Hacker contra hacker

La era digital nos ha traído grandes recursos que facilitan y aceleran nuestro día a día, pero también nuevas formas de delincuencia que cada vez son más frecuentes. Los ciberataques han puesto en jaque a muchas grandes compañías (y ha dado el mate a otras tantas), y para hacerles frente empieza a ser habitual el uso del llamado hacking ético.

Hace unos días me llegó vía mensajería instantánea un vídeo en el que un mentalista, instalado en una carpa cerrada, ‘adivinaba’ peculiaridades de la vida de unas cuantas personas: desde tatuajes en lugares recónditos hasta números de cuenta y de tarjetas de crédito. Al final (¡cuidado! ¡spoiler!), caía un telón que desvelaba que el mentalista en cuestión recibía toda la información de unos cuantos hackers bien provistos de todo tipo de tecnologías, situados en una sala contigua.

El vídeo en cuestión forma parte de una campaña para mostrarnos que, por mucha seguridad que nos ofrezcan, la red de redes es un coladero de información; que toda nuestra vida está en Internet a mano de cualquiera que tenga intención de buscarla; que debemos tener cuidado con los datos que compartimos; y que hemos de poner medios y adoptar costumbres que sirvan para evitar determinadas hecatombes. Como se suele decir, más vale prevenir que curar.

A nivel corporativo esos riesgos se multiplican por diez y sus consecuencias por mil: caídas de servidores y de hostings vitales para uno o varios negocios por culpa de un ciberataque; una infección en cadena de una red de numerosos ordenadores en línea; bases de datos de clientes que no deben perderse ni caer en las manos equivocadas; patentes y secretos industriales que podrían filtrarse…

Suena a trama de espionaje, pero son situaciones reales que, a gran escala, harían temblar nuestro estado de bienestar. Si creen que soy exagerada, piensen en el nerviosismo generado a escala global cuando Twitter, Whatsapp o Facebook se han caído un par de horas. Y esos son casos livianos.

También se puede analizar otro ejemplo gráfico ocurrido no hace demasiado tiempo. En 2014 una gran multinacional del sector cinematográdico, Sony Pictures, sufrió un ataque en el que le robaron, borraron y filtraron cantidades ingentes de gigabites de propiedad intelectual, entre los que estaba la película The interview, que aún no se había estrenado. La trama de esta comedia gira en torno a dos periodistas estadounidenses a los que se les encarga la tarea de asesinar al líder de Corea del Norte después de que se les conceda una entrevista en exclusiva con él.

El robo de cantidades ingentes de gigabites de propiedad intelectual que sufrió Sony Picture en 2014 se convirtió en un asunto de Estado.

El robo se convirtió en un asunto de Estado y en un conflicto internacional: el entonces presidente Obama acusó formalmente al país asiático de haber orquestado el ciberataque y lo asumió como una ofensiva directa a los EEUU. Días después, Corea del Norte se quedaba sin Internet durante más de diez horas y se autorizaban diversas sanciones del Gobierno estadounidense contra Pyongyang. Una buena dosis de motivos para arrancar un conflicto que, quizás, podrían haberse evitado ejecutando políticas de hacking ético.

Hackers de sombrero blanco

Recordé el incidente de Sony hace unos días charlando con Deepak Daswany, experto en ciberseguridad de Cybersoc, un centro dependiente de Deloitte, y profesor de un máster en dicha materia de IMF Business School. Éste me habló de la (cada vez más necesaria) posibilidad de contratar a hackers para detectar vulnerabilidades en los sistemas informáticos de las corporaciones y ponerles remedio antes de que sea tarde. Hacking ético, lo llamó.

Daswany comentó que cada vez son más las corporaciones, organizaciones e instituciones que introducen medidas de este calado con el fin de evitar pérdidas económicas y reputacionales. Las más concienciadas son aquellas que pertenecen al segmento de las ‘infraestructuras críticas’, en las que parece imprescindible la presencia de esos hackers de sombrero blanco, ya que son aquellas que dan servicios y soportes básicos a la población: agua, luz, telecomunicaciones, transportes, finanzas…

Sin embargo, la concienciación sigue sin ser total, y aún quedan muchos empresarios que consideran que estas medidas son un gasto innecesario o inabarcable, como ocurre en el ámbito de la pyme. Aunque, vistas las consecuencias a las que podrían enfrentarse, están aumentando las cifras de pequeñas y medianas empresas que se suben al carro. Sobre todo de aquellas cuya vida depende de bases de datos confidenciales, secretos industriales, servicios en la nube, etc.

Vistas las consecuencias a las que podrían enfrentarse por ciberataques, están aumentando las cifras de pequeñas y medianas empresas que se apuntan al hacking ético.

Para aquellos que todavía no lo ven claro, el experto del Cybersoc me habló de varios casos de empresas que han quebrado por culpa de un ciberataque. Uno de los más sonados fue el de Ashley Madison, aquel negocio que animaba a cometer infidelidades de manera premeditada con todo tipo de garantías de seguridad y privacidad. El verano pasado su base de datos fue hackeada, se filtraron los datos de todos sus clientes, tarjetas de crédito incluidas, y desde entonces muchos de ellos han sido (y siguen siendo) chantajeados por mafias que amenazan con desvelar sus secretos ocultos.

Dejando a un lado la falta de ética del negocio en sí, parece razonable pensar que les habría ido mucho mejor si hubiesen tenido todo un departamento de ‘sombreros blancos’ cuidando del bienestar de sus usuarios. O, en mi opinión, si hubiesen canalizado su empresa hacia otros derroteros más productivos.

¿Qué consecuencias puede acarrearle a una compañía una situación como la de Ashley Madison? Y, ojo, esto engloba no sólo a las webs de citas infieles, también a organizaciones que almacenan datos sensibles de clientes, como las del sector sanitario; o en aquellos en los que la I+D es esencial y funcionan a través de secretos industriales.

Hablamos de pérdidas económicas, de activos, de credibilidad, de reputación, de denuncias… Y eso, en los tiempos que corren, es una sentencia de muerte que muy pocos pueden superar.

Comentarios