Ciberseguridad

Contrate a un hacker para que todo funcione

Los hackers éticos, tan cotizados como escasos, ayudan a resistir los ataques

Llego a una oficina y me siento en un ordenador, como un empleado más. Entonces trato de acceder a sistemas para los que se requieren permisos especiales, que por supuesto no tengo. A veces cuesta conseguirlo, pero hay ocasiones en las que tardo poco. Otras veces entro en la sede corporativa de una compañía, me siento en el hall con mi portátil e intento romper los sistemas wifi para obtener datos confidenciales. Se sorprendería de lo vulnerables que son las redes inalámbricas”. Lo que cuenta Ángel García Moreno suena a delito. Lo sería si no fuera porque son las propias empresas a las que ataca quienes le pagan. Su trabajo es poner a prueba la seguridad de los sistemas de sus clientes. Es arquitecto de seguridad del área de Asesoría de Riesgos de Deloitte y, junto a otros 14 compañeros, forma parte del equipo de hackers éticos de la consultora.

Así se ha dado en llamar a quienes emplean sus extensos conocimientos informáticos para hacer el bien. Conocen las técnicas que usan los ciberdelincuentes. De hecho, dedican mucho tiempo a actualizarse con los últimos métodos de ataque que se van descubriendo. Y, aunque los tópicos les describen como una especie de freaks más bien huraños, de genios que hablan en un lenguaje ininteligible para el resto de seres humanos, ellos se consideran simples profesionales especializados en seguridad informática.

La creciente conectividad de todo tipo de dispositivos y la digitalización de la economía están haciendo de la ciberseguridad una preocupación cada vez más palpable. El informe de riesgos globales que se presenta todos los años en el Foro de Davos ya incluye entre ellos la sustracción de datos. Los especialistas en esta rama son muy cotizados: un reciente informe de Infoempleo y Deloitte sitúa a los hackers éticos como el perfil mejor pagado en el sector IT, con unos salarios de entre 75.000 y 115.000 euros brutos anuales. Son profesionales muy especializados y difíciles de encontrar. Telefónica nombró el año pasado chief data officer al hacker Chema Alonso, quien presumiblemente sea la única persona con melenas y gorro de lana que se siente en el comité de dirección de una firma del Ibex 35. ¿Qué tienen estos profesionales para que las empresas se los estén rifando?

“La experiencia es fundamental, porque te permite detectar pistas por donde otros pasan y no ven nada”, explica Fernando Saavedra, responsable del departamento de ciberseguridad de Áudea, una consultora especializada en esta actividad que también imparte cursos de formación. La gran pelea de los hackers éticos es mantenerse actualizados y al día sobre tecnologías, vulnerabilidades y herramientas. “El conocimiento sobre distintas tipologías de sistemas de información, sistemas operativos, base de datos, dispositivos de comunicación y seguridad perimetral, entre otros, son fundamentales como conocimiento de base para un hacker ético”, asegura este experto.

“Para comprobar la seguridad de una aplicación web, el hacker ético primero recolectará toda la información posible sobre ese sistema para posteriormente lanzar los ataques correspondientes, tratando de romper la seguridad del sistema”, ilustra Javier Rodríguez, quien durante 10 años fue miembro del Grupo de Delitos Telemáticos de la Guardia Civil y actualmente trabaja en la consultora de ciberseguridad Tarlogic. “Posteriormente hará un informe donde explicará detalladamente lo que ha hecho y propondrá una serie de mejoras”, describe. “Un hacker maneja una gran variedad de herramientas y gestiona mucha información, por lo que debe que tener buena capacidad de análisis”, añade Saavedra. “Su día a día requiere mucha concentración para dar pasos firmes, analizar la cantidad de información que recopila y seguir las pistas que le han de llevar a detectar y explotar los posibles fallos de los sistemas”, espeta. Es mucho más difícil proteger los sistemas que comprometerlos. Ellos han elegido la senda luminosa (y complicada) del hacker.

Formación continua

Encontrar un hacker ético para que trabaje en tu empresa no es sencillo. Como la demanda de estos profesionales no deja de crecer (¿acaso lo han dejado de hacer los ciberataques?), están proliferando instituciones que ofrecen formación especializada. El Centro Universitario de Tecnología y Arte Digital (U-tad) fue uno de los pioneros en Madrid. Lanzó en 2014 un máster en Ciberseguridad en el que se aborda la formación de varios perfiles técnicos relacionados, entre ellos el de hacker ético. “Hace unos años apenas existía conciencia de la importancia de este tipo de perfiles en las empresas. Hoy son incuestionables”, asegura Eduardo Arriols, profesor de hacking ético y jefe de equipo en Innotec System. “Nuestros estudiantes aprenden a identificar vulnerabilidades y verificar procedimientos de seguridad. Además de hacking ético, adquieren competencias para ser analistas de malware o hacer estudios forenses”, continúa Arriols.

Como tantas otras profesiones, la del hacker se aprende ejerciéndola. De ahí que usen simuladores para tratar de romper la seguridad de entornos. En el caso de la U-tad, practican con la plataforma CyberRange, desarrollada por Indra y que también emplea el Instituto Nacional de Ciberseguridad (Incibe).

“Ya me gustaría haber tenido acceso a la información que circula hoy cuando empecé”, espeta García, que a sus 35 años ve un mundo entre su época y la actual. “Yo tuve que aprender por mi cuenta, empapándome de los pocos tutoriales que había en internet. Me fui familiarizando con herramientas y creando mis propios entornos controlados en los que practicar”, explica. Y ese aprendizaje no ha cesado nunca. Cada día dedica un rato a navegar por foros y revistas especializadas. En su trabajo, desactualizarse es morir. Aunque haya evitado el reverso tenebroso del hacker, reconoce que tanto él como sus colegas saben apreciar cuando algún cibercriminal hace algún trabajo digno de admiración. “Hay gente que ha logrado cosas increíbles”, espeta García.

Pero aunque exista esa camaradería entre el lado luminoso y el oscuro, como la hubo en su día entre los oficiales enemigos de la Europa de la Ilustración, él y los demás hackers éticos seguirán velando por que los sistemas informáticos del mundo aguanten las continuas embestidas de los cacos cibernéticos. Más nos vale que triunfen los buenos.

Más información

Retina

24/06/2017
04

"El conocimiento es cada vez menos importante”

El responsable tecnológico en Europa, África, Oriente Medio e India de Fujitsu, Joseph Reger, asegura que tenemos que entrenar la creatividad y vigilar que los políticos sepan de tecnología

Normas
Entra en EL PAÍS