Si bien nadie quiere que sus compañías y negocios sean hackeadas hay cientos de empresas de la lista Fortune 500 que contratan a Reuven Aronashvili y su equipo en CYE para ingresar a sus servidores presuntamente seguros.
CYE, con oficinas en Herzliya, es un emprendimiento basado en la experiencia del “equipo rojo” que Aronashvili desarrolló en las Fuerzas de Defensa de Israel, donde estableció el centro militar para el cifrado y la ciberseguridad.
Los llamados “equipos rojos” hackean computadoras para buscar y encontrar vulnerabilidades mientras que los “equipos azules” defienden la infraestructura de una empresa una vez que se identifica un ataque.
En 2012 nació CYE -acrónimo de “ojo cibernético”, que hoy emplea a 70 “piratas informáticos éticos” que usan su software patentado, Hyver.
Un equipo rojo de CYE puede tardar entre tres minutos y tres semanas en tomar el control completo de una organización. “Nuestro enfoque es ser lo más realista posible y por eso no pedimos que nos incluyan en la lista blanca. Imitamos al enemigo sin hacer sentir las consecuencias. Si se trata de un banco, transferiremos 100 millones de dólares de su cuenta a la nuestra para demostrarle que pirateos de ese tipo son posibles en la realidad más allá de la teoría”, le contó Aronashvili a ISRAEL21c.
Eso sí, los clientes financieros no deben preocuparse porque CYE siempre devuelve el dinero.
En general, las vulnerabilidades se presentan cuando una configuración incorrecta de software abre una puerta accidental que debe cerrarse. Una vez que CYE está adentro, el equipo rojo trabaja con sus clientes para construir defensas que se puedan usar para garantizar que no ocurra el mismo ataque con hackers reales.
Múltiples vulnerabilidades
Los piratas informáticos suelen jugar a largo plazo y pueden irrumpir en la red de una empresa sin impacientarse.
“Si la información es robada y publicada en la Dark Net, la situación es muy mala. Trabajamos fuerte para asegurarnos de que el tiempo de respuesta sea mínimo”, indicó Aronashvili.
CYE no hace una demostración de hackeo para sus clientes pero trabaja con sus equipos de IT para mitigar los problemas.
“Supongamos que hallamos 50 vulnerabilidades diferentes en una organización y nosotros sabemos que el presupuesto no puede abordar más de 10. En ese escenario determinamos cuáles son los más importantes y creamos un gráfico de ataque mientras buscamos los cuellos de botella, los lugares por los que los hackers tienen que pasar, y esos serán los primeros elementos que desconectaremos”, describió Aronashvili.
Incluso las grandes organizaciones no tienen el tiempo ni el personal para arreglarlo todo. En ese sentido, Aronashvili estimó que entre el 20 y el 50 por ciento de las vulnerabilidades identificadas serán corregidas.
Clientes VIP identificados
CYE tiene clientes de distintos tamaños aunque la mayoría son grandes multinacionales. Es por ello que Aronashvili no tiene libertad para nombrarlos.
Sin embargo, el especialista informático contó que en un banco grande, el equipo rojo de CYE pudo identificar a clientes, incluidas familias reales prominentes, primeros ministros y otras personalidades importantes.
Y que extrajeron contratos, patentes y propiedad intelectual.
“Eliminamos sus nombres y solo usamos su número de identificación de cliente, luego mostramos cómo podíamos violar la privacidad de esos VIP”, detalló Aronashvili.
Si este ataque hubiera sido real, habría sido un desastre tal como lo que le ocurrió a Shirbit, una gran compañía de seguros israelí que fue pirateada en diciembre de 2020.
Los hackers retuvieron el rescate de los datos de los clientes de Shirbit, la compañía se negó a pagar y la Dirección Nacional Cibernética de Israel aconsejó a las víctimas del ataque que solicitaran nuevas tarjetas de identidad y licencias de conducir.
Aronashvili indicó que el hackeo a Shirbit fue relativamente simple.
“Asumimos que cualquier compañía puede verse comprometida, luego evaluamos las consecuencias. Incluso si la primera fase se ve enredada, podemos asegurarnos de que se minimice el impacto”, explicó el “hacker bueno”.
El software Hyver usa análisis predictivos para calcular el riesgo y determinar dónde es probable que ocurra el próximo ataque.
Las vulnerabilidades se muestran en un mapa de los servidores y puntos de acceso de una empresa.
Hay otros hackeos con los que CYE ha “pirateado” a sus clientes: conseguir acceso a la red eléctrica de una gran ciudad, manipular sistemas sensibles dentro de un hospital importante, anular los ajustes de temperatura de un fabricante de chocolate o apagar la refrigeración en un productor farmacéutico global.
Esto último es de particular preocupación en estos días, ya que las vacunas Pfizer y Moderna contra el COVID-19 deben almacenarse a temperaturas muy frías.
Inversión de 100 millones de dólares
Durante la pandemia, los ciberataques no han hecho más que aumentar. “Mucha gente aburrida en sus casa empieza a jugar con estas cosas. Es muy fácil ir a la Dark Net, pagar 20 dólares y tener una capacidad de ataque totalmente equipada o contratar ransomware como servicio”, explicó Aronashvili.
Esta dramática tendencia representa una excelente oportunidad para que el equipo rojo de CYE se embarque en aventuras más extremas.
La compañía de Aronashvili tiene ingresos anuales de alrededor de 100 millones de dólares y recientemente recaudó otros 100 millones en una ronda liderada por la firma de inversión global EQT.
El financiamiento incluyó al inversionista existente 83North.
Durante la primera media década de existencia de la empresa, todo se trató de operaciones manuales. Pero en 2018 CYE lanzó Hyver, que presentó un enfoque híbrido humano-software.
“Con el debido respeto a la tecnología, esta aún no llega al nivel del cerebro humano”, señaló Aronashvili.
Ser hackeado, incluso si se ha solicitado, no es barato. “Tenemos una prima muy cara, casi 10 veces más que otros productos de defensa”, contó Aronashvili.
Los precios del negocio basado en la suscripción a CYE oscilan entre decenas de miles y millones de dólares. Eso no impidió que cientos de organizaciones y gobiernos que figuran en la lista Fortune 500, recurran a la empresa (a veces mientras ya están siendo atacados).
“El director ejecutivo de una empresa debe asumir que en algún momento de la vida de una organización esta será atacada, sus proveedores serán atacados y sus empleados quedarán expuestos”, concluyó Aronashvili.
Para más información, clic aquí.
Fuente: ISRAEL21c