Marvin G. Soto| Especialista en Ciberseguridad, Cybercom CR| boletinclic@camtic.or

Conforme evoluciona, la sociedad global ha venido suavizando sus posturas sobre temas que otrora generaban controversia y en este ínterin han exigido cada vez más tolerancia, menos juicios y más empatía, bajo el estandarte de los derechos de las minorías y del convivio pacifico. Eso sí, algunos prefijos han sido la excepción. Los curiosos informáticos que iniciaron como inocentes practicantes de técnicas de ingeniería social para obtener acceso a sistemas y que se convirtieron en aliados para el mejoramiento continuo de los sistemas, siguen en el ojo colectivo con un sesgo bizarro de desconfianza y temor.

Si bien es cierto han obligado a la industria a mejorar procesos, técnicas y soluciones de hardware y software, en el fondo su inicial intención nunca tuvo fines de beneficencia o buena fe sino un fondo económico, de poder, de intrusión en servicios y hasta de superioridad… a esos individuos se les llamo hackers y sobre esto diversas fuentes los definen como “personas que por sus avanzados conocimientos en el área de la informática y de las tecnologías, tienen un alto desempeño en el tema y son capaces de realizar muchas actividades desafiantes e ilícitas desde un sistema”.

Así hemos hablado de diversos prospectos de hackers (phreaker, cracker, blancos, negros, grises, etc) y aunque se ha forzado a creer que sus motivaciones son puras, no siempre lo fueron, sino hasta que se dividen los mundos y hablamos de éticos y no éticos, de equipos de colores y demás tendencias, definiciones o modas.

Es decir, mayormente el hacking no se trata de un ataque de fuerza bruta o de una inyección de código o de SQL, o de un envenenamiento del tráfico de algún protocolo o de la violación de algún sistema, sino del aprovechamiento del elemento humano, que es donde se encuentran la mayor fuente de vulnerabilidades. La estadística demuestra que el factor humano es casi siempre el punto débil y la ingeniería social es la herramienta típica para aprovechar ese punto débil.

Engañar a las personas para que revelen contraseñas al ganar su confianza, es una forma probada de obtener acceso a los sistemas de un objetivo, entre otras técnicas y monetizar sus logros y generar rentabilidad son el eje motivacional para los hackers. Sumado, los ignotos se han agrupado y sus estructuras criminales se han expandido, lo que se refleja en los crecientes y diversos casos de ataques cibernéticos. Sin dejar de lado que muchos de estos individuos son impulsados ​​por una necesidad psicológica de poner sus mentes en contra de la seguridad de las grandes redes, solo para ver hasta dónde pueden penetrar en estos sistemas.

La naturaleza de los hackers (no éticos), se ha forjado desde una constante evolución -si se quiere disruptiva- y en cierta medida, han logrado mantenerse por delante de la tecnología, desafiando a fabricantes y al mercado. El avance y la adopción de la computación en la nube ha erosionado el perímetro tradicional, proporcionando un número cada vez mayor de puntos de acceso a recursos para explotar.

Mientras tanto, los equipos de respuesta están ayudando a las empresas a localizar errores y otros defectos en el código que están creando. Se estimula la caza de defectos en los artefactos físicos o virtuales a través del dinero como recompensa –lo que fortalece la tesis de que el dinero es el fin-, y se ha detectado problemas dentro de los sistemas antes de que los hackers puedan explotar estas vulnerabilidades. En otros casos, los hackers se anticipan, los aprovechan y luego venden esos recursos como vulnerabilidades de día cero, o sea, monetizar como fin.

Al explicar la motivación de los hackers, un ex hacker que ahora realiza pruebas de penetración para una firma de DataCenters y que pidió permanecer en el anonimato dice: “Muchos hackers éticos tienen ideas afines y a menudo están motivados por las ganancias económicas. Los hackers maliciosos son impulsados ​​principalmente por ganancias económicas. Esto se debe al desafío de demostrar su superioridad al ser capaces de manipular la tecnología para eludir los controles de seguridad o hacer que la tecnología haga algo para lo que nunca fue diseñada”.

Muchos especialistas éticos en ciberseguridad se sienten motivados a ayudar a mejorar la seguridad descubriendo fallas o vulnerabilidades y trabajando con fabricantes para mejorar el producto final. Al trabajar con los fabricantes, los hackers éticos también están aprendiendo sobre las nuevas tecnologías y cómo estas operan. Esto ayuda a aumentar su conjunto de habilidades, permitiéndoles alcanzar fama y notoriedad entre los fabricantes y además obtener ganancias, sin violar la ley.

El resultado es que los ciberdelincuentes (hackers no éticos) han girado su vista hacia empresas más pequeñas y la cantidad de ataques dirigidos a este segmento está creciendo. Según Gallagher, casi una cuarta parte (24%) de las SMB (Small & Medium Business) reportaron un evento de crisis el año 2019, en comparación con solo el 5% del año 2018.

Sin duda, los especialistas éticos en ciberseguridad pueden ayudar a descubrir esas oportunidades de mejora y a tomar decisiones sobre como mitigarlas. Después de todo, cada caldera de calefacción central, cada bombilla, cada semáforo, cada refrigerador, cada automóvil, cada equipo de domótica e industrial tendrá una dirección IP y esta o estará conectado a la enorme mole de objetos que conforman la Internet.

Debemos dejar de pensar que en la variedad de hackers que nos vende Hollywood, allí a escondidas y encorvados sobre un teclado en una habitación con poca luz, rodeados de monitores y cables; reside lo santo, lo profano, lo justo o lo ilegal.

Quienes desde la curiosidad y la dominante idea de mejorar el mundo deberíamos dejar de usar la palabra hacker sola y sin aditamentos… aquellos que no persiguen el dinero como fin último, aunque si la fama, construir un buen nombre, ganarse el respeto de los demás, construir una marca personal o dejar un legado… la palabra sola expresa lo que en esencia no hacemos y sobre quienes la usamos genera un halito de temor o desconfianza, además de entregar un vestigio de doble moral a quien la recibe. Llámense hackers éticos, pentester, especialistas en ciberseguridad, etc. Al final del cuento; la línea entre el bien y el mal es delgada e invisible y es fácil desviarse del camino…