El Departamento de Seguridad Nacional de Estados Unidos anunció un nuevo programa en el que pagará a hackers externos para encontrar vulnerabilidades en sus sistemas informáticos, un tipo de incentivo popular en la industria de la ciberseguridad que se conoce como una ‘recompensa por errores’.
El secretario del DHS, Alejandro Mayorkas, dio a conocer el programa ‘Hack DHS’. A diferencia de muchas recompensas por errores, que están abiertas a cualquier persona, el DHS incluiría solo a investigadores de ciberseguridad examinados que hayan sido invitados a acceder a determinados sistemas externos de DHS.
Cualquier vulnerabilidad que encuentren se solucionará y los investigadores serán recompensados con premios económicos.
‘El programa Hack DHS incentiva a los piratas informáticos altamente calificados a identificar las debilidades de la seguridad cibernética en nuestros sistemas antes de que puedan ser explotadas por los malos actores’, explicó Mayorkas.
Este tipo de programas permiten a las empresas proteger mejor sus productos y a los investigadores de ciberseguridad a ganar dinero identificando las debilidades en las tecnologías y redes de las empresas.
Mayorkas dijo que la agencia pagaría recompensas de 500 a 5,000 dólares por cada vulnerabilidad verificada. Google, por ejemplo, en 2020 pagó 6.7 millones en recompensas por errores, siendo el premio individual más alto 132,500 dólares.
El DHS planea verificar cualquier vulnerabilidad reportada dentro de las 48 horas y reparar o desarrollar un plan para remediarlas dentro de los 15 días, dijo Mayorkas. ‘Realmente estamos invirtiendo una gran cantidad de dinero, así como atención y enfoque en este programa’, dijo.
Con respecto a los ataques de ransomware, que involucran a los piratas informáticos que bloquean los sistemas informáticos de las víctimas y exigen un pago para desbloquearlos, Mayorkas dijo que la agencia vio cómo se cuadruplicaron tales incidentes a principios de 2021, pero que algunos de los grupos de piratas informáticos más prolíficos parecen haber retrocedido por el momento.
Una razón puede ser la intensificación de las respuestas de EU y otros países a tales ataques, que incluyeron una serie de arrestos en noviembre contra presuntos miembros de un grupo de ransomware vinculado a Rusia comúnmente conocido como REvil o Sodinokibi y sanciones contra entidades de criptomonedas que están acusados de habilitar los hackeos.