De profesi¨®n, ¡®hacker¡¯ ¨¦tico

Su nombre tiene muchas connotaciones, pero pocas personas pensar¨¢n en ninguna buena. Para muchos el hacker, o pirata inform¨¢tico, es solo el ciberdelincuente que se adentra en un sistema ajeno con un objetivo malicioso, ya sea el sabotaje, el espionaje industrial, la extorsi¨®n o el robo de datos. Una figura oscura frente a la que surge otra completamente opuesta: la del hacker ¨¦tico (o ciberexperto), que, si bien imita la conducta de aquel, lo hace m¨¢s bien con el prop¨®sito de detectar vulnerabilidades en una infraestructura tecnol¨®gica y contribuir as¨ª a mejorar la ciberseguridad de las empresas. As¨ª, los expertos en ciberseguridad siguen figurando entre los profesionales digitales m¨¢s demandados por las empresas, y es una de las tres profesiones STEM con mayor retribuci¨®n salarial, sobre todo cuando se tienen dos o tres a?os de experiencia.

Los delitos inform¨¢ticos, desgraciadamente, est¨¢n de moda, y los datos lo corroboran: en 2023, la cibercriminalidad aument¨® un 25,5%, hasta el punto de representar casi el 20 % de todas las infracciones penales (2.459.659) que se produjeron en Espa?a: es decir, 470.388 correspondieron a ciberdelitos, siempre seg¨²n las cifras aportadas por el Ministerio del Interior. Pero ?qu¨¦ tipo de ataques son los m¨¢s comunes? ¡°Quiz¨¢ la mayor amenaza, a d¨ªa de hoy, sea el ransomware, un tipo de extorsi¨®n que por medio de un virus inform¨¢tico cifra los archivos de la v¨ªctima para que sean inaccesibles, y a continuaci¨®n pide un rescate para recuperar el acceso¡±, explica V¨ªctor Portal, profesor en la Escuela de Ciberseguridad de IMF x Deloitte. Pero la casu¨ªstica, en la vida real, puede ser muy variada, como cuando una empresa adquiere otra y ha de integrar ambos sistemas inform¨¢ticos, lo que potencialmente ampl¨ªa las posibilidades de un ciberataque.

¡°En una situaci¨®n como esta, los hackers ¨¦ticos someten las defensas a una prueba de estr¨¦s e identifican las vulnerabilidades en seguridad¡±, cuenta Laurie Mercer, senior manager de la empresa de ciberseguridad HackerOne. ¡°Por ejemplo, cuando adquirimos PullRequest, inmediatamente sometimos sus activos a la comunidad de hackers, y en 48 horas recibimos casi dos docenas de avisos, lo que permiti¨® a nuestros clientes rectificar las fallas¡±.

?Qui¨¦n puede ser ¡®hacker¡¯ ¨¦tico?

Lo cierto es que no existe un perfil ¨²nico. Tradicionalmente, los expertos en este ¨¢mbito se han tenido que adaptar con la misma rapidez que demandan las amenazas que surgen continuamente, lo que hace que haya un gran componente de autodidactismo. Muchos hackers ¨¦ticos tienen un grado en Ciencias de la Computaci¨®n (37 %) y un 20 % posee conocimientos a nivel de posgrado, seg¨²n el 2021 Hacker Report. ¡°La comunidad hacker tiene habilidades muy diferenciadas. Uno de nuestros mejores ciberexpertos es un m¨¦dico de familia holand¨¦s; otro trabaja en una sucursal bancaria de Nairobi, en Egipto; y por supuesto hay muy buenos profesionales en Latinoam¨¦rica y en Espa?a, como Santiago L¨®pez, el joven argentino de 19 a?os que se convirti¨® en el primer ciberexperto millonario de la plataforma de HackerOne¡±, esgrime Mercer.

En otras palabras: no es estrictamente necesario pasar por un grado en Inform¨¢tica, aunque por supuesto se requiere una cierta base t¨¦cnica para poder afrontar con ¨¦xito este tipo de desaf¨ªos. Tambi¨¦n es posible reciclarse en esta ¨¢rea completando un m¨¢ster de posgrado espec¨ªfico en ciberseguridad, donde se ense?en las t¨¦cnicas y conocimientos necesarios para convertirse en hacker; o recurrir a formaciones intensivas (bootcamps) o especializadas en hacking como el Experto Analista en Auditor¨ªa de Sistemas y Redes. En cualquier caso, si te interesan las Matem¨¢ticas, la Ingenier¨ªa, las Ciencias, los lenguajes de programaci¨®n ¡°o el ir descubriendo el qu¨¦, qui¨¦n y cu¨¢ndo de cada uno de los ataques que puedan producirse en una organizaci¨®n, puedes optar por esta rama de la ciberseguridad¡±, argumenta Portal. Existen, adem¨¢s, recursos gratuitos como los de Hacker101, donde aquellos interesados pueden convertirse en hackers ¨¦ticos gracias a videolecciones, gu¨ªas y acceso a un chat donde pueden contactar con toda una comunidad de estudiantes.

M¨¢s all¨¢ de los conocimientos puramente acad¨¦micos, ¡°un buen hacker debe tener una inquietud verdadera por entender c¨®mo funciona realmente la tecnolog¨ªa por dentro; que sea una persona resolutiva e inventiva; que no se rinda f¨¢cilmente ante las adversidades y que persista en su empe?o por resolver los problemas t¨¦cnicos que se va a ir encontrando¡±, a?ade. No en vano son profesionales que pasan frente a la pantalla del ordenador un elevado n¨²mero de horas, antes de resolver los retos y desaf¨ªos que les colocan por delante o incluso los que ellos mismos se ponen. ¡°Pero tambi¨¦n debes ser una persona autodidacta e inquieta, que se haga (y haga) muchas preguntas y que busque exprimir al m¨¢ximo sus conocimientos sobre un tema en particular¡± afirman desde IMF. Las motivaciones tambi¨¦n var¨ªan: si bien es cierto que tres de cada cuatro ciberexpertos lo hacen por la remuneraci¨®n econ¨®mica que obtienen, un 85 % quiere tambi¨¦n aprender y continuar desarrollando sus habilidades, y a casi la mitad le mueve un deseo de hacer el bien, protegiendo y defendiendo tanto a empresas como a ciudadanos frente a las ciberamenazas.

Trabajar como ciberexperto

El objetivo final es siempre el mismo: detectar las posibles vulnerabilidades en un sistema inform¨¢tico antes de que un atacante pueda aprovecharlas para causar un da?o real, y dar a su vez las recomendaciones necesarias para corregirlas. Una labor que, m¨¢s all¨¢ del trabajo del hacker, necesita del enfoque adecuado por parte de la empresa porque, como se?alan desde Deloitte, la seguridad al 100 % no existe. De hecho, las organizaciones empresariales se enfrentan hoy a una brecha significativa entre lo que pueden defender y lo que necesitan defender (la llamada ¡°brecha de resistencia al ataque¡±), de acuerdo al informe 2022 Attack Resistance Report de HackerOne. Por eso, ¡°aunque no sea f¨¢cil, debemos buscar el equilibrio entre ambos extremos. Las empresas deben concentrarse en lo que necesitan defender, que son los aspectos cr¨ªticos de su negocio: en unos casos ser¨¢ su web (comercio electr¨®nico) y en otros la informaci¨®n que manejan (como las consultoras o los bufetes de abogados)¡±, remacha Portal.

La labor de estos hackers ¨¦ticos puede concretarse de muchas maneras. En las pruebas de penetraci¨®n (o pentests), un n¨²mero reducido de personas examina, por un tiempo determinado, los activos inform¨¢ticos de una empresa, buscando fisuras y vulnerabilidades; mientras que en el bug bounty, por el contrario, la prueba se hace p¨²blica a una escala mucho mayor, a trav¨¦s de una plataforma que hace de intermediaria entre miles de hackers ¨¦ticos y la organizaci¨®n propietaria del activo (por lo que aumentan las posibilidades de encontrar fallos de seguridad). ¡°Lo que normalmente se hace es combinar ambos enfoques, empezando por la prueba de penetraci¨®n y pasando, una vez solucionados los problemas encontrados, al bug bounty¡±, explica Portal. Adem¨¢s, en estos programas, se paga por cada vulnerabilidad reportada, en funci¨®n de su nivel de criticidad. Y luego est¨¢n los llamados honey pots, que son sistemas intencionadamente vulnerables y conectados a internet para atraer a ciberdelincuentes y observar as¨ª su conducta.

¡®Hackeo¡¯ con cobertura legal

La adopci¨®n, por parte de las organizaciones empresariales, de los programas de bug bounty ha hecho que se haya ido reduciendo el n¨²mero de casos en los que hackers ¨¦ticos con buenas intenciones reportaban fallos de seguridad y recib¨ªan una denuncia en vez de una recompensa, ya que tienen acceso a plataformas donde realizar su trabajo y adem¨¢s estar cubiertos legalmente. ¡°Nosotros tuvimos conocimiento, por parte de las Fuerzas y Cuerpos de Seguridad del Estado, de la actividad de un hacker en instalaciones de alto valor estrat¨¦gico nacional (centrales nucleares, presas, depuradoras de agua...) que sol¨ªa comunicar vulnerabilidades y que, pese a abrirse una investigaci¨®n para su identificaci¨®n, nunca fue localizado¡±, comenta Jes¨²s Pascual L¨®pez, director del bufete Abogado Amigo. Aunque, a?ade, ¡°en Espa?a tenemos la asignatura pendiente de fomentar la colaboraci¨®n de estos profesionales con las fuerzas de orden p¨²blico. Se debe regular la figura del investigador o auditor de seguridad¡±.

Muchos de los ciberexpertos que han asesorado desde sus oficinas lo han sido en el marco de un procedimiento penal por delitos de revelaci¨®n de secretos, allanamiento inform¨¢tico u otros da?os. Pero tambi¨¦n han ayudado a muchos profesionales de la seguridad en la preparaci¨®n de contratos de servicios que plasmaran con claridad los protocolos de actuaci¨®n para trabajar con seguridad jur¨ªdica. ¡°Un hacker debe tener asesoramiento jur¨ªdico continuo, y contar con contratos adecuados en los que no solo se determinen los servicios a prestar, sino las autorizaciones y las asunciones de responsabilidad por los da?os que puedan producirse¡±.

Estar debidamente autorizado, pues, deber¨ªa ser la base de actuaci¨®n para cualquier hacker ¨¦tico. No obstante, sostiene L¨®pez, se trata de l¨ªneas que en la pr¨¢ctica son m¨¢s dif¨ªciles de delimitar: ¡°Si, por ejemplo, una persona es usuaria de un servicio tecnol¨®gico, ?est¨¢ debidamente autorizada para auditar y someter a verificaci¨®n la seguridad que afirma tener?¡±, se pregunta el letrado. ¡°Y, por otro lado, para que exista intrusi¨®n es necesario que existan ¡°medidas de seguridad establecidas¡±. Pero ?qu¨¦ sucede cuando estas no se corresponden con el nivel de riesgo de un sistema? ?Se considera acceso el simple hecho de traspasar una medida de seguridad o es necesario actuar sobre el sistema de alguna manera?¡±

FORMACI?N EL PA?S en Twitter y Facebook

Suscr¨ªbase a la newsletter de Formaci¨®n de EL PA?S