El ejército de EEUU te invita a que intentes hackearlo... y además paga por ello

Durante tres semanas, un estimado de 500 hackers podrá atacar distintas páginas web del ejército de Estados Unidos, como parte de un plan del mismo gobierno para evaluar las vulnerabilidades de sus sistemas internos. Y no sólo eso, sino que a cambio de hackear el sistema se ofrecerán "decenas de miles de dólares" en efectivo a través del programa llamado Hack the Army.

Pagarle a los hackers para que ayuden a detectar fallas no es algo nuevo. Los programas Bug Bounty son una práctica de rigor para gigantes de Silicon Valley como Facebook, Google, Microsoft y más recientemente Apple, lo cual les ayuda a encontrar debilidades que los desarrolladores internos nunca podrían detectar. Sin embargo, sí es algo nuevo para el ejército de los Estados Unidos, y es también un paso importante hacia lo desconocido.

El ejército está buscando tecnologías y personas que puedan irrumpir en las redes computacionales a las que no deberían tener acceso, dijo Eric Fanning, Secretario del Ejército, cuando anunció el programa.

We're offering $ to hackers who find vulnerabilities in select Army sites | Register for 'Hack the Army' bug bounty: — Eric Fanning (@SECARMY)21 de noviembre de 2016

Hack the Army es la última expansión de un programa lanzado a principios de este año que anima a los hackers —algunos sin antecedentes penales y que cuentan con número de seguridad social— a atacar el sistema en línea del ejército antes de que lo hagan individuos malintencionados o gobierno hostiles.

El ejército de Estados Unidos fue pionero en el ramo con su primer programa Bug Bounty, llamado Hack the Pentagon, el cual se llevó a cabo en abril y mayo. La primera incursión involucró a unos 1.400 hackers, quienes descubrieron 138 puntos vulnerables y recibieron 71.200 dólares del Departamento de Defensa. El costo total del programa fue de 150.000 dólares. Contratar a una empresa externa para realizar evaluaciones similares habría costado un millón de dólares, informó el gobierno.

Alex Rice, director de tecnología de HackerOne y anterior director de seguridad de producto de Facebook, dijo que el programa inaugural fue "bastante exitoso", y añadió que invitar a que los hackers ataquen los sistemas ayudará a mejorar la seguridad:

"No importa quienes son tus adversarios, definitivamente estás mejorando tu inseguridad cuando le pides a una comunidad hacker que juegue con tus sistemas", dijo Rice a VICE News.

La decisión surge sólo una semana después de que la Marina de los Estados Unidos anunciara que los datos personales y número de seguridad social de 134.386 soldados en servicio y retirados se vieron comprometidos cuando unos hackers accedieron a una laptop que era usada por una empresa subcontratada por la Marina. Ese incidente sólo es parte de una serie de violaciones de seguridad al gobierno en años recientes, incluyendo el robo de más de 20 millones de registros de la Oficina de Gestión de Personal y el hackeo del servidor del Comité Democrático Nacional el mes de octubre.

Los hackers involucrados en el programa no tendrán acceso a sistemas críticos, como controles de navegación para drones o redes sensibles de comunicación del ejército.

Sin embargo, existen algunos riesgos en trabajar con hackers.

"Nunca sabes bien con quien trabajas. No puedes estar seguro de estar trabajando con alguien de sombrero blanco o negro", explicó en una entrevista el año pasado Gus Anagnos, anterior jefe de programas Bug Bounty en PayPal y actual empleado de Synack.

El Departamento de Defensa planea emplear solamente hackers que superen las pruebas de seguridad y los chequeos de antecedentes penales. Pero algunos en la industria dicen que eso no daría los mejores resultados: varios expertos afirman que esos filtros podrían dejar fuera a muchos de los mejores talentos.

Un gran inconveniente es el riesgo de que los hackers rechazados encuentren vulnerabilidades y decidan vender esa información en otras partes. No son pocos los interesados en conocer los puntos débiles de los sitios del gobierno o en obtener bases de datos.

Otro problema potencial: si el programa no está funcionando adecuadamente, los hackers participantes podrían volverse en contra. Esto mismo le sucedió a Facebook en 2013, cuando un hacker intentó informar a la empresa sobre un punto vulnerable a través de su programa de Bug Bounty. Al ser rechazado, el pirata cibernético procedió a hackear el perfil de Mark Zuckerberg.

Luckily, all the hackers who can't pass a background check will stop hacking the pentagon because they want to follow the rules.

— Charlie Miller (@0xcharlie)31 de marzo de 2016

Pero al menos el gobierno se está esforzando, y lanzar un programa de este tipo demuestra su voluntad de cambiar de actitud.

"La disposición que tiene el gobierno para dejarse hackear ha cambiado", dijo en abril Lisa Wisell, quien trabaja en el servicio digital del Departamento de Defensa. "Muchos en el gobierno ahora son más humildes que antes, y están empezando a reconocer que necesitan ayuda".

Sigue a VICE News en español en Twitter: @VICENewsES