Buscan vulnerabilidades en los
sistemas usados por entidades y empresas; realizan ataques programados y
consensuados; ganan hasta un 30% más que cualquier otro perfil
"Me
especializo en seguridad informática ofensiva. Me gusta conocer cómo
funcionan las cosas para luego encontrar la manera de alterar su
funcionamiento original con algún objetivo. Fue así como junto con un
amigo, desarrollamos un hardware para hackear autos y controlar acciones
de los mismos a través de mensajes de texto desde un celular. Soy
conocida en el ambiente como la chica que le gusta romper cosas, pero en
el sentido de modificar el comportamiento de las cosas y disfruto mucho
de eso", dice a LA NACION Sheila Berta, quien se dedica a la
seguridad informática desde los 12 años, y que hoy se propone no hackear
autos, sino advertir que hacerlo es posible.
Con ataques
programados y de común acuerdo con entidades o empresas, una nueva
generación de hackers se gana la vida descubriendo fallas de seguridad
en los sistemas y recomendando cuáles son las medidas a tomar para
subsanarlas.
Son
muchos los casos de desastre. Uno de los más resonantes fue el que
sufrió en 2013 la cadena de tiendas de los Estados Unidos Target, cuando
padeció el robo de los datos financieros de 70 millones de clientes. No
solo le costó el puesto a su CEO en 2014, sino que en 2015 la compañía
tuvo que pagar 10 millones de dólares por una demanda colectiva, una
pérdida que se sumó a la caída de sus ventas. Los casos son muchísimos,
casi diarios. Hillary Clinton sufrió el hackeo de sus mails de campaña y
Netflix, hace pocos meses, lo vivió con un usuario que tuiteó desde su
cuenta un mensaje advirtiendo que la seguridad mundial no funciona, y
que aquel tuit es una prueba de ello, y de que pueden pasar cosas
peores.
Muchas veces los hackers se hacen conocidos con una acción
casi "heroica", para después ganarse la vida con el nombre que
lograron. Desde la Argentina, Julio Ardita logró en 1995, con solo 21
años, hackear a la NASA y al Pentágono. Después de un juicio en los
Estados Unidos tuvo que pagar una multa moderada y hacer trabajos
comunitarios. Consideraron que no había una intención criminal, aunque
esta "suerte" ya no corre después de los atentados a las Torres Gemelas,
en 2001, por lo que hoy es un desafío algo peligroso para sortear.
Dedicado hace ya años a brindar servicios de ciberseguridad a empresas,
Ardita acaba de vender su compañía, Cybsec, a Deloitte, de la cual forma
parte aunque fue imposible hablar con él sobre su experiencia. Son
perfiles escurridizos.
"No
hablo por teléfono", fue la respuesta de Sheila Berta, de 22 años,
quien a los 18 escribió un libro llamado Web Hacking. Por mail, Sheila
contó quién es, y para su edad tiene un largo CV. D clases de Ethical
Hacking en universidad de la Marina Mercante y la Escuela de Arte
Multimedial Da Vinci. Además, tiene un blog que se llama "se me cayó un
exploit", y encontró "fallas en aplicaciones como Facebook, LinkedIn,
Hotmail cuando tenía entre 12 y 15 años". También dio charlas en Black
Hat en Londres y los Estados Unidos, entre otras.
El argentino
César Cerrudo, en un artículo para Forbes, es presentado como "hacker
profesional" y CTO (Chief Technology Officer) de IOActive Labs, una
empresa de seguridad informática que tiene base en Seattle, Londres,
Madrid y Dubai. Allí hace una clasificación de los ciber expertos:
* Ciber criminales: atacan los sistemas y roban información para obtener un beneficio económico.
Hackers: algunos son profesionales al servicio de las empresas (como él mismo) y otros tienen una intención maliciosa.
Hacktivistas: tienen una intención política o social, por ejemplo los representantes de Anonymous.
Ciber terroristas: no son tan comunes, pero pueden llegar a serlo.
Desde los países: hay naciones que organizan ciberataques contra otros países.
En
la encuesta Global de Seguridad de la Información de PwC, el 59% de los
participantes manifestó que la digitalización de sus ecosistemas
empresariales impacta en el gasto en ciberseguridad. "Las empresas deben
entender las motivaciones y tácticas de los hackers, para anticiparse y
detectar amenazas", dice el informe. Hay hackeos que tienen como
objetivo proteger a empresas e instituciones a través de testeos. "El
hacker "bueno" se pone de acuerdo (con la que firma un convenio previo
con la empresa para que no se conforme un delito) para intervenir en sus
sistemas. Después hace un informe sobre las debilidades informáticas
que existen y cómo solucionarlas", dice el experto en informática Hugo
Skolnik, director de la maestría de seguridad informática de la UBA.
Perfiles
Es
cierto que existen los hackers que trabajan en solitario o forman parte
de alguna pequeña compañía, o directamente la fundan, pero grandes
empresas como PwC también atienden a este mercado en expansión y buscan a
los perfiles directamente en las universidades. Andrés Sacurno,
director de Forensic Services de Pwc, confirma que crece la amenaza de
sufrir ataques cibernéticos, y que el test que se hace a pedido de las
organizaciones intenta probar sus fortalezas y sus debilidades. Por eso
"salimos a buscar en las universidades a ingenieros en informática o a
licenciados en sistemas de la información, que tienen una demanda por
encima de la media entre los jóvenes profesionales. Otros directamente
son autodidactas, algo que hoy es muy común, o también estudian
universidades virtuales".
"No hay una licenciatura en hacking",
dice Scolnik. "Hay gente interesada en la computación que aprende a
través de una cantidad de herramientas en Internet, que se pueden bajar,
y que ayudan a hackear. Hace unos años se necesitaba tener mucho
conocimiento técnico, pero hoy, las personas se van a dormir, dejan
corriendo un programa, y se despiertan con un informe completo de los
sitios que tienen cierta vulnerabilidad". Existe, sí, una certificación
en Ethical Hacking que se cursa online y que cuesta alrededor de 600
dólares.
Un informe de Cybersecurity Ventures advierte que en 2019
aumentará la falta de profesionales en ciberseguridad. Según el sitio
especializado en la materia, en 2021 habrá 3.5 millones de puestos de
trabajo vacantes, y a nivel mundial, en 2016 los especialistas tuvieron
pleno empleo.
Desde Michael Page, su director ejecutivo Miguel
Carugati y Damián Di Masso, manager ejecutivo de PageGroup, dicen que
estos perfiles son "el antibiótico del hacker que delinque". Son
especialistas en seguridad informática, actualizados al día y un "bien
escaso para las empresas". Por eso, si quieren una persona in house, un
perfil junior comienza con un salario entre un 20 y un 25% superior al
de otras profesiones. Los especialistas senior llegan a ganar hasta el
60% más que el resto. Por ejemplo, si un gerente gana 100.000, un
especialista en sistemas llega a los 150.000 brutos.
Desde
Deloitte, tienen un centro de servicios en el que trabajan 25 personas
para proyectos locales y globales, según cuenta Andrés Gil, líder de
Cyber Risk Services. "Hay que asumir que uno es vulnerable", dice el
especialista en ciberseguridad. "Los ambientes bancarios y financieros
están más regulados y acostumbrados a tomar medidas tanto contra ataques
especialmente dirigidos (como el de Target) como contra aquellos que
son genéricos y masivos, que son también muy peligrosos". A través de
ellos, se encriptan máquinas, se pide un rescate a través de bitcoins y
luego se libera o se destruye la información.
Internet de las cosas
En
la película Ex Machina, de 2015, uno de los protagonistas, Nathan, dice
"la llegada de la poderosa inteligencia artificial ha sido inevitable.
La variable no era si iba a llegar, sino cuándo". Todavía lejos del
dominio de los robots sobre las personas, Internet de las cosas es un
preámbulo de hasta adónde se puede llegar. La casa conectada o
inteligente es un ejemplo de ello y también de cuán vulnerables serán
las personas en caso de que estos ataques no se realicen sobre sus
computadoras personales, o a sus entidades financieras, sino a sus
propias casa o autos.
Cerrudo afirma que en 2020 habrá 200
billones de cosas conectadas. "Según mi experiencia", dice Cerrudo, "la
mayor parte de la tecnología es hackeable, los autos ya han sido
hackeados (un ataque en 2015 hizo que una compañía de renombre tenga que
retirar 1.4 millones de autos del mercado) lo mismo que un popular
sistema de smart home (casa inteligente), aviones, artefactos para la
salud como marcapasos, sistemas de pago por Internet entre otros". Un
mundo más conectado pero que puede ser más inseguro, por ahora, necesita
de sus ciberhéroes.
Hackers argentinos
Encontraron vulnerabilidades en sistemas reconocidos y hoy trabajan para prevenir ataques
Julio Ardita
Fundador de Cybsec, adquirida por Deloitte
En
1995, con 21 años, se infiltró a través del 0800 de Telecom en los
sistemas de Harvard, y de allí llegó a la NASA y al Pentágono
Enfrentó
a un tribunal de los Estados Unidos que dictaminó que no había
intención de delito grave, por lo que tuvo que pagar una multa leve y
hacer trabajos comunitarios. Después se dedicó a trabajar para empresas
César Cerrudo
CTO de IOActive Labs
Demostró
(sin hacerlo) que podía alterar el sistema de semáforos de la ciudad de
Nueva York y también de otras ciudades del mundo y presentó los
resultados de su investigación en un congreso internacional llamado
InfilTrate
El experto en ciberseguridad nació en Entre Ríos, pero hoy trabaja en empresas de los Estados Unidos
Sheila Berta
Experta en Ethical Hacking
A los 12 años su mamá le pidió que le haga un sitio web. A partir de entonces no paró de interiorizarse en el ciberlenguaje
A
los 18 escribió el libro Web Hacking. Hoy tiene 22 y encontró fallas en
Facebook. LinkedIn y Hotmail, entre otras apps. Dio clases de Ethical
Hacking en la facultad y charlas en varios países
Mail: enviotp@gmail.com En AS.: JVG CA Taller TIC (su nombre y apellido)
En un mundo donde los cambios se suceden vertiginosamente, incluso los tecnológicos, es menester asimilar las nuevas tecnologías para su aplicación inmediata y a futuro.