Los foros de la web oscura ahora albergan currículums. No de delincuentes experimentados, sino de adolescentes y profesionales tecnológicos recientemente contratados.
Al mismo tiempo, la escasez mundial de mano de obra en ciberseguridad sigue siendo grave. ISC2 estima que existe una brecha de 4,8 millones de profesionales de la ciberseguridad en todo el mundo.
El artículo continúa a continuación.
Efectos primarios y vías del ciberdelito
Las habilidades que adquirí cuando era adolescente, guiadas por mentores y una sólida base moral, determinaron en última instancia el camino que tomaría en ciberseguridad. Mi curiosidad fue alimentada por profesionales de la industria, una oportunidad que no todos tienen. Sin ese apoyo, mi trayectoria podría haber sido muy diferente.
Las estadísticas de la NCA dicen: el ciberdelincuente promedio tiene ahora solo 17 años, y la edad promedio a la que se les remite a un equipo de prevención de delitos cibernéticos es 15. Se ha sorprendido a niños de tan solo nueve años realizando ataques DDoS.
Empieza poco a poco: código de chat, apropiación de cuentas o ataques DDoS a jugadores rivales. A un niño lo prohiben (a veces injustamente) y se venga. Otros miran y aprenden con trucos que se difunden rápidamente a través de servidores de Discord y foros privados.
Cada exploit exitoso baja el listón para el siguiente. La emoción del logro, combinada con la validación de los compañeros, convierte los pequeños cruces de límites en comportamientos rutinarios. La sensibilidad aumenta lentamente y luego se acelera repentinamente.
El dinero no es el principal motivador para los jóvenes hackers desde el principio. NCA descubrió que la reputación y el estatus dentro de su comunidad en línea eran lo más importante. Cuando los incentivos financieros se vuelven importantes, los hábitos y la lealtad ya están formados.
Construimos este problema de tubería
Creemos que los jóvenes curiosos y técnicamente capacitados encontrarán su camino hacia carreras legítimas en seguridad. Creemos que el sistema de certificación y el proceso de contratación captarán a las personas adecuadas.
Esa creencia, para decirlo sin rodeos, está fracasando. Medir y evaluar el riesgo es una parte importante de mi trabajo. Constantemente me pregunto: ¿en qué sistemas y procesos confiamos realmente y qué sucede cuando esa confianza falla? Las mismas habilidades que hacen que alguien sea valioso para los equipos de seguridad lo hacen también valioso para las organizaciones criminales.
La diferencia a menudo se reduce a qué oportunidad llega primero. En este punto, los actores de amenazas aparecen antes y con mejores ofertas.
pagar a la gente
Los reclutadores criminales entienden una cosa: los jóvenes con habilidades técnicas necesitan dinero. Los profesionales desplazados necesitan dinero.
Donde las empresas establecen requisitos laborales enfatizando las certificaciones y títulos y diseñan procesos de contratación para candidatos de entornos tradicionales. Como resultado, ignoran a toda una generación de personas talentosas porque no saben cómo llegar a ellos, ni siquiera cómo comunicarse con ellos.
Los programas de tutoría proporcionados y las oportunidades tempranas cambian la ecuación. Se necesitan profesionales de seguridad con experiencia, incluidos piratas informáticos éticos, para orientar a los adolescentes a través de un plan de estudios estructurado.
Empiece temprano, en la adolescencia, cuando las habilidades se están desarrollando y las trayectorias profesionales no están definidas. Asociarse con escuelas para incorporar estos programas directamente en la educación. Pagar también a los aprendices, de modo que el trabajo legítimo compita con las ofertas ilegítimas.
No es caridad. Esta es una estrategia de reclutamiento.
¿Por qué los hackers en particular?
La ingeniería social y el phishing siguen siendo los principales métodos que utilizan los actores de amenazas para violar las organizaciones. Para defenderse de los atacantes se necesitan personas que piensen como atacantes. Esa mentalidad no proviene de los libros de texto.
Los piratas informáticos éticos que han dedicado su carrera a investigar sistemas comprenden cómo operan los actores de amenazas. Ellos conocen los trucos. Saben psicología. Saben qué defensas realmente resisten bajo presión y cuáles lucen bien en las presentaciones.
Un plan de estudios diseñado por quienes han trabajado –legalmente– transfiere conocimientos prácticos que la educación tradicional no tiene. También les indica a los jóvenes que sus habilidades no convencionales tienen un valor legítimo.
Lo que obtenemos de esto
Incorporar la tutoría en los programas escolares y las asociaciones industriales logra dos cosas:
Esto lo convierte en una alternativa viable al reclutamiento criminal. Cuando un adolescente técnicamente capacitado tiene un camino claro hacia un trabajo legítimo y remunerado, las ofertas de trabajo de la web oscura pierden atractivo.
También crea defensores que aprenden rompiendo cosas. Necesitamos personas que entiendan cómo fallan los sistemas, no sólo cómo funcionan.
El tiempo, los consejos y las oportunidades suelen separar a un investigador de seguridad de un ciberdelincuente. La existencia de esta fuente de talento no está bajo nuestro control; Sin embargo, tenemos la posibilidad de determinar en qué dirección se mueve.
Las empresas criminales no funcionan lentamente
Cada mes que retrasamos la creación de nuestra cartera de talentos, las empresas criminales las llenan. No requieren certificación ni título. Conocen a personas con talento allí donde están y les ofrecen trabajo y asesoramiento.
Podemos hacer lo mismo. Pague a piratas informáticos experimentados para que enseñen. Pagar para que los jóvenes aprendan. Crear un plan de estudios que transfiera habilidades reales.
O siga publicando requisitos laborales que filtren exactamente a las personas que necesitamos. Las habilidades existen.
Dónde acaben, depende de nosotros.
Hemos presentado los mejores programas de aprendizaje en línea.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
