Su nombre tiene muchas connotaciones, pero pocas personas pensarán en ninguna buena. Para muchos el hacker, o pirata informático, es solo el ciberdelincuente que se adentra en un sistema ajeno con un objetivo malicioso, ya sea el sabotaje, el espionaje industrial, la extorsión o el robo de datos. Una figura oscura frente a la que surge otra completamente opuesta: la del hacker ético (o ciberexperto), que, si bien imita la conducta de aquel, lo hace más bien con el propósito de detectar vulnerabilidades en una infraestructura tecnológica y contribuir así a mejorar la ciberseguridad de las empresas. Unos expertos cuya demanda sigue creciendo: según LinkedIn, los especialistas en ciberseguridad fueron el quinto empleo más buscado en 2020, lo que supuso un crecimiento del 60 % con respecto al año anterior. “Es una de las tres profesiones STEM con mayor retribución salarial, sobre todo cuando se tienen dos o tres años de experiencia. Y se estima, además, que el 84 % de las empresas españolas incrementará su inversión en ciberseguridad en los próximos tres años”, explica Víctor Portal, profesor en la Escuela de Ciberseguridad de IMF x Deloitte.
Los delitos informáticos, desgraciadamente, están de moda, y los datos lo corroboran: en 2021, se produjeron solo en España una media de 40.000 ciberataques diarios (un 125 % más que en 2020), según un informe de la empresa de seguridad en la nube Datos101, y PwC estima que este tipo de crímenes aumentará un 10 % adicional a lo largo de 2022. Pero ¿qué tipo de ataques son los más comunes? “Quizá la mayor amenaza, a día de hoy, sea el ransomware, un tipo de extorsión que por medio de un virus informático cifra los archivos de la víctima para que sean inaccesibles, y a continuación pide un rescate para recuperar el acceso”, explica Portal. Pero la casuística, en la vida real, puede ser muy variada, como cuando una empresa adquiere otra y ha de integrar ambos sistemas informáticos, lo que potencialmente amplía las posibilidades de un ciberataque.
“En una situación como esta, los hackers éticos someten las defensas a una prueba de estrés e identifican las vulnerabilidades en seguridad”, cuenta Laurie Mercer, senior manager de la empresa de ciberseguridad HackerOne. “Por ejemplo, cuando adquirimos PullRequest, inmediatamente sometimos sus activos a la comunidad de hackers, y en 48 horas recibimos casi dos docenas de avisos, lo que permitió a nuestros clientes rectificar las fallas”.
¿Quién puede ser ‘hacker’ ético?
Lo cierto es que no existe un perfil único. Tradicionalmente, los expertos en este ámbito se han tenido que adaptar con la misma rapidez que demandan las amenazas que surgen continuamente, lo que hace que haya un gran componente de autodidactismo. Muchos hackers éticos tienen un grado en Ciencias de la Computación (37 %) y un 20 % posee conocimientos a nivel de posgrado, según el 2021 Hacker Report. “La comunidad hacker tiene habilidades muy diferenciadas. Uno de nuestros mejores ciberexpertos es un médico de familia holandés; otro trabaja en una sucursal bancaria de Nairobi, en Egipto; y por supuesto hay muy buenos profesionales en Latinoamérica y en España, como Santiago López, el joven argentino de 19 años que se convirtió en el primer ciberexperto millonario de la plataforma de HackerOne”, esgrime Mercer.
En otras palabras: no es estrictamente necesario pasar por un grado en Informática, aunque por supuesto se requiere una cierta base técnica para poder afrontar con éxito este tipo de desafíos. También es posible reciclarse en esta área completando un máster de posgrado específico en ciberseguridad, donde se enseñen las técnicas y conocimientos necesarios para convertirse en hacker; o recurrir a formaciones intensivas (bootcamps) o especializadas en hacking como el Experto Analista en Auditoría de Sistemas y Redes. En cualquier caso, si te interesan las Matemáticas, la Ingeniería, las Ciencias, los lenguajes de programación “o el ir descubriendo el qué, quién y cuándo de cada uno de los ataques que puedan producirse en una organización, puedes optar por esta rama de la ciberseguridad”, argumenta Portal. Existen, además, recursos gratuitos como los de Hacker101, donde aquellos interesados pueden convertirse en hackers éticos gracias a videolecciones, guías y acceso a un chat donde pueden contactar con toda una comunidad de estudiantes.
Más allá de los conocimientos puramente académicos, “un buen hacker debe tener una inquietud verdadera por entender cómo funciona realmente la tecnología por dentro; que sea una persona resolutiva e inventiva; que no se rinda fácilmente ante las adversidades y que persista en su empeño por resolver los problemas técnicos que se va a ir encontrando”, añade. No en vano son profesionales que pasan frente a la pantalla del ordenador un elevado número de horas, antes de resolver los retos y desafíos que les colocan por delante o incluso los que ellos mismos se ponen. “Pero también debes ser una persona autodidacta e inquieta, que se haga (y haga) muchas preguntas y que busque exprimir al máximo sus conocimientos sobre un tema en particular” afirman desde IMF. Las motivaciones también varían: si bien es cierto que tres de cada cuatro ciberexpertos lo hacen por la remuneración económica que obtienen, un 85 % quiere también aprender y continuar desarrollando sus habilidades, y a casi la mitad le mueve un deseo de hacer el bien, protegiendo y defendiendo tanto a empresas como a ciudadanos frente a las ciberamenazas.
Trabajar como ciberexperto
El objetivo final es siempre el mismo: detectar las posibles vulnerabilidades en un sistema informático antes de que un atacante pueda aprovecharlas para causar un daño real, y dar a su vez las recomendaciones necesarias para corregirlas. Una labor que, más allá del trabajo del hacker, necesita del enfoque adecuado por parte de la empresa porque, como señalan desde Deloitte, la seguridad al 100 % no existe. De hecho, las organizaciones empresariales se enfrentan hoy a una brecha significativa entre lo que pueden defender y lo que necesitan defender (la llamada “brecha de resistencia al ataque”), de acuerdo al informe 2022 Attack Resistance Report de HackerOne. Por eso, “aunque no sea fácil, debemos buscar el equilibrio entre ambos extremos. Las empresas deben concentrarse en lo que necesitan defender, que son los aspectos críticos de su negocio: en unos casos será su web (comercio electrónico) y en otros la información que manejan (como las consultoras o los bufetes de abogados)”, remacha Portal.
La labor de estos hackers éticos puede concretarse de muchas maneras. En las pruebas de penetración (o pentests), un número reducido de personas examina, por un tiempo determinado, los activos informáticos de una empresa, buscando fisuras y vulnerabilidades; mientras que en el bug bounty, por el contrario, la prueba se hace pública a una escala mucho mayor, a través de una plataforma que hace de intermediaria entre miles de hackers éticos y la organización propietaria del activo (por lo que aumentan las posibilidades de encontrar fallos de seguridad). “Lo que normalmente se hace es combinar ambos enfoques, empezando por la prueba de penetración y pasando, una vez solucionados los problemas encontrados, al bug bounty”, explica Portal. Además, en estos programas, se paga por cada vulnerabilidad reportada, en función de su nivel de criticidad. Y luego están los llamados honey pots, que son sistemas intencionadamente vulnerables y conectados a internet para atraer a ciberdelincuentes y observar así su conducta.
‘Hackeo’ con cobertura legal
La adopción, por parte de las organizaciones empresariales, de los programas de bug bounty ha hecho que se haya ido reduciendo el número de casos en los que hackers éticos con buenas intenciones reportaban fallos de seguridad y recibían una denuncia en vez de una recompensa, ya que tienen acceso a plataformas donde realizar su trabajo y además estar cubiertos legalmente. “Nosotros tuvimos conocimiento, por parte de las Fuerzas y Cuerpos de Seguridad del Estado, de la actividad de un hacker en instalaciones de alto valor estratégico nacional (centrales nucleares, presas, depuradoras de agua…) que solía comunicar vulnerabilidades y que, pese a abrirse una investigación para su identificación, nunca fue localizado”, comenta Jesús Pascual López, director del bufete Abogado Amigo. Aunque, añade, “en España tenemos la asignatura pendiente de fomentar la colaboración de estos profesionales con las fuerzas de orden público. Se debe regular la figura del investigador o auditor de seguridad”.
Muchos de los ciberexpertos que han asesorado desde sus oficinas lo han sido en el marco de un procedimiento penal por delitos de revelación de secretos, allanamiento informático u otros daños. Pero también han ayudado a muchos profesionales de la seguridad en la preparación de contratos de servicios que plasmaran con claridad los protocolos de actuación para trabajar con seguridad jurídica. “Un hacker debe tener asesoramiento jurídico continuo, y contar con contratos adecuados en los que no solo se determinen los servicios a prestar, sino las autorizaciones y las asunciones de responsabilidad por los daños que puedan producirse”.
Estar debidamente autorizado, pues, debería ser la base de actuación para cualquier hacker ético. No obstante, sostiene López, se trata de líneas que en la práctica son más difíciles de delimitar: “Si, por ejemplo, una persona es usuaria de un servicio tecnológico, ¿está debidamente autorizada para auditar y someter a verificación la seguridad que afirma tener?”, se pregunta el letrado. “Y, por otro lado, para que exista intrusión es necesario que existan “medidas de seguridad establecidas”. Pero ¿qué sucede cuando estas no se corresponden con el nivel de riesgo de un sistema? ¿Se considera acceso el simple hecho de traspasar una medida de seguridad o es necesario actuar sobre el sistema de alguna manera?”
FORMACIÓN EL PAÍS en Twitter y Facebook
Suscríbase a la newsletter de Formación de EL PAÍS