Socio director S2 Grupo

En el mundo de la ciberseguridad, sobre todo al principio, ha habido un cierto espíritu aventurero, muy influenciado por la literatura y el cine. La tecnología de la información ha supuesto un avance de tan gran impacto en nuestra sociedad, que no es extraño que haya atraído a las mentes de los guionistas de cine y de los escritores de ciencia ficción. Claro está que, cuando se cuentan historias, hay que dejar un margen para la fantasía y la inexactitud –la licencia poética– en aras de darle mayor interés a los argumentos.

Así, desde el principio, se ha mostrado a los hackers como expertos capaces de las proezas más sorprendentes, bajo las presiones más extremas (me viene a la cabeza cierta escena de la película Swordfish)… por supuesto, en beneficio de la amenidad y la espectacularidad.

Antes de que algún experto en la sala critique nuestra utilización de la palabra hacker, vamos a hacer un brevísimo resumen de los términos más frecuentes utilizados en este mundillo. En primer lugar, un hacker es, para la mayoría, un experto capaz de entrar sin autorización en un sistema informático, aunque otros extienden el término a los técnicos relacionados con el software libre o a cualquier aficionado a la informática. Quedándonos con la primera acepción, se considera a los hackers divididos en tres grupos: white hats, black hats o grey hats, según estén en el lado bueno, en el oscuro o en una zona ambigua (la terminología viene de las películas del oeste, en las que los buenos usaban sombreros blancos y los malos llevaban sombreros negros).

Algunos, queriendo marcar diferencias, llaman crackers a los delincuentes y reservan el término hacker a los que trabajan de manera legal. Existe, incluso, un término despectivo, el de script kiddy que se refiere a aquellos aficionados que entran en los sistemas protegidos, haciendo uso de los programas desarrollados por los verdaderos expertos, sin tener a veces ni siquiera el mérito de entenderlos. Es de notar que el uso de este último término demuestra un cierto respeto por los hackers malos, a los que no se deja de reconocer el mérito de su habilidad.

El problema, por supuesto no está en la terminología, sino en la realidad y la realidad es que hay empresas especializadas en ciberseguridad que contratan a hackers en sus plantillas. En más de una ocasión, a black hats. Por supuesto, lo hacen por buenas razones: por un lado, sus conocimientos y experiencia técnica; por otro, el conocimiento de los procedimientos delictivos que han estado utilizando o incluso del mundo subterráneo de los delincuentes. Qué duda cabe de que ese conocimiento es útil.

Los hackers son personas creativas e innovadoras, muy motivados para aprender y muy productivos. Están al tanto de las últimas tecnologías y tendencias, requieren poca supervisión y se sienten muy cómodos en un entorno de trabajo muy especializado.

Por el contrario, sus motivaciones no siempre están claras y pueden tener objetivos que no coincidan con los de la empresa que les contrata. Pueden ser difíciles de tratar y gestionar y tener ideas demasiado “originales” en asuntos como la ética y la política. Pero el principal problema radica en su confiabilidad. Sea por satisfacer su ego, o por su diferente escala de valores o de motivaciones, existe un riesgo real de que su actuación se salga de lo legal o, al menos, de las expectativas que la empresa o el cliente final tienen de su trabajo.

Ahora bien, las empresas especializadas en ciberseguridad tienen, por la propia naturaleza de sus funciones, acceso a la información confidencial de sus clientes, a sus infraestructuras tecnológicas y a los mecanismos y procedimientos de defensa frente a ataques externos e internos. Se establece, se tiene que establecer necesariamente, una fuerte relación de confianza entre la empresa cliente y el proveedor de ciberseguridad. Cualquier fallo de seguridad en el proveedor puede amplificarse en sus clientes.

¿Se puede confiar esa responsabilidad a personas que previamente han jugado en el lado contrario? Metafóricamente, ¿se puede poner al lobo a cuidar a los corderos? ¿Es factible establecer medios razonables de control de su trabajo? ¿Quién vigila a los vigilantes?

En resumen, cada empresa debe evaluar los riesgos de sus acciones y asumir los que considere oportunos. En nuestro caso, la decisión está clara: nosotros no contratamos hackers.

www.s2grupo.es/