético mundial : los gurús de 'sombrero blanco', que pueden ser la última esperanza contra el peligro. A continuación, explicamos quiénes son ya qué se dedican :

'Superhéroes' al rescate : caros… pero cada vez más necesarios

Précisément, a la hora de destinar enormes erogaciones de dinero para extremar las precauciones contra las bandas plus sophistiqué de piratería informática, ha surgido una opción cada vez más extendida por las cúpulas de las organizaciones financieras internacionales : contratar los servicios de los llamados 'hackers éthiques'. 

Al escucharlo o leerlo, el solo término 'hacker' probablement générique rechazo pour l'immense majorité des mortels qui vivent connectés et dépendent de la technologie. Mais aussi le foin (et chaque fois que tu es plus) le 'hackers buenos' que se visten de superheroes y se ganan la vida rescatando à miles de firmas des archienemigos qui intègrent les fils du lado obscur, dans la bataille ardue que chaque jour se balance dans le ciberespacio. C'est clair que ce n'est pas gratuit ni pour l'amour de l'art…

En réalité, les lamas hackers sont éticos à eux ciberexpertos que se dedican a detectar grietas, fallas, limbes, agujeros negros o vulnérabilités dans les structures technologiques des entreprises. De cette façon, alerter rapidement a sus máximos responsables (antes de que actúen los 'malos') y ofrecen estrategias certeras para evitar los 'cibergolpes'… siempre un paso delante de que puedan concretarse.

De este modo, contribuyen así a mejorar considerablemente la ciberseguridad de las empresas. Segun LinkedIn, este tipo de especialistas en cyberseguridad occupant le top 10 des employés más buscados en la actualidad en pays como Espagne, États-Unis, Royaume-Uni et Belgique, par citar solo algunos. Eso sí, como son tan necesarios y ultraespecializados, suelen ser beaucoup de caros. L'importation moyenne qu'exigent vos services dans la situation entre les trois types de professionnels STEM avec une rétribution salariale majeure, sur tout ce qui a lieu plus de trois ans d'expérience.

En fonction de l'ampleur des erreurs détectées, vous pouvez recevoir entre 50 et ¡250.000 euros ! por dos horas de trabajo. Les médias sont d'entre 10.000 et 15.000 por una labour bastante frecuente para ellos, como por ejemplo un Contrefaçon de requête côté serveur, que es la prevención o el freno a un ataque externo para acceder a los datos internos de una compañía. En cualquier caso, los montos dépendent également du volume et du tamaño de las compañías que les contraten.

Freelances ou en nom, mais légal

Hay divers modos de contratar 'hackers éticos'. Si bien existe cada vez más los que forman parte de las plantillas en blanc de las empresas, los más prestigiosos y afamados suelen trabajar como indépendants y trabajan por “projets”. Así es como llaman a sus labores de manera formal ("proyectos" ou "tareas") mais internamente dans la jerga les llaman « récompenses ».

C'est ce qui précède, ce qui ne figure pas dans le nom des grandes entreprises, car elles détectent des vulnérabilités pour leur compte dans la structure technologique des espèces financières très grandes du monde. Alors, se convierten en sus partenaires, temporales o relativamente estables : se comunican con los directorios de las compañías, les advierten sobre los entornos endebles qui pourrait déclencher une attaque imminente, proposer la solution et cobran des millions pour aveugler avant le crime.

Les joueurs que van por libres y prefieren actuar de ese modo (sin atarse al staff de manera fija de una organización, porque multiplican sus ingresos con la modalidad 'multicliente') en inglés son conocidos como pirate informatique o bouteurs de bogues, que en espagnol se traduit comme moi cazarrecompensas o buscadores de errores en internet -bug significa error en francés-.

Pour citer un seul exemple, le hacker ético argentin Santiago Lopez il s'est converti en millionnaire il y a trois ans, quand il a eu 19 ans, il a découvert jusqu'à 1.600 erreurs informatiques en firmas que le llegaron a pagar hasta un millions de dollars por sus 'alertes'. Algunas fueron gigantes de Wall Street. Confesó en varias oportunidades que comenzó a aprender su especialidad viendo tutoriales en internet, pero rápidamente se convirtió en uno de los expertos plus demandés por compañías que acuden desesperadas a un espacio donde habitan virtualmente los 'hackers buenos': la plate-forme HackerOne.

Se définir comme "una plataforma de coordination des vulnérabilités y recompensas de errores que conecta a las empresas con investigateurs de ciberseguridad” y es una de las más consolidadas en la materia del mundo. Actúa como un intermédiaire entre prouve ou cliente.

Il n'y a pas de gens qui pensent que ce type de professionnels en réalité peut agir comme extorsionnaires ou chantajistas encubiertos. Quienes adhieren a ce corriente sospechan que los bogue bounters que informen a las compañías sobre las debilidades de sus sistemas y no reciban el dinero pretendido a cambio de sus 'escudos' pueden actuar en consecuencia.

Pero no hay nada más alejado de ello. Solo hay un requisito fondamental que définir une éthique de los hackers : ma légalité. Le hacker professionnel aide toujours les clients à changer de rétribution salariale, mais leur identité, leur procédure et leur mécanisme de cobro son conocidos et transparentes, une différence de los piratas que actúan en las sombras. Évidemment, habrá algunos que pasen de héroes a villanos en sus trabajos, pero precisamente espacios como HackerOne intentionan garantizar que eso no ocurra.

Les attaques les plus habituelles dans le secteur financier qui visent à empêcher les pirates informatiques

Según la investigation Le rapport 2022 sur la résistance aux attaques, de HackerOne, parmi les dernières stratégies de cyberdélinquance qui sont en train de se développer dans les supports technologiques de géants bancaires ou économiques, peut le Exécution de code à distance (una forma de acceder a todo el servidor, oa todos los datos del servidor por medio de la terminal de una empresa), o el llamado ataque Injection SQL, qui accède directement à la base de données de la compagnie.

El ransomware le logiciel qui séquestre et cifra des informations sur l'objet de la réparation de la victime pour qu'elle puisse accéder à nouveau à ces données encryptées, c'est-à-dire classique des classiques aujourd'hui dans le panorama de la ciberdelincuencia. Ce type d'attaques a augmenté de façon exponentielle la main de distribution de kits contenant ce type de malware, listes pour être utilisés, que vous pouvez acheter dans la Darknet (l'obscur internet).

Aussi destacan las herramientas de acceso remoto (RAT) qui aide les cybercriminels à contrôler les systèmes concernés. Ces outils permettent aux attaques de continuer dans l'entreprise et d'établir un service d'essai pour faire d'autres attaques. Le robot de ressources des services nus utilisant les attaques de cryptojacking es otra de las tendencias al auge. Y l'infection des équipements informatiques a través de las actualizaciones de software (malware) y los asaltos al software de las cadenas de suministros y correos electrónicos corporativos completean el listado. Contra todo ello y mucho más luchan los pirates informatiques, en un scénario tan dinámico como escalofriante, en évolution permanente.

Parce que le secteur financier est l’un des plus codiciados

Le secteur financier est un de ceux-là plus codés y está en la mira permanente de los ciberdelincuentes. Les informations confidentielles sont réservées à tous marchés économiques. Les criminels le savent. Dos de cada tres lideres des interviewés pour le centre-ville informent Modern Bank Heists et ont lancé des attaques orientées vers la connaissance des stratégies de marché, et un de chaque mois indiquait que les données du marché étaient l'objet principal des ciberataques dans vos institutions financières.

Les ciberdelincuentes buscan est un type d'information qui, également, peut affecter le prix des actions. De plus, ces informations peuvent être utilisées pour faire un retour sur le marché, entre autres motifs.

El Enquête sur la confiance numérique 2022, informe réalisé par la consultora internacional PwC destaca que -de media-, cada ciberataque le ha costado a una empresa pequeña €75.000 dans le monde. En 2021, onu 53% de pymes Il y a un type de cybersécurité et des responsables de la cybersécurité et de hauts dirigeants de 66 pays qui ont conclu que les attaques cibernétiques ont été effectuées par un registraire. numéros d'enregistrement Quand je suis arrivé à cette année, j'ai arrêté l'article 'Ciberriesgos, el gran desafío de las pymes', de Mapfré.

Las amenazas, évidemment, también se trasladan al 'universo cripto'. El Réseau de lutte contre les crimes financiers, la oficina del Tesoro de EE. UU. qui recopie et analyse les transactions en argent pour lutter contre le lavage des capitaux, le financement du terrorisme et les délits financiers, dans l'une de ses dernières enquêtes dénonçant que seul entre le mois d'avril et le mois de juin le passage de l'année a été identifié le plus 5,2 billions de dollars (4.500 millions d'euros) en transactions avec des bitcoins “potentiellement vinculadas a pagos por rançongiciel ». C'est ce que c'est, par exemple, pour les pages de la demande de récupération, afin de garantir la sécurité des données.

Pour tout cela, si vous dirigez une entreprise financière, vous avez une entreprise ou un entrepreneur. il ne faut pas s'en apercevoir un instant : si votre entreprise a aujourd'hui une des rares fortunes qui sont libres des ambassades de la cyberdélinquance, elles sont vraiment réelles. je peux sufrirlo en un abrir y cerrar de ojos. Entonces, tenga a mano y en agenda el mejor antídoto : vaya llamando un hacker ético. Como dirian las abuelas, siempre es mejor prevenir que curar…

PAR SEBASTIAN FERNÁNDEZ