Giro de la Suerte: Programación Divina - Capítulo 108

108: Capítulo 108: Identificación del objetivo 108: Capítulo 108: Identificación del objetivo Antes de iniciar cualquier prueba de penetración u operación de hacking ético, su primer paso es definir el alcance y el objetivo.

Necesitaba identificar con claridad lo que estaba probando, ya fuera una aplicación web, una red, una aplicación móvil o una API.

También era crucial entender qué estaba fuera de los límites, para evitar violaciones legales o éticas.

Así que el primer paso fue identificar su objetivo, y esto es lo que encontró.

Estas eran algunas de las plataformas más grandes de su mundo, cada una operada por una gran empresa o entidad corporativa.

YouTube, que sigue siendo una potencia mundial en contenido de video, con más de 2300 millones de usuarios únicos mensuales.

Aunque su valoración oficial de mercado no se ha revelado, los analistas estiman que contribuye con más de 500 000 millones de dólares al ecosistema global de Alphabet.

Luego estaba SocialHub, la plataforma que ya había planeado atacar.

Era la red social dominante en el mundo, reemplazando de manera efectiva lo que Facebook fue en su día en esta Tierra alternativa.

Con más de 6000 millones de descargas y una asombrosa valoración de mercado de 2 billones de dólares, SocialHub estaba integrada en casi todos los sistemas modernos, desde la mensajería hasta la identidad digital.

SalaEco, es una plataforma de debate por voz en tiempo real, a menudo utilizada para debates políticos y asambleas comunitarias.

Tiene 1100 millones de usuarios activos diarios y está valorada actualmente en 27 900 millones de dólares.

Gramlight, es una plataforma social centrada en la fotografía que prospera en el Sudeste y las Naciones Orientales.

Con 1400 millones de usuarios activos y un ecosistema de rápido crecimiento, su capitalización de mercado se sitúa en 16 200 millones de dólares.

Reddit, cuenta con 1700 millones de colaboradores en todo el mundo.

Su sistema único basado en tokens hace que su valoración fluctúe, situándose actualmente en torno a los 9300 millones de dólares.

Luego X, con 430 millones de usuarios activos mensuales, X sigue moldeando el discurso público.

Aunque su valoración oficial es confidencial, los expertos creen que supera los 90 000 millones de dólares en valor total de marca.

Le sigue LinkedIn, un centro global para profesionales que se ha expandido rápidamente con el aumento de la población.

Ahora cuenta con más de 520 millones de usuarios registrados y una valoración de aproximadamente 41 700 millones de dólares.

Le sigue Instagram, que fue adquirido por SocialHub en 2012 por lo que ahora se considerarían 2000 millones de dólares.

Instagram prospera con más de 380 millones de usuarios activos mensuales, integrado en la Suite de SocialHub.

Por último está OndaEnlace, que parece ser una alternativa a Tumblr para blogueros, artistas y narradores.

OndaEnlace ha superado los 740 millones de usuarios activos con una valoración de mercado de 3500 millones de dólares, y es especialmente popular entre los creadores de contenido virtual.

Esto era lo que había averiguado sobre los datos de sus usuarios basándose en las últimas cifras y su valoración de mercado hasta este mes.

Como necesitaba dinero para comprar su sueño, planeaba actuar en el momento en que le pagaran.

Por eso eligió ir a por la empresa con más dinero y con la capacidad de pagarle inmediatamente sin retrasos ni complicaciones innecesarias.

Así que eligió SocialHub, ya que tenía el mayor número de usuarios y la mayor valoración de mercado de todas las plataformas.

Solo basándose en el valor, SocialHub estaba en la cima de la cadena alimenticia.

Con eso en mente, decidió buscar un trabajo relacionado con ello, uno que pudiera generar dinero de verdad.

…

[TABLÓN DE RECOMPENSAS DE SOCIALHUB]
Programa Oficial de Divulgación de Vulnerabilidades
«Ayúdanos a proteger la plataforma más grande del mundo».

Resumen: SocialHub da la bienvenida a los investigadores de seguridad para que prueben e informen de vulnerabilidades en nuestros productos principales.

Cada envío válido será recompensado en función de la gravedad y el impacto del problema descubierto.

Las recompensas se pagan por vulnerabilidad y se escalan en función del riesgo.

Alcance: (NOTA: El alcance después del guion es la explicación del autor)
Aplicación Web de SocialHub: la versión principal del sitio web que usas en los navegadores.

SocialHub para Android e iOS: las aplicaciones móviles oficiales para teléfonos y tabletas.

Sistema de Mensajería y Notificaciones de SocialHub: el sistema de chat, bandeja de entrada, alertas y notificaciones push.

Servicios de Identidad e Inicio de Sesión de SocialHub: todo lo relacionado con el inicio de sesión de la cuenta, el registro, el restablecimiento de contraseña y la autenticación.

API de SocialHub v3 y v4: las conexiones de backend utilizadas por las aplicaciones y servicios para comunicarse con SocialHub.

Motor de Grafos y Exportación de Datos de SocialHub: la parte que gestiona las redes de amigos, los seguidores, las conexiones y la exportación de datos de usuario.

Las Reglas de Enfrentamiento son las siguientes:
Evita atacar a usuarios o cuentas reales, abstente de usar escáneres automatizados o herramientas de denegación de servicio, asegúrate de probar solo con tus propias cuentas de prueba y respeta siempre nuestros límites de frecuencia y protecciones de limitación.

…

Luego, se desplazó por el Portal de Recompensas de SocialHub.

Cada error listado venía con una etiqueta de precio, convirtiendo la página entera en un mercado del mundo real donde los fallos de seguridad se trataban como moneda.

Entonces vio que un simple XSS reflejado podía generar lo suficiente para comprar cualquier cosa: teléfonos, ropa y más.

¿Pero algo serio como la toma de control de una cuenta mediante el encadenamiento de tokens caducados?

Solo eso empieza en cincuenta mil dólares, como mínimo.

El nivel de gravedad de las vulnerabilidades variaba junto con sus rangos de recompensa, como se mostraba claramente en la pantalla frente a él.

Los problemas de baja gravedad, como los ataques de manipulación de la interfaz de usuario (UI redress), como el clickjacking, y las redirecciones abiertas, ofrecían recompensas de entre 100 y 500 dólares.

Los problemas de gravedad media, incluidos los XSS reflejados y las redirecciones de autenticación inadecuadas, se recompensan con entre 500 y 3000 dólares.

Las vulnerabilidades de alta gravedad, como los XSS almacenados y los IDOR (que implican el acceso no autorizado a los datos de otro usuario), pueden obtener recompensas de entre 3000 y 10 000 dólares.

Finalmente, las vulnerabilidades críticas, como las tomas de control de cuentas, la ejecución remota de código (RCE) o la omisión de la autenticación multifactor (MFA), otorgan recompensas desde 10 000 hasta 75 000 dólares o más.

…

Quizás te preguntes por qué una empresa tan masiva como esta sigue manteniendo programas públicos de recompensas por errores, aun teniendo su propio equipo de desarrolladores.

Hay una razón muy sencilla para ello.

Y es que los equipos de seguridad internos, incluso los de élite, no pueden detectarlo todo.

Por eso las grandes empresas suelen emplear a una variedad de profesionales de seguridad internos para proteger sus sistemas y datos.

Estos incluyen a Ingenieros de Seguridad, Ingenieros de Seguridad de Aplicaciones (AppSec), Probadores de Penetración, Especialistas del Equipo Rojo (Red Team) e Ingenieros de Software con un enfoque en la codificación segura.

Estos expertos son responsables de revisar, probar y auditar el código antes de su lanzamiento, garantizando su robustez y reduciendo las vulnerabilidades.

Además, utilizan escáneres automatizados, fuzzers y analizadores de código para identificar y solucionar problemas de seguridad en las primeras fases del proceso de desarrollo.

Pero incluso con equipos de seguridad robustos, ¿cómo es posible que se cuelen errores?

La respuesta sencilla es que estas plataformas tienen bases de código masivas, que a menudo abarcan millones de líneas, lo que hace casi imposible detectar todos los fallos.

Los lanzamientos frecuentes y rápidos de nuevas funcionalidades se centran en la velocidad, a menudo a costa de comprobaciones de errores en profundidad.

Además de eso, las integraciones complejas como las API, los plugins, OAuth y las aplicaciones móviles expanden la superficie de riesgo del sistema.

Por último, los hackers abordan los problemas con una mentalidad creativa, pensando de formas que los desarrolladores a menudo no prevén.

Esta es la razón principal por la que existen los programas de recompensas por errores.

Empresas como Meta, Microsoft, Manzana, TikTok, Twitter, Uber y Google permiten que los hackers éticos pongan a prueba sus sistemas, ofreciendo recompensas sustanciales por cualquier vulnerabilidad que encuentren y reporten.

Esta estrategia crea una red de seguridad colaborativa sin necesidad de ampliar sus equipos internos.

Ni siquiera es raro que hackers individuales ganen más de 500 000 dólares por descubrir errores críticos en una sola plataforma.

Dado que ya había configurado un entorno seguro, que era EIDOLUX.

Ya se había asegurado de que no hubiera exposición de su identidad real al depender de cuentas falsas, correos electrónicos desechables y múltiples cadenas de proxy.

Pero no era suficiente.

…

Nota del autor:
Al leer todo eso, sí, parece que ser un hacker o un programador es dinero fácil.

Pero en realidad, no lo es en absoluto.

Es agotador mentalmente, estresante y está lleno de interminables horas de prueba, error y una profunda frustración.

Incluso yo solo puedo crear juegos básicos o una simple calculadora, que es lo más bajo de la escala 🙁
…

1.º: ¡Un agradecimiento especial a «Essos👑», la CABRA del mes, tanto por los generosos regalos como por los boletos dorados!

¡Mucho amor, hermano!

2.º: ¡Muchas gracias a «Pat_funding👑» por el apoyo incondicional desde el mismísimo comienzo de mi viaje y por los boletos dorados y los regalos!

3.º: ¡Un saludo especial para «Devon1234👑», la misma CABRA de este mes, por todos los increíbles regalos!

¡Eres absolutamente GENIAL!

Fuente: Webnovel.com, actualizado en Leernovelas.com