El sentido común no nos invita a confiar en un hacker. El discurso mediático, tanto en la cobertura informativa como en la ficción, ha generado un imaginario negativo alrededor de estas figuras: criminales digitales dedicados a atacar las debilidades de los escudos de protección de bancos, administraciones y grandes empresas para enriquecerse aprovechando su conocimiento técnico. Estas figuras son bien reales, como cada vez más compañías y organismos experimentan cada día. En el mundo de la digitalización, los ciberataques están a la orden del día, pero quien los perpetra no es un hacker. En su origen, los especialistas en sistemas informáticos con estas habilidades eran juguetones –como explica el profesor de Nuclio Digital School y experto en ciberseguridad FerranJusticia, "renegados, lobos solitarios que aprendían y se divertían forzando los límites"–. Con la profesionalización, su relación con las empresas se ha estabilizado, y a pesar de trabajar de forma independiente se han convertido en una pata más del sistema de ciberseguridad integral. Si se quieren aplicar términos narrativos, son antihéroes.
"En general se denomina hacker a cualquier que haya vulnerado un sistema, pero solo se habla cuando los efectos son negativos", puntualiza MarcoGómez, director académico de 4Geeks Academy, una escuela de formación digital. En este caso, y con la plena conciencia de la relevancia de denominar las cosas, el término que asignan los expertos es el de cracker –o bien el de hacker de sombrero negro, en contraposición al de sombrero blanco–. Aquella figura, con conocimiento y especialización similares, detecta los agujeros en los sistemas para colarse; el hacker lo hace para taparlos. Gómez, de hecho, recuerda varias estrategias de expertos independientes que trabajan con los límites de los entramados de protección digital de empresas e instituciones para identificar las rendijas y debilidades; solo para, posteriormente, reportarlas a las autoridades competentes para que se solucionen. "Tenemos hackers, incluso, que son un poco filantrópicos y se dedican a notificar a las empresas de sus agujeros de seguridad", recuerda el experto de 4Geeks.
Justicia: "Los hackers no solo son capaces de identificar puntos débiles en la protección del negocio; también en su lógica interna, o en temas legales"
La diferencia entre el hacker y un técnico de ciberseguridad al uso es una de nicho. Como explica Justicia, los hackers de sombrero blanco se dedican "a acciones concretas": se trata de un técnico que, lejos de elaborar soluciones securitarias, conoce los caminos hacia las vulnerabilidades de los sistemas de protección. "Un hacker realiza ataques contra la infraestructura para identificar puntos débiles, para solucionarlos antes de que un atacante real los pueda usar para provocar una afectación a la empresa", desarrolla el profesor de Nuclio. La exigencia técnica para el perfil de hacker es, pues, mucho más alta. Donde un técnico puede conocer un puñado de modelo de defensa de datos o software, el hacker tiene que complementar los conocimientos en ciberseguridad con formación en comunicación, SO, aplicaciones o incluso psicología. Esta intrincada combinación de competencias, razona Justicia, los hace "muy valiosos para otras ramas de la ciberseguridad".
El amplio alcance de habilidades técnicas de estos perfiles los hace cruciales para las empresas en el mundo digital. Según Gómez, de hecho, entre los expertos del sector el mismo término ya implica un cierto caché. "El término hacker acaba identificándose con seniority; se trata de un experto en auditoría de sistemas" en todas las facetas del término. De hecho, en palabras de Justicia, a menudo las aportaciones de un buen hacker van mucho más allá de la ciberseguridad, y acaban posando cabeza abajo la propuesta de valor digital de las empresas. "No solo son capaces de identificar puntos débiles en la protección del negocio; también en su lógica interna, o en temas legales", argumenta el experto de Nuclio. El sector privado, así, hace una valoración alta de este talento; y los mejores del campo cada vez son más profesionales. "Se quiere aprovechar estas personas desde el mundo empresarial", concede el profesor.
¿Cuáles son los agujeros?
"La relación entre empresa y ciberseguridad irá creciendo con los años" prevé Justicia, que considera que el crecimiento y la escalabilidad de negocio son indestriables de un proceso de transformación digital que es contraproducente si no es seguro. El papel del hacker, y del técnico de seguridad en general, será algo "transversal" en la próxima década, tan común en los negocios como cualquier otro especialista tecnológico. El ecosistema, sin embargo, todavía no ha tomado conciencia, ni tampoco los usuarios. Una mayor presencia en entornos digitales "supone una mayor exposición de metainformación, o incluso de información directa" disponible para otros actores; privados, públicos y particulares, de buena y mala fe. "El diablo está en los detalles; lo primero que hay que hacer para garantizar la seguridad es cubrir lo básico", aconseja Gómez.
Gómez: "Los programas son cada vez más potentes para hacer pruebas de fuerza bruta contra nuestras cuentas, y será todavía más sencillo que un tercero acceda"
Las principales rendijas de seguridad se encuentran, según Justicia, en tres ámbitos: los servicios en linea, el almacenamiento de datos y los pagos. Desde Nuclio avisan, así, que los escudos técnicos toman especial relevancia en aquellos negocios que operan intermediando grandes transacciones económicas, por la naturaleza de sus transacciones. Desde las fintech a la gestión de criptomonedes, pasando por simples plataformas de pago en linea comi redsys o paypal, las grandes fortalezas del mundo digital se tienen que construir alrededor de estas firmas. Los sistemas de salud, por la importancia de los datos con que se trabaja; o toda aquella rama de operaciones construidas 100% en digital –el e-commerce, por ejemplo– piden especial atención en seguridad, y la tendencia es a acercarse a estos modelo, no a alejarse.
Los tipos de ataques que pueden sufrir las organizaciones que operan en digital son cada vez más diversos. Por cada sistema de seguridad hay una clave, lícita o no, pretendida o no. Uno de los más sencillos de implementar, explica Gómez, es el ataque por inhabilitación. Una variación de esta amenaza sería el ransomware, una infiltración que bloquea dispositivos, o incluso servidores enteros, y permite al atacante pedir un rescate –ransom– para liberar los servicios. También existen los ataques por inhabilitación de la infraestructura, una sobrecarga de un servidor que se logra conectando más dispositivos de los que puede gestionar. La gran tarea del hacker, en estos casos, es la de prevención: el técnico es capaz de observar si un servidor será capaz de filtrar, rebotar o aguantar las entradas no identificadas, maliciosas o excesivas; y avisar la empresa de las posibles soluciones a este agujero de seguridad.
Empieza en el móvil
Si bien los ataques sobre infraestructuras, los más complejas y con una mayor cantidad de recursos dedicados, pueden hacer un grande mal a las organizaciones, muy a menudo el error que se aprovecha no es infraestructural, sino humano. "¿Cuánta gente se levanta de su escritorio a la oficina a hacer un descanso y no bloquea el ordenador?", reflexiona Gómez. Así, a los problemas más sistèmics se añade una carencia de alfabetización digital, un aprendizaje insuficiente sobre qué es seguro y que no. "La seguridad depende primordialmente del usuario", reitera el responsable de 4Geeks.
Muchas de las exposiciones más claras venden de entornos de uso diario. Las redes sociales ofrecen un río de datos meta y directas que se pueden aprovechar por hasta maliciosos. Y según el experto, el usuario no opera para protegerse "El punto clave para la privacitat es el de toda la vida, la contraseña", explica Gómez. La inmensa mayoría de personas, pero, priorizan mecanismos mnemotécnicos sencillos, fácilmente autogenerables o deducibles, a una elección más segura. "La primera vulnerabilidad para nuestros datos la generamos nosotros", subraya el profesor, que augura un futuro con más capacidad ofensiva. "Los programas son cada vez más potentes para hacer pruebas de fuerza bruta contra nuestras cuentas, y será todavía más sencillo que un tercero acceda".