Hacking ético: El estrecho límite entre el bien y el mal
Cada vez son más las empresas que contratan los servicios de un hacker ético ââ¬âo hackingââ¬âpara detectar en sus sistemas informáticos cualquier agujero de seguridad por donde pueda colarse un ciberataque, y parchearlo a tiempo. La transformación digital ha incrementado el riesgo de agresiones capaces de hacer tambalear la estabilidad y reputación de organizaciones e incluso gobiernos. Y, sin embargo, en España sigue habiendo déficit de expertos en esta materia.
La Real Academia de la Lengua Española define al hacker como «pirata informático». Entonces, ¿puede ser ético?, ¿es sensato poner al zorro para que cuide las gallinas? Pese a los recelos, voces autorizadas del sector defienden esta figura, aunque ven la necesidad de profundizar en su formación, ya que está llamada a ser una de las profesiones con más futuro. Para Ángel Porras, director del Programa Superior de Hacking Ãâ°tico de ICEMD-Esic y CEO de Elium Advanced Technology Education, se trata de expertos que «ponen sus conocimientos avanzados a disposición de las empresas y negocios», aumentando los niveles de seguridad de los datos frente a los ciberdelincuentes.
En esta valoración coincide Marcos Gómez, subdirector de Servicios de Ciberseguridad de Incibe, para quien un hacker es un experto «capaz de detectar agujeros de seguridad o vulnerabilidades». Y si, además, es «ético», «comunica a la empresa, institución o usuario que está expuesto por esos puntos vulnerables». Ello, porque esta figura ha evolucionado. Antes, un hacker detectaba un virus informático y, sin ningún interés económico, lo difundía en la red ââ¬âasí se podían adoptar medidasââ¬â. Ahora, subraya Gómez, si es hacker ético, «puede hacer un análisis forense de un servidor en el que se ha llevado a cabo una intrusión por parte de un ciberdelincuente; puede hacer un análisis de malwares, de virus informático, pero siempre desde el punto de vista ético». «Sin embargo ââ¬âadvierteââ¬â en el otro lado está el cracker, el que lleva el sombrero negro, aquel que rompe un sistema, una aplicación, un servicio y lo explota con un perjuicio económico o reputacional».
Incremento de riesgos
Ángel Porras recuerda que el avance de las nuevas tecnologías supone también un aumento de los riesgos: «Es ahí donde entra en valor el papel del hacker ético: comprobando las posibles vulnerabilidades que puedan existir en redes (públicas o privadas), páginas web y sistemas informáticos. Y colaborando con los departamentos responsables de las empresas en aumentar éstos niveles de seguridad, para evitar que un usuario malintencionado tenga un acceso no autorizado a los datos». Así, el hacking ético vendría a ser como el «análisis de sangre» de la tecnología, que permite conocer el estado de riesgo y seguridad de cualquier dispositivo o sistema informático.
Dentro de siete años, en la Unión Europea se necesitarán 825.000 expertos en ciberseguridad
Y ¿un hacker ético, cediendo a la tentación, puede transformarse en un cracker con sombrero negro? «Vulnerar su compromiso depende evidentemente de la ética del propio profesional, pero precisamente por ello, la formación en hacking ético hace un gran hincapié en el buen uso de los conocimientos y técnicas, con el fin de proteger y no el de realizar ningún tipo de conducta reprochable», responde Porras. El experto de Incibe, por su parte, reconoce que un hacker bueno puede ceder a una tentación o incluso a una extorsión de la mafia cibercriminal. Y también al contrario, que un cracker, y los ha habido famosos, una vez cumplida condena, se pase al lado bueno y sea contratado por una empresa aprovechando sus conocimientos.
El caso es que cada vez son más las empresas que contratan los servicios de hacker éticos para paliar en gran medida el déficit que en España existe de profesionales especializados en ciberseguridad. «Estamos avanzando en el entendimiento dentro de la empresa sobre la importancia de contar con expertos en hacking ético entre su personal, e incluso, de manera transversal, en sus procesos de negocio y cuadros directivos, con el objetivo de implantar estrategias de ciberseguridad que cubran desde la protección técnica de los sistemas de la compañía, hasta la concienciación del personal frente a posibles ataques de ingeniería social», comenta Porras. Por su parte, Marcos Gómez asegura que Incibe «está trabajando muchísimo en regular qué nivel de talento y formación debería tener un hacker bueno, en el sentido de que sea licenciado en informática, que sepa de telecomunicaciones, física, matemáticas… Y que con esa formación, más una complementaria en análisis forense, análisis de malwares, se convierta en experto en ciberseguridad».
Como profesión expresamente regulada, de momento, no existe. Tampoco en el ámbito internacional. Pero, de momento, «nosotros contratamos hacker éticos, sabemos lo que buscamos. Nos ponemos unos mínimos. Por ejemplo, que tengan dos años de experiencia, que sean licenciados en informática, expertos en alguna materia de ciberseguridad», añade Marcos Gómez. Eso sí, advierte, «también es importante saber que esas personas que contratas no tienen antecedentes, no han cometido ningún delito».
«Como profesionales ââ¬âañade Porrasââ¬â están sujetos a un código ético propio, y se está trabajando sobre el valor que suponen para la empresa, por lo que probablemente en no mucho tiempo podamos ver también avances regulatorios en cuanto a su profesión, responsabilidades y cualificaciones».
España precisará en los próximos años 70.000 profesionales para cubrir la creciente demanda en ciberseguridad
La del hacking es una actividad que exige un reciclaje constante porque las nuevas tecnologías avanzan a velocidad de vértigo. En opinión de Porras, «para poder responder adecuadamente a sus responsabilidades profesionales, es imprescindible contar con una formación actualizada, basada sobre todo en un componente práctico, que les permita profundizar y mejorar sus habilidades y técnicas, ya que los avances tecnológicos también suponen nuevos riesgos y amenazas. En este sentido, la formación es un objetivo imprescindible». «Hay cursos que considero recomendables, e iniciativas españolas, lo cual debe suponernos un valor añadido. Por una parte, existen cursos y certificaciones que ofrecen el adecuado conocimiento técnico, basado en la práctica, para el desarrollo de las funciones como Hacker Ãâ°tico.
Programa pionero
Por otro lado, iniciativas pioneras como el Programa Superior en Hacking Ãâ°tico y Gestión Empresarial del ICEMD-ESIC, aportan la visión de estrategia empresarial sobre el valor del hacking ético como herramienta de gestión interna y externa de la empresa».
Incibe, en su estrategia de captar nuevos talentos, tiene entre otros programas, el «CyberCamp». Se trata de formar nuevos talentos, probarlos y, a los mejores, ponerlos en contacto con empresas que buscan este tipo de expertos porque «no salen de la universidad. Los conocimientos son innatos a estas personas». Incibe organiza también en las que intentan motivar a chavales de secundaria comunicándoles que la ciberseguridad es una rama de la informática, con un gran futuro.
Iniciativas de suma importancia, porque tal y como apunta Ángel Porras, «el déficit de expertos en ciberseguridad es un problema a nivel mundial: según diversos estudios, las empresas no consiguen cubrir más de 1,5 millones de puestos de responsabilidad en Ciberseguridad por no contar con profesionales adecuadamente cualificados. «El hacker ético cubre las necesidades de las empresas en éste área y, por tanto, supone una garantía para las empresas, sus procesos de negocio, y todos nosotros como consumidores», concluye.