Un desconocido grupo de hackers éticos acaba de ganar 350.000 euros por encontrar vulnerabilidades en Microsoft Edge, Adobe PDF Reader y Microsoft Office 365

• La recientemente celebrada Copa Tianfu ha coronado a 360Vulcan como el mejor grupo de hackers.
• El mítico grupo de hackers descubrió durante el fin de semana vulnerabilidades en Microsoft Edge, Adobe PDF Reader, Microsoft Office 365, QEMU + Ubuntu y VMWare Workstation.
• Las empresas envían observadores a estas competiciones para descubrir los problemas de su software y desarrollar parches.
• Descubre más historias en Business Insider España.

Se suele utilizar mal el término hacker. Normalmente se asocia a la persona que se dedica a la intrusión en equipos ajenos o desactivación de sistemas de seguridad, pero en realidad los hackers son expertos en materia informática que no tienen que dedicarse a malas prácticas (piratas informáticos).

Un ejemplo de sus actividades se puede ver en los concursos de seguridad de redes y software, como la recientemente celebrada Copa Tianfu.

En este tipo de competiciones participan grupos de hackers que buscan vulnerabilidades en software conocido por todos con el objetivo de conseguir premios en metálico y ayudar a que las empresas arreglen esos fallos.

Leer más: Llama al 017 si eres víctima de un ataque informático o tienes otra emergencia en internet: nuevo teléfono gratuito de la línea de ayuda en ciberseguridadd

Vistos los resultados de la Copa Tianfu y los logros del equipo ganador, 360Vulcan, puede que muchos se den cuenta de que realmente no existe una seguridad absoluta en el software más extendido. Si estás conectado a la red, lo haces al descubierto.

Celebración de la Copa Tianfu

La Copa Tianfu es la competición de hackers celebrada en la ciudad china Chengdu donde se reúnen grupos de hackers white hat (sombrero blanco o hacker ético) para competir por piratear (o acceder) a distintos sistemas.

Es la versión china de Pwn2Own, el evento más importante de esta clase, y está patrocinado por grandes empresas del país como Alibaba, Tencent o Baidu.

Para entender la importancia del evento hay que situarse en perspectiva: el año pasado el gobierno chino prohibió a investigadores nacionales viajar a otros países para concursar. Quiere que el conocimiento de las vulnerabilidades descubiertas quede en su territorio. Aunque, según confirma ZDNet, el concurso compartió los fallos encontrados con las empresas desarrolladoras.

Esto significa que el fin de semana que dura es una oportunidad casi única para los investigadores y hackers del país. Deben mostrar todo lo que pueden hacer para ganar los 382.500 dólares de premio que se han llevado este año los ganadores.

Dos días para definir la seguridad de todo tu software

El listado de programas y aplicaciones en las que se han descubierto vulnerabilidad es más que preocupante.

Esta es una muestra del software en que se han descubierto problemas: Google Chrome, Safari, Microsoft Edge, Microsoft Office 365, Adobe PDF Reader, D-Link DIR-878 Router… Mientras, en 2018 fueron Microsoft Edge, Chrome, Safari, iOS, Xiaomi, Vivo o VirtualBox.

Leer más: El ser humano es el punto más débil de la ciberseguridad y eso supone un problema de difícil solución para las empresas

Google es una de las empresas que trata de aprovechar al máximo estos descubrimientos y desde el momento en el que alguna de sus aplicaciones aparece en el listado de explotados empieza a trabajar en el parche para solucionar la vulnerabilidad.

360Vulcan, el grupo de hackers que arrasa

Este año un equipo lideró la competición y ganó 382,500 dólares de premio: 360Vulcan.

En las dos jornadas descubrieron vulnerabilidades en Microsoft Edge, Adobe PDF Reader, Microsoft Office 365, QEMU + Ubuntu y VMWare Workstation. Se situaron en cabeza desde las primeras horas de competición y aunque cumplieron todos los pronósticos, les quedó el reto más esperado por todos, lograr explotariOS.

Pero este grupo está lejos de ser novato en las competiciones. Desde 2010 estuvo más de un lustro colaborando con Microsoft para hacer más seguro Explorer y en la Pwn2Own de 2016 logró piratear Google Chrome en 11 minutos. 

En 2016 también apareció mencionado en los agradecimientos de un parche de seguridad de Adobe Flash Payer: “Yuki Chen de Qihoo 360 Vulcan Team, que colabora en el programa de recompensas por encontrar vulnerabilidades de Chromium”.

Este equipo es una buena representación lo de que es el white hat, el lema utilizado es “Larga vida y PWN” y según dijo su líder en 2015, “el equipo está comprometido con la batalla entre el hombre y la máquina, con el objetivo de hacer de Internet un lugar más seguro”.

Los miembros de esta clase de equipos están compuestos por un heterogéneo grupo (habitualmente de varones) que rara vez duran años compitiendo. Suelen acabar contratados como asesores o desarrolladores de seguridad para multinacionales.

Internet no es tan seguro como crees

Cabe preguntarse si realmente son seguras las herramientas que utilizas. Cuando un grupo de hackers puede romper el código de un programa en cuestión de minutos significa que realmente nada de lo que guardas está realmente a salvo.

Los antivirus pueden protegerte de las intrusiones amateurs o el spyware más general, pero si un especialista se centra en tu equipo, da por hecho que seguramente estés al descubierto.

Por lo que si trabajas en un documento de especial importancia que no requiere de conexión, aísla tu equipo. Si haces un trabajo confidencial que puede ser valioso, protégete al máximo. Y si te preocupa que te observen por la cámara del ordenador porque escondes grandes secretos, tápala.