Un software recurre al hackeo para reforzar la seguridad de las webs

Los ataques cibernéticos están a la orden del día, normalmente con intenciones maliciosas. Cada vez son más las organizaciones en el punto de mira de estos delincuentes informáticos, por lo que conocer al enemigo puede ser la única forma de mantenerse a salvo. Esa es la premisa que ha llevado a dos antiguos alumnos del Instituto Tecnológico de Massachusetts (MIT), en Estados Unidos, a poner en marcha la startup Tinfoil Security, con la que han demostrado que se le puede dar un buen uso a la piratería, precisamente para mejorar la seguridad.

Según explica el MIT en un comunicado, Michael Borohovski y Ainsley Braun crearon la empresa cansados de ver su propia información en riesgo en Internet. A través de ella han comercializado un software de análisis que utiliza trucos propios de ataques virtuales para encontrar vulnerabilidades en sitios web, alertando a desarrolladores e ingenieros para su arreglo antes de que la página esté activa, informa Tendencias 21.

«Nuestro objetivo principal es garantizar la seguridad en Internet,« destaca Braun, directora general de Tinfoil y graduada en el programa de Ciencias cognitivas y cerebrales del MIT. Por su parte, Borohovski, un curtido pirata informático, se especializó en seguridad web en su tesis de grado, encargándose ahora de la dirección tecnológica de la firma.

Después de graduarse, cada uno trabajó por separado en temas de seguridad. Sin embargo, volvieron a coincidir en Washington, donde empezaron a "pescar"vulnerabilidades en páginas web que solicitan datos personales, para después notificarlas a los administradores del sitio. En poco tiempo pasaron de hacerlo por afición a recibir ofertas de trabajo. "Si la gente quería contratarnos es que había una necesidad", recuerda Borohovski.

Así, de regreso a Boston, los dos jóvenes fundaron Tinfoil con la ayuda del Venture Mentoring Service (VMS) del MIT, un servicio de asesoramiento para convertir ideas en negocios. La empresa ha crecido rápidamente desde su fundación en 2011, consiguiendo ese mismo año el MassChallenge que premia las mejores startups.

Desde entonces, miles de pequeñas y medianas empresas, e incluso varias compañías importantes están utilizando el software. De entre ellas, según los datos publicados en su propia web, alrededor del 75 por ciento de las páginas analizadas tienen algún tipo de riesgo. En concreto, señalan que el software ha alcanzado más de 450.000 vulnerabilidades hasta ahora.

Técnicas de hacker

Los creadores se han centrado en crear un producto simple, usable y que garantice la seguridad del mercado. Al igual que Google, el software funciona mediante el rastreo de sitios web. «Pero en lugar de buscar texto o imágenes, buscamos cualquier sitio por donde podamos introducir código para explotar vulnerabilidades», matiza Braun.

En concreto, la herramienta recurre a técnicas idénticas a las utilizadas por hackers externos. «No tenemos acceso al código fuente o cualquier otra cosa a la que un hacker externo no tendría acceso. Simplemente vamos a cada punto de entrada posible para tratar de ver si existe vulnerabilidad», explica Borohovski.

Hasta ahora la herramienta dispone de las tácticas necesarias para identificar cerca de 50 vulnerabilidades, incluyendo la lista de los 10 principales riesgos del Open Web Application Security Project (OWASP), organización que actualiza cada tres años los problemas de seguridad más críticos en aplicaciones web. Por cada vulnerabilidad descubierta, el software puede realizar de diez a cientos de pruebas. Sin contar con las continuas actualizaciones a las que se somete a medida que se descubren nuevos riesgos y ataques.

Uno de los riesgos más comunes son las cookies inseguras, que contienen información personal. Por ejemplo, si alguien inicia sesión en un sitio web desde un espacio público a través de WiFi, es posible que un hacker robe alguna cookie para hacerse pasar por el usuario. Otra vulnerabilidad popular es la que permite a los hackers introducir código arbitrario en un sitio web para causar estragos.

En todos estos casos, el desarrollador ve una descripción de tales vulnerabilidades –incluyendo la ubicación y el impacto en la web-, así como las instrucciones para arreglarlo mediante parches u otros medios, adaptadas a los lenguajes de programación específicos.

Poder a los desarrolladores

Aunque los software de análisis existen desde la década pasada, la novedad de Tinfoil es su orientación hacia los desarrolladores, de forma que puedan corregir las vulnerabilidades como parte de su trabajo y, de esta forma, agilizar el proceso de seguridad.

«Cualquier gran empresa puede tener 1.000 desarrolladores y un equipo de seguridad mucho más pequeño, de una docena o incluso llegar hasta un centenar en casos contados», lamenta Borohovski. De ahí la utilidad de su software.

Esto es especialmente importante en la actualidad, ya que las webs se someten a cambios constantes. Cada línea de código ajustada abre la posibilidad de nuevas vulnerabilidades, creando problemas de mantenimiento para los equipos de seguridad. «Con Tinfoil se puede pasar parte de ese trabajo a los desarrolladores», matiza su directora.

La startup nació en el seno del MIT, del que ha recibido gran apoyo. En primera instancia a través del VMS, que jugó un papel fundamental para el despegue de la empresa e, incluso aún hoy, sigue prestando sus servicios de orientación.

Pero los creadores de Tinfoil están muy agradecidos al MIT en general. «Allá donde fuera había gente trabajando, y no podía evitar interesarme por lo que hacían. No he sido capaz de encontrar esa mentalidad intensiva en ningún otro sitio», recuerda Borohovski. Quizás por eso el ochenta por ciento de su empresa son alumnos del MIT. «Supongo que estamos tratando de recrear nuestro propio pequeño MIT", asevera.

Más información en la web Tendencias 21