La seguridad en Internet es un tema complejo. Hay quien defiende que cualquier sistema electrónico es susceptible de ser vulnerado y, en nuestros días, con la amplia cantidad de elementos electrónicos que nos rodean y la mayoría de ellos conectados a Internet, esta afirmación cobra una relevancia adicional.
Aunque en un primer momento no seamos conscientes de ello, son muchos los dispositivos de nuestra vida cotidiana que pueden estar conectados a Internet, a día de hoy no solo ordenadores y smartphones, sino televisores, aparatos de aire acondicionado, frigoríficos, lavadoras y un largo etcétera pueden estar conectados a la red.
Existen quienes aprovechan las posibles vulnerabilidades de estos dispositivos para su propio beneficio, obtener datos privados con la intención de realizar chantaje o venderlos al mejor postor, pero también hay quien trabaja de forma legal buscando brechas de seguridad: son los llamados «Bug Hunter». Este término podríamos traducirlo como «buscador de brechas de seguridad». El perfil de un Bug Hunter es un perfil profesional de experto en ciberseguridad, que busca vulnerabilidades en sistemas y después las notifica a las empresas encargadas de su creación o gestión, para que las resuelvan. Aunque en la mayoría de casos se trata un trabajo que no ha sido previamente solicitado, estas notificaciones suelen ser bien recibidas por las empresas, pues evitan que alguien realmente malintencionado pueda aprovechar dicha vulnerabilidad para fines delictivos. Muchas grandes tecnológicas disponen de programas de recompensas (Bug Bounty Programs), mediante los cuales se acuerdan recompensas para este tipo de profesionales, según el tipo de vulnerabilidades detectadas.
Referente a este tema, hoy nos gustaría dar visibilidad en el mundo hispanohablante a Touseef Gul, un Bug Hunter, investigador y divulgador, especializado en ciberseguridad web. Parte de su trabajo consiste en localizar vulnerabilidades en las aplicaciones web (webs corporativas, tiendas online y demás aplicaciones web) que puedan dejar al descubierto datos internos importantes (datos de clientes, transacciones u otros). Son varios los medios que se han hecho eco de su trabajo a lo largo de los años. En ZDnet.com (una prestigiosa web de noticias para el sector IT) podemos encontrar un artículo en el que se habla sobre una vulnerabilidad descubierta por Touseef Gul en la herramienta de seguridad web de GoDaddy, una de las principales empresas de hosting y dominios de nivel mundial. Hace unos meses fue entrevistado por un medio italiano (versión en inglés), en donde explica alguno de los pormenores de su profesión.
Tal y como Touseef Gul ha explicado en algunas ocasiones, parte de su trabajo se basa únicamente en realizar pruebas que cualquiera podría hacer haciendo uso exclusivamente de un navegador web (evidentemente con los conocimientos apropiados). Malas prácticas de programación, o simplemente casos de uso no contemplados de algunas aplicaciones web, pueden dejar en entredicho la seguridad y permitir a alguien obtener información privada.
Las consecuencias de no cuidar la seguridad en una web son siempre negativas, es por ello que desde Dusnic, junto con profesionales como Touseef Gul, queremos ofrecer un servicio de auditoría de seguridad web, que ayude a mejorar la seguridad en las aplicaciones web.