Crédito: Cortesía de DARPA.

El verano pasado, el Pentágono organizó una competición en Las Vegas (EEUU) en la que unos potentes ordenadores pasaron 12 horas intentando hackearse unos a otros para hacerse con un botín de dos millones de dólares (unos 1,85 millones de euros). Ahora Mayhem, el software que ganó, ha empezado a usar sus aptitudes de hacker para trabajar en el mundo real.

Mayhem fue creado por la start-up de seguridad ForAllSecure, cofundada por el profesor de la Universidad de Carnegie Mellon David Brumley y dos de sus alumnos doctorales. Brumley explica que lo están usando para encontrar y arreglar errores automáticamente en determinados tipos de software comercial, incluido el de dispositivos de internet como routers. 

Están realizando pruebas con unos socios que de momento mantienen en secreto, pero entre los que se sabe que hay un fabricante de dispositivos de internet. El objetivo es comprobar si Mayhem puede ayudar a las empresas a identificar y solucionar vulnerabilidades en sus productos con mayor rapidez y de forma más completa. El enfoque pretende abordar el reto al que se enfrentan las empresas, que deben dedicar recursos considerables al mantenimiento de productos existentes con nuevas actualizaciones de seguridad. A finales del año pasado, unos hackers utilizaron una botnet masiva de dispositivos comprometidos, como cámaras, para deshabilitar páginas web como Reddit y Twitter.

"Ahora cuando una máquina está comprometida, pasan días o semanas hasta que alguien se de cuenta, y después se tardan días o semanas hasta que se lanza un parche [para solucionarlo], algo que incluso puede no llegar a ocurrir", señala Brumley. El responsable continúa: "Imagínate un futuro en el que cuando un hacker logra aprovecharse de una vulnerabilidad solo pueda hacerlo en una máquina porque después esa vulnerabilidad esté arreglada".

El año pasado, Brumley publicó los resultados de unas pruebas en las que alimentó algunas de las técnicas que Mayhem usa con casi 2.000 imágenes de firmware de router. Más del 40%, 89 productos distintos, tenían al menos una vulnerabilidad. El software encontró 14 vulnerabilidades desconocidas que afectaban a 69 desarrollos de software. ForAllSecure también está colaborando con el Departamento de Defensa de Estados Unidos para pensar qué usos podría tener Mayhem en el mundo real para encontrar y arreglar vulnerabilidades. 

La competición Gran Ciberreto que el programa ganó el año pasado fue organizada por la agencia DARPA del Pentágono con el objetivo de impulsar las investigaciones basadas en la idea de automatizar parte del trabajo de los expertos en ciberseguridad. Los equipos presentaron programas de software que tenían que aplicar parches y proteger a una colección de software de servidor mientras también identificaban y explotaban vulnerabilidades de los programas protegidos por sus rivales. (DARPA ha afirmado que fomentar el desarrollo de la tecnología de manera abierta y transparente fomentará a que se usen para defender y no para atacar).

El profesor de la Universidad de California en Santa Bárbara (EEUU) Giovanni Vigna asegura que los esfuerzos de hacer un uso práctico de las técnicas de la batalla de los bots de DARPA son importantes. Pero dice que soñar con hackers automatizados que limpien todas las vulnerabilidades de seguridad del mundo no es realista, puesto que los humanos aún tendrán que supervisar su trabajo. 

Vinga detalla: "Digamos que tienes una empresa de routers. No querrás desplegar un parche que carezca de garantías de calidad y podría deshabilitar todos los dispositivos de la empresa". El experto lideró el equipo cuyo software MechanicalPhish logró el tercer puesto en la competición de DARPA del verano pasado. El software ha sido publicado en formato de fuente abierta para que otros experimenten con él.

Brumley reconoce ese problema. Mucha gente, incluido el Gobierno de EEUU, prefiere tener "un humano implicado" en lugar de permitir que el software automatizado tome las riendas, afirma.

El responsable concluye: "No estoy en contra de eso, pero creo que ralentiza el proceso". Por eso espera que cuando demuestre su utilidad se le permita trabajar con menos supervisión humana.