Ethical Hackers: ciberhéroes en la era de los delitos informáticos

Buscan vulnerabilidades en los sistemas usados por entidades y empresas; realizan ataques programados y consensuados; ganan hasta un 30% más que cualquier otro perfil

"Me especializo en seguridad informática ofensiva. Me gusta conocer cómo funcionan las cosas para luego encontrar la manera de alterar su funcionamiento original con algún objetivo. Fue así como junto con un amigo, desarrollamos un hardware para hackear autos y controlar acciones de los mismos a través de mensajes de texto desde un celular. Soy conocida en el ambiente como la chica que le gusta romper cosas, pero en el sentido de modificar el comportamiento de las cosas y disfruto mucho de eso", dice a LA NACION Sheila Berta, quien se dedica a la seguridad informática desde los 12 años, y que hoy se propone no hackear autos, sino advertir que hacerlo es posible.

Con ataques programados y de común acuerdo con entidades o empresas, una nueva generación de hackers se gana la vida descubriendo fallas de seguridad en los sistemas y recomendando cuáles son las medidas a tomar para subsanarlas.

Son muchos los casos de desastre. Uno de los más resonantes fue el que sufrió en 2013 la cadena de tiendas de los Estados Unidos Target, cuando padeció el robo de los datos financieros de 70 millones de clientes. No solo le costó el puesto a su CEO en 2014, sino que en 2015 la compañía tuvo que pagar 10 millones de dólares por una demanda colectiva, una pérdida que se sumó a la caída de sus ventas. Los casos son muchísimos, casi diarios. Hillary Clinton sufrió el hackeo de sus mails de campaña y Netflix, hace pocos meses, lo vivió con un usuario que tuiteó desde su cuenta un mensaje advirtiendo que la seguridad mundial no funciona, y que aquel tuit es una prueba de ello, y de que pueden pasar cosas peores.

Muchas veces los hackers se hacen conocidos con una acción casi "heroica", para después ganarse la vida con el nombre que lograron. Desde la Argentina, Julio Ardita logró en 1995, con solo 21 años, hackear a la NASA y al Pentágono. Después de un juicio en los Estados Unidos tuvo que pagar una multa moderada y hacer trabajos comunitarios. Consideraron que no había una intención criminal, aunque esta "suerte" ya no corre después de los atentados a las Torres Gemelas, en 2001, por lo que hoy es un desafío algo peligroso para sortear. Dedicado hace ya años a brindar servicios de ciberseguridad a empresas, Ardita acaba de vender su compañía, Cybsec, a Deloitte, de la cual forma parte aunque fue imposible hablar con él sobre su experiencia. Son perfiles escurridizos.

"No hablo por teléfono", fue la respuesta de Sheila Berta, de 22 años, quien a los 18 escribió un libro llamado Web Hacking. Por mail, Sheila contó quién es, y para su edad tiene un largo CV. D clases de Ethical Hacking en universidad de la Marina Mercante y la Escuela de Arte Multimedial Da Vinci. Además, tiene un blog que se llama "se me cayó un exploit", y encontró "fallas en aplicaciones como Facebook, LinkedIn, Hotmail cuando tenía entre 12 y 15 años". También dio charlas en Black Hat en Londres y los Estados Unidos, entre otras.

El argentino César Cerrudo, en un artículo para Forbes, es presentado como "hacker profesional" y CTO (Chief Technology Officer) de IOActive Labs, una empresa de seguridad informática que tiene base en Seattle, Londres, Madrid y Dubai. Allí hace una clasificación de los ciber expertos:

* Ciber criminales: atacan los sistemas y roban información para obtener un beneficio económico.

Hackers: algunos son profesionales al servicio de las empresas (como él mismo) y otros tienen una intención maliciosa.

Hacktivistas: tienen una intención política o social, por ejemplo los representantes de Anonymous.

Ciber terroristas: no son tan comunes, pero pueden llegar a serlo.

Desde los países: hay naciones que organizan ciberataques contra otros países.

En la encuesta Global de Seguridad de la Información de PwC, el 59% de los participantes manifestó que la digitalización de sus ecosistemas empresariales impacta en el gasto en ciberseguridad. "Las empresas deben entender las motivaciones y tácticas de los hackers, para anticiparse y detectar amenazas", dice el informe. Hay hackeos que tienen como objetivo proteger a empresas e instituciones a través de testeos. "El hacker "bueno" se pone de acuerdo (con la que firma un convenio previo con la empresa para que no se conforme un delito) para intervenir en sus sistemas. Después hace un informe sobre las debilidades informáticas que existen y cómo solucionarlas", dice el experto en informática Hugo Skolnik, director de la maestría de seguridad informática de la UBA.

Perfiles

Es cierto que existen los hackers que trabajan en solitario o forman parte de alguna pequeña compañía, o directamente la fundan, pero grandes empresas como PwC también atienden a este mercado en expansión y buscan a los perfiles directamente en las universidades. Andrés Sacurno, director de Forensic Services de Pwc, confirma que crece la amenaza de sufrir ataques cibernéticos, y que el test que se hace a pedido de las organizaciones intenta probar sus fortalezas y sus debilidades. Por eso "salimos a buscar en las universidades a ingenieros en informática o a licenciados en sistemas de la información, que tienen una demanda por encima de la media entre los jóvenes profesionales. Otros directamente son autodidactas, algo que hoy es muy común, o también estudian universidades virtuales".

"No hay una licenciatura en hacking", dice Scolnik. "Hay gente interesada en la computación que aprende a través de una cantidad de herramientas en Internet, que se pueden bajar, y que ayudan a hackear. Hace unos años se necesitaba tener mucho conocimiento técnico, pero hoy, las personas se van a dormir, dejan corriendo un programa, y se despiertan con un informe completo de los sitios que tienen cierta vulnerabilidad". Existe, sí, una certificación en Ethical Hacking que se cursa online y que cuesta alrededor de 600 dólares.

Un informe de Cybersecurity Ventures advierte que en 2019 aumentará la falta de profesionales en ciberseguridad. Según el sitio especializado en la materia, en 2021 habrá 3.5 millones de puestos de trabajo vacantes, y a nivel mundial, en 2016 los especialistas tuvieron pleno empleo.

Desde Michael Page, su director ejecutivo Miguel Carugati y Damián Di Masso, manager ejecutivo de PageGroup, dicen que estos perfiles son "el antibiótico del hacker que delinque". Son especialistas en seguridad informática, actualizados al día y un "bien escaso para las empresas". Por eso, si quieren una persona in house, un perfil junior comienza con un salario entre un 20 y un 25% superior al de otras profesiones. Los especialistas senior llegan a ganar hasta el 60% más que el resto. Por ejemplo, si un gerente gana 100.000, un especialista en sistemas llega a los 150.000 brutos.

Desde Deloitte, tienen un centro de servicios en el que trabajan 25 personas para proyectos locales y globales, según cuenta Andrés Gil, líder de Cyber Risk Services. "Hay que asumir que uno es vulnerable", dice el especialista en ciberseguridad. "Los ambientes bancarios y financieros están más regulados y acostumbrados a tomar medidas tanto contra ataques especialmente dirigidos (como el de Target) como contra aquellos que son genéricos y masivos, que son también muy peligrosos". A través de ellos, se encriptan máquinas, se pide un rescate a través de bitcoins y luego se libera o se destruye la información.

Internet de las cosas

En la película Ex Machina, de 2015, uno de los protagonistas, Nathan, dice "la llegada de la poderosa inteligencia artificial ha sido inevitable. La variable no era si iba a llegar, sino cuándo". Todavía lejos del dominio de los robots sobre las personas, Internet de las cosas es un preámbulo de hasta adónde se puede llegar. La casa conectada o inteligente es un ejemplo de ello y también de cuán vulnerables serán las personas en caso de que estos ataques no se realicen sobre sus computadoras personales, o a sus entidades financieras, sino a sus propias casa o autos.

Cerrudo afirma que en 2020 habrá 200 billones de cosas conectadas. "Según mi experiencia", dice Cerrudo, "la mayor parte de la tecnología es hackeable, los autos ya han sido hackeados (un ataque en 2015 hizo que una compañía de renombre tenga que retirar 1.4 millones de autos del mercado) lo mismo que un popular sistema de smart home (casa inteligente), aviones, artefactos para la salud como marcapasos, sistemas de pago por Internet entre otros". Un mundo más conectado pero que puede ser más inseguro, por ahora, necesita de sus ciberhéroes.

Hackers argentinos

Encontraron vulnerabilidades en sistemas reconocidos y hoy trabajan para prevenir ataques

Julio Ardita

Fundador de Cybsec, adquirida por Deloitte

En 1995, con 21 años, se infiltró a través del 0800 de Telecom en los sistemas de Harvard, y de allí llegó a la NASA y al Pentágono

Enfrentó a un tribunal de los Estados Unidos que dictaminó que no había intención de delito grave, por lo que tuvo que pagar una multa leve y hacer trabajos comunitarios. Después se dedicó a trabajar para empresas

César Cerrudo

CTO de IOActive Labs

Demostró (sin hacerlo) que podía alterar el sistema de semáforos de la ciudad de Nueva York y también de otras ciudades del mundo y presentó los resultados de su investigación en un congreso internacional llamado InfilTrate

El experto en ciberseguridad nació en Entre Ríos, pero hoy trabaja en empresas de los Estados Unidos

Sheila Berta

Experta en Ethical Hacking

A los 12 años su mamá le pidió que le haga un sitio web. A partir de entonces no paró de interiorizarse en el ciberlenguaje

A los 18 escribió el libro Web Hacking. Hoy tiene 22 y encontró fallas en Facebook. LinkedIn y Hotmail, entre otras apps. Dio clases de Ethical Hacking en la facultad y charlas en varios países