¿Héroes o villanos?
En un mundo interconectado, los informáticos son los responsables de que la vida ciudadana funcione
Una pequeña acción de un joven hacker de 22 años –Marcus Hutchins– logró contener parte del WannaCry, el ransomware(véase definición en el recuadro) que el pasado viernes 12 secuestró ordenadores en 150 países, ocasionando unos costes que algunos analistas estiman en más de 3.500 millones de euros.
Su oportuna intervención ha intensificado el debate sobre el protagonismo que los informáticos están adquiriendo en la sociedad actual, para bien y para mal. Los cazarrecompensas de errores y vulnerabilidades informáticas se han convertido en los últimos años en la tabla de salvación de muchas empresas, y no hay gran corporación o banco que no disponga de un grupo de hackers colaboradores dispuestos a sumarse a
Malware. sus filas en caso de un incidente de seguridad. Y lo sucedido ese viernes en una decena de hospitales británicos –donde el secuestro de los ordenadores obligó a paralizar operaciones quirúrgicas en marcha y a enviar a otros centros a los pacientes, incluidos los de urgencias– da idea de que en la sociedad hiperconectada el funcionamiento de la vida cotidiana e incluso la vida de las personas puede estar en manos de estos profesionales. ¿Son los hackers los héroes del siglo XXI?
“No nos corresponde a los implicados juzgarlo, pero lo que sí está claro –y puso de manifiesto el ciberataque del WannaCry– es que no hay sistema seguro al cien por cien y, en una sociedad donde todo está conectado y todo el mundo es vulnerable, los hackers no sólo somos responsables de asegurar los equipos informáticos sino de asegurar a toda la sociedad conectada”, responde Carlos García, experto en seguridad ofensiva y pruebas de intrusión que ahora trabaja en el equipo de hacking para Europa de la multinacional Accenture.
El director del Centro Nacional de Excelencia en Ciberseguridad (CNEC), Enrique Ávila, coincide en que vivimos en una sociedad hipertecnologizada donde tecnología no es sólo el móvil o el ordenador, sino el internet de las cosas o la domótica. Y la luz, el agua, el transporte o los alimentos que consumimos dependen hoy de que esa tecnología funcione. “La comunidad hacker es poderosa y están adoptando el papel de héroes, pero no es fácil dirimir qué hay de héroes o de villanos, depende de cada actor, porque hacen cosas buenas y malas; la figura romántica del joven apasionado de la informática que penetra en un
‘Ransomware’. Tipo de malware que bloquea el PC de forma remota y cifra los datos para pedir un rescate
Parche de seguridad. Actualización que introduce cambios para solucionar una vulnerabilidad
Botnet. Conjunto de dispositivos que se ejecutan de forma autónoma bajo control de un atacante
Malware. Todo programa malicioso cuya función es dañar un sistema o causar un mal funcionamiento
Exploit. Programa que permite explotar una vulnerabilidad del sistema para un uso no deseado
Keylooger. Programa malicioso que permite capturar y espiar todo lo escrito por la víctima
Data breach.Hace referencia a las violaciones o infracciones de datos por incidentes de seguridad
Ataque ingeniería social. Prácticas como el phishing para sacar información confidencial de los usuarios
Ataque de DoS/ DDos. Ataque a una red que hace que un servicio sea inaccesible a los usuarios legítimos
Zero-Day Attack. Ataque que usa una vulnerabilidad para la que aún no existe remedio que lo impida
Zero-Day Exploit. Programa que permite explotar una vulnerabilidad para la que aún no existe solución
Dark web. Redes fuera de la internet pública que requieren software o autorización para acceder
Tor Project. Red distribuida en la que las comunicaciones están cifradas y se facilita el anonimato
sistema tratando de mejorarlo ya no sirve, porque hoy todo está interconectado y quizá entre en un programa buscando un error y eso acabe afectado a una central nuclear o a la cloración de unas reservas de agua”, opina Ávila. Por eso es contrario a que los hackers pongan a prueba sistemas sin la autorización de sus propietarios “por buenas o éticas que sean sus intenciones”. Lo cierto es que los ataques a equipos y programas en busca de vulnerabilidades que luego se comunican al afectado suscitan controversia incluso entre los hackers. María José Montes, auditora de seguridad y miembro de la directiva de la Asociación Nacional de Profesionales del Hacking Ético (Anphacket) –en la que participan informáticos, abogados y miembros de los cuerpos de seguridad del Estado– cree que la sociedad necesita diferenciar al hacker del ciberdelincuente. Asegura que el hacker nunca va por libre, investiga en busca de problemas para solucionarlos, con el permiso de la empresa cliente y, si en el curso de esa investigación detecta alguna otra vulnerabilidad, la comunica al afectado sin entrar ni hacer daño. “Quien ataca sistemas sin permiso o para hacer daño no es un hacker, es un ciberdelincuente”, enfatiza.
Carlos García relata que “hay gente curiosa que ha encontrado fallos de seguridad y cuando lo ha reportado a la empresa se ha visto inmerso en problemas legales; por eso, tras debatirlo en varias conferencias de seguridad, la recomendación es que si uno encuentra algo en una empresa sin tener consentimiento expreso para investigar su seguridad lo reporte a través de los expertos de la Policía o de la Guardia Civil, que pueden comunicarlo cubriendo al hacker”.
El director del CNEC advierte que en esta sociedad tecnologizada, donde desde los contadores de la luz hasta las pruebas médicas están digitalizados, aumenta el perímetro de exposición a riesgos de ciberseguridad de forma infinita, por lo que ya no basta con concienciarse, sino que la pobla- ción necesita capacitarse y tener una cultura tecnológica básica para minimizar los riesgos y las consecuencias de los ciberataques. Cree que hasta ahora la atención y los recursos se han focalizado en los delitos contra los individuos –como el ciberacoso o el sexting–, y hace falta reforzar los recursos dirigidos a proteger de ataques que afectan a la sociedad en su conjunto.
“En el ataque del viernes 12 hubo un hacker que tuvo la visión y el conocimiento para activar el botón rojo que tenía ese Ransomware; dénsele todas las medallas o títulos de héroe que hagan falta, pero este tipo de protección no es metodológica, no podemos depender de que alguien tenga una visión la próxima vez; necesitamos dotarnos de estructuras de conocimiento colectivo para esta ciberguerra porque el mayor negocio para los próximos años es el delito como servicio; la gente pedirá en la internet profunda un ransomwarede ciertas características, otro pondrá sus conocimientos para hacerlo y, automáticamente, a través de monederos de bitcoin, se repartirán las ganancias”, subraya Ávila. “El grueso de los delitos está en la red, y se necesita gente y aportación económica para luchar contra eso y también que las empresas vean su departamento de seguridad como algo muy importante, porque de esa forma estará más segura esa compañía pero también el resto”, coincide Montes.
El abogado Rafael Perales, miembro de Anphacket, reconoce que, hoy por hoy, el mundo de internet es un mundo sin ley porque las regulaciones y actuaciones estatales no alcanzan ante la globalización. Como el director del CNEC, Perales ve la necesidad de que expertos en seguridad informática, juristas, policías y otras fuerzas del Estado pongan en común sus conocimientos para disponer de una mayor y mejor seguridad. “Uno va a ser hackeado tarde o temprano, de modo que ya no se trata sólo de protegerte para dificultar que te entren en el sistema, sino de establecer medidas para minimizar el impacto cuando lo hagan”, dice García.