El método de Google para evitar hackeos en su plataforma

Parisa Tabriz, VP de Google Chrome y cabeza del "Project Zero" de la firma.

"Para detener a un hacker debes pensar como él" es la premisa de la empresa, que acaba de lanzar "Hacking Google", serie documental que revela cómo la compañía ha reforzado desde distintas veredas sus protocolos de seguridad y alertas de ciberataques, entregando incluso recompensas a quienes les adviertan del peligro. Una de las líderes de estos equipos, Parisa Tabriz -VP de Google Chrome- revela aquí algunas estrategias.


La denominada Operación Aurora -hackeo masivo a grandes empresas que ocurrió en 2009- tuvo entre sus blancos a a Juniper, Adobe, Yahoo y Morgan Stanley; en total, fueron más de 30 firmas las que vieron expuestos sus datos y los de sus usuarios. Entre ellas, el gigante Google.

Desde ese episodio, la seguridad en las distintas secciones de esta empresa se ha encumbrado. Así lo cuenta Parisa Tabriz -vicepresidenta de Google Chrome- en una rueda de prensa para hablar de este arduo trabajo que ha sido retratado también en la serie documental “Hacking Google”, que se acaba de liberar por YouTube.

“Hace unos 15 años, nuestro equipo de seguridad ya era grande en comparación al resto de Google y, como compañía de información, nuestra confianza depende de que la gente crea en Google y que la empresa realmente esté protegiendo nuestros datos, que puedan estar seguros”, comenta, desde California, Parisa Tabriz a Piensa Digital.

En estos años, los equipos correspondientes han crecido mucho, cuenta la experta. Ella ahora está en el área de Google Chrome, pero trabaja de forma muy cercana con los equipos de Seguridad y Privacidad. Y son “cientos de cientos de personas” las que están enfocadas en la seguridad de productos, pero también de la corporativa. “Es una gran central de seguridad”, describe Tabriz.

Google recibió su mayor ataque cibernético en 2009. Lo dieron a conocer en enero siguiente. Diversos profesionales de todo el mundo fueron convocados para solucionar rápidamente el ataque.

Tal como señala en reiteradas ocasiones en su serie documental, la compañía comenzó a aplicar con cada vez más fuerza el principio de que “la única forma de detener a un hacker, es pensar como ellos”. De hecho, el capítulo “cero” de la producción está dedicado a hablar de la Operación Aurora de 2009. Google sufrió el ataque en diciembre de ese año y los ejecutivos de la compañía pasaron duras semanas tratando de resolver cómo expulsar al atacante y desde dónde provenía el ataque.

Fueron jornadas de angustia, de desvelo e incluso de navidades empañadas. Así lo relatan en la producción quienes protagonizaron la “defensiva” de ese momento.

Para la segunda semana de enero de 2010, la empresa dio a conocer el ataque y compartieron con los otros afectados sobre qué sucedió con ellos. El rastro los llevó hacia una organización en China, siguiendo las huellas en los nombres de ciertos archivos que produjeron el ataque.

La tarea del “Project Zero”

En ese entonces, el ataque fue generado a través de un documento por Internet Explorer. Para evitar que se replicara, la compañía comenzó con una arremetida de seguridad en múltiples áreas. Hoy existen diversos equipos monitoreando secciones como la detección y respuesta ante vulnerabilidades y ataques. También hay un Red Team, el encargado de hackear Google para descifrar posibles amenazas y actuales peligros. Están, además, los Bug Hunters, que son los cazadores de errores, y el Project Zero, que también lidera Parisa Tabriz. En pocas palabras, es un equipo de especialistas hackers dedicados a buscar que el internet y su navegación sea segura, para así reducir los ataques que se puedan producir en la red.

Tabriz, Oriunda de Chicago, se llama a ella misma “Hacker Princess”, apelativo que decidió incluir en su tarjeta de presentación. A la ejecutiva le parecía aburrido ser solo ingeniera informática. De chica siempre jugó con sus hermanos e hizo cuanto pudo, así que planteó no haberse sentido como “una princesa tradicional”. Hoy en día dice: “Fue un punto de orgullo que alguien trabajando en ciberseguridad pueda ser también una princesa”.

En el capítulo 5 de "Hacking Google", Parisa Tabriz explica cómo funciona su "Project Zero".

“Es un punto de orgullo para mí inspirar a las futuras generaciones, particularmente a las niñas y mujeres, para que trabajen en ciberseguridad, porque cuando yo crecí había muy pocos modelos como yo”, cuenta la líder del equipo de hackers, respecto a la brecha de género que existe en la industria STEM, particularmente en el área de ciberseguridad. Eso sí, en el episodio 5, que es el dedicado al Project Zero, ella misma dice que no se reconoce como una hacker, sino como alguien que ahora los administra.

Según una investigación realizada por la compañía, para 2023 prevén un daño superior a unos US$30 mil millones producidos por ransomware y, al menos para prevenir cualquier afectación a través de sus plataformas, han buscado reforzar las medidas de seguridad.

En 2021, la empresa lanzó un programa de recompensa pensado en hackers que estuvieran centrados en identificar puntos débiles o vulnerabilidades que existieran en la red o plataformas de la firma. El resultado mostró el entusiasmo con el que se recibió esta iniciativa, comenta Tabriz. Hubo 696 recompensas para investigadores provenientes de 61 países. Sumado a eso, se reportaron unos 500 errores de seguridad y se entregaron bonos totales de US$8.7 millones. Todo con tal de incrementar la seguridad de navegación para los usuarios.

El futuro de las credenciales

“La mitad de los trabajadores pasan la mayoría de su día trabajando frente a un navegador, y eso tiene que ver con el trabajo trasladado hacia la nube”, plantea la ejecutiva, líder de Google Chrome. Teniendo eso en vistas, urge también que los cibernautas usen responsablemente estas herramientas y, al mismo tiempo, estas sean capaces de entregar la seguridad necesaria.

Para solucionar la abundancia de credenciales y contraseñas, Google presentó Passkeys, una herramienta que busca solucionar ese conflicto.

Uno de los puntos que confluyen al respecto es el trabajo que Google ha realizado con su generador de contraseñas y administrador, para entregar también mejores sistemas de resguardo de credenciales a los usuarios. Teniendo en cuenta que cada vez se incrementa más el número de plataformas y que eso exige también un mejor y mayor manejo de passwords, se necesita también un sistema que almacene de forma eficiente las claves.

Pensando en eso mismo, la empresa lanzó hace unas semanas las Passkeys, que, básicamente, son el primer paso del “futuro sin contraseñas”. Esto al menos para Android y Chrome. A través datos biométricos, los cibernautas podrán utilizar cualquiera de sus credenciales almacenadas, sin necesitar ingresar la contraseña. Con esto se acortan los peligros de que las propias claves sean “descubiertas” o tener que memorizar extensos números o combinaciones que, en ocasiones, llevan a los usuarios a resetear sus accesos.

Comenta

Por favor, inicia sesión en La Tercera para acceder a los comentarios.

Cecilia Schröder, gerenta general de Sercotec; Matías González, gerente de Claro negocios, y la emprendedora Barbarita Lara analizaron todas las posibilidades que se abren para los emprendedores durante este encuentro organizado por el Ministerio de Economía.