La imagen del hacker creada por el mundo del entretenimiento ha sido tal vez una de las más populares en el terreno tecnológico. Después de todo, basta con escuchar la palabra para pensar en un personaje encerrado en su cuarto, con varios monitores, tecleando tan rápido como le dan los dedos y ganando acceso a las redes informáticas de todo el mundo.
Sin embargo, también es cierto que en muchos casos, y también debido a varios ataques de alto perfil, la palabra hacker ha empezado a ganar una connotación negativa. El hacker es la persona que busca vulnerabilidades y ataca las personas y empresas de más alto perfil para tener ganancias personales, ya sea dinero o reputación.
Pese a esto, si bien los hackers son una realidad, lo cierto es que hoy en día son más estructurados y, en muchos casos, operan bajo el marco de la legalidad.
¿Quiénes son y en qué se diferencian los hackers éticos?
El término ‘hacker’ se define comúnmente como una persona que utiliza computadores o métodos tecnológicos para ganar acceso sin autorización a datos. Andrés Roldán, líder del equipo de ofensiva de Fluid Attacks, explica que todo hacker ataca y busca vulnerabilidades, pero la gran diferencia es que algunos lo hacen con consentimiento y otros sin consentimiento.
“Buscamos vulnerabilidades, explotamos vulnerabilidades, aprovechamos esas vulnerabilidades para obtener información de impacto sobre el cliente y la gran diferencia es que nosotros reportamos esas vulnerabilidades al cliente”, dice Roldán. Fluid Attacks es una empresa colombiana conformada por hackers que se dedican a encontrar y explotar vulnerabilidades con el consentimiento de cliente.
Esta filosofía de ciberseguridad está basada en poner a prueba los sistemas y la seguridad de mi empresa por medio de ataques constantes. Los hackers como Roldán utilizan los mismos métodos que en un ataque normal, con la diferencia importante que después reportan estas brechas de seguridad a la empresa para que puedan remediarlo. “En Fluid nos concentramos en atacar, pero atacar en el buen sentido”, remarca.
Y pese a que los hackers éticos son una pieza importante en el panorama de seguridad de una empresa, lo cierto es que existen todavía varios mitos alrededor de esta figura. Vamos a ver –y desmentir– algunos de los más comunes.
Mito: la velocidad
Uno de los mitos más prevalentes es la velocidad con la que algunos hackers de Hollywood logran entrar a sistemas como el del gobierno de los Estados Unidos. Acá no existe nada ni nadie que pueda vulnerar un sistema de alto impacto en segundos o minutos y la realidad es menos glamurosa de lo que pensamos.
“Eso obviamente no ocurre”, dice Roldán, quien además agrega que vulnerar un sistema desde cero puede demorar semanas, meses o incluso años dependiendo del nivel de acceso. Acá también explica que esto depende bastante del objetivo, ya que vulnerar un acceso de bajo nivel seguramente será más rápido que uno de nivel ejecutivo.
Verdad: el impacto de los ataques
Sin embargo, algo que sí es verdad es el impacto de los ataques. En una película, un hacker puede ganar acceso total a sistemas de seguridad o a sistemas críticos para el funcionamiento de una empresa. Si bien este acceso no se logra en segundos como en una película, el equipo de Roldán es capaz de ganar accesos de este tipo para poder demostrar el impacto final.
“Cuando nosotros hacemos hacking ético, es verdad que podemos demorarnos un poco en lograr un acceso inicial, pero al final lo que tenemos que mostrar es el impacto”.
Puede que un acceso de bajo nivel conlleve a uno de más nivel y luego al control total de sistema críticos. Este tipo de cadenas de impacto son justamente las que solamente un grupo de hackers puede encontrar y explotar de manera eficiente.
Mito: la desconfianza
Dado que algunas de las representaciones en el mundo del entretenimiento no son tan favorables, un mito que existe todavía es el de la desconfianza por los hackers. Si bien es cierto que su papel es el de atacar y vulnerar sistemas, también es importante recordar que los hackers éticos no lo harán si no se cuenta con el consentimiento del cliente o empresa.
Hoy en día, de hecho, algunas industrias y estándares requieren que las compañías implementen estrategias de hacking ético para así prevenir que las vulnerabilidades sean encontradas primero por hackers con fines maliciosos. “Hay compañías de diferentes sectores que por regulación incluso ya gubernamentales se les exigen temas de hacking ético. Por ejemplo, el sector financiero en Colombia tiene que hacer hacking ético periódicamente”, dice Roldán, de Fluid Attacks.
Una realidad es que no existe ningún sistema 100 % seguro, y por eso vale más que las vulnerabilidades sean encontradas primero por aliados en los que se puede confiar.
Verdad: el ahorro de costos
Relacionado con lo anterior, es cierto afirmar que tener estrategias de hacking ético internas ayudan bastante con el ahorro de costos. En la actualidad existen muchos ejemplos sobre ataques que han tumbado redes sociales e infraestructura crítica, y en la mayoría de los casos los efectos no son necesariamente monetarios.
La reputación, por ejemplo, se ve profundamente impactada como consecuencia de un ataque malicioso. De hecho, Roldán explica que el impacto de remediar una vulnerabilidad encontrada por medio del hacking ético es hasta 20 veces más barata comparada con un ataque público. Así las cosas, este modelo puede incluso convertirse en una ventaja competitiva para las empresas y sus clientes.
Verdad: la escasez de talento
Por último, el mundo del hacking también está sintiendo la falta de talento que tanto ha marcado el sector TI en los últimos años. A principios de los años 2000, por ejemplo, el mundo de los hackers era relativamente reducido. Hoy en día, gracias a la masificación de la información, los hackers y desarrolladores están compartiendo constantemente nuevos datos sobre hacking.
Muchos de los hackers actuales han aprendido de manera autodidacta, aunque algunos tienen trasfondos profesionales en ingeniería, ciberseguridad y carreras afines. Pese a esto, Roldán recalca que el mundo del hacking requiere más que nada conocimientos técnicos más que metodológicos.
De la misma manera, en la actualidad los hackers están por lo general agrupados en distintas organizaciones, ya sean legales como Fluid Attacks o ilegales. Esta sofisticación resalta la necesidad de incentivar a más personas a perseguir carreras tecnológicas, especialmente en un país en crecimiento como Colombia. “Al final las más beneficiadas son las compañías, cuando tenemos personas técnicamente capaces de encontrar vulnerabilidades más complejas”, puntualiza.
Imagen principal: Kevin Ku (Unsplash)