Pocos saben –o recuerdan- que cuando surgió el concepto “hacker” no se refería a personas que ejercen la actividad criminal que ejecutan los hackers hoy. Al contrario, en la década de los 60, no era más que un nombre utilizado por los estudiantes de ingeniería más capaces del MIT, que se dedicaban a encontrar formas de optimizar procesos y encontrar nuevas tecnologías a partir de las existentes.
Por Mark Snodgrass
Fue en los 70 cuando esto dio un giro radical. Con la paulatina masificación de los ordenadores y las líneas telefónicas, algunos informáticos -llamados entonces Phreakers-, encontraron la forma de interceptar líneas de larga distancia para hacer llamadas gratis. Este hito a menudo es considerado el primer uso masivo del “hacking” para propósitos ilegales. Pero con el tiempo los Phreakers descubrieron también cómo engañar a los empleados de las compañías telefónicas para que dieran algún acceso a activos vitales que permitían interceptar comunicaciones. Bastaba introducir un silbato en oficinas o casas de trabajadores (que usualmente enviaban junto con algún supuesto regalo de la compañía a la víctima) para lograr interceptar la frecuencia telefónica de las líneas de comunicación.
A esto le llamaron Ingeniería social.
Fue entonces cuando surgió la necesidad de tener expertos en “hacking” que probaran las redes de seguridad para evitar estas acciones ilegales que generaban pérdidas. Eran tiempos de los llamados “tiger team”, hackers que desarrollaban defensas para empresas y gobiernos -Estados Unidos en la delantera- con el objetivo defenderse de los Phreakers.
Sin embargo, en los 80 y 90, cualquier informático capaz de penetrar redes de telecomunicaciones y entender el sistema, fue llamado hacker. El caso de Kevin Mitnik, un hacker que aparentemente por curiosidad logró interceptar las comunicaciones de numerosas empresas; primer condenado por un cibercrimen y que hoy tiene una empresa de ciberseguridad a nivel global, fue el punto de quiebre que convirtió a los hackers en una amenaza más compleja de lo que hasta entonces se pensaba. Eran los 90 y el auge de internet traía aparejado un nuevo tipo de crímenes para los que hasta ese momento no existía una legislatura clara.
Fue en 1995 cuando por primera vez se popularizó el concepto “ethical hacking”, en palabras del vicepresidente de IBM, John Patrick, quien se refirió a esta nueva forma de prevenir ciberataques utilizando las mismas herramientas que utilizaban los hackers pero con un fin benefactor (con su fin original): probar y fortalecer las defensas de las compañías.
En su última cuenta pública, el Presidente Sebastián Piñera anunció la creación de una Agencia de Ciberseguridad “para prevenir y combatir los delitos informáticos”. Se trata de una buena noticia para el país que, tras conocidos casos de ciberataques a importantes instituciones públicas y privadas, requiere con urgencia enfocarse en la prevención.
En este contexto cabe preguntarse por qué no estamos hablando de seguridad preventiva en lugar de medidas reactivas.
Existen distintos tipos de brechas informáticas; desde las perimetrales, que permiten a un hacker encontrar una vulnerabilidad en los accesos a los sistemas internos de la organización, hasta las brechas internas que permiten vulnerar el código, la nube u otros activos que guardan información relevante de la compañía. Cada uno de estos componentes puede ser probado previamente por expertos para evaluar las defensas que existen ante un ataque malicioso. Eso es, justamente, lo que propone el ethical hacking, un concepto que si bien es difícil de conciliar desde su etimología, abarca las estrategias más efectivas para probar la seguridad de gobiernos, organizaciones y empresas a partir de una sólida estructura de compliance.
Los ataques al oleoducto colonial y a JBS en Estados Unidos son dos hitos más que prueban lo que muchos gobiernos todavía no deciden enfrentar: que no hay rubros u organizaciones que no sean de interés para un grupo organizado de hackers, que en la mayoría de los casos ni siquiera se trata de acciones tendientes a desestabilizar un gobierno, sino que un hacking masivo puede ocurrir únicamente para robar.
El único error de organizaciones y gobierno hoy es no haberse tomado en serio que nuestra estructura tecnológica, basada en la internet y la nube, provee un sinfín de opciones de penetración a los hackers. Y que estas opciones se están incrementando en el tiempo.
Entonces, ¿por qué no hablamos de ethical hacking, una herramienta efectiva que, si es abordada por expertos, no solo puede prevenir pérdidas millonarias, sino que también permite resguardar la reputación de empresas y organizaciones?
Los expertos están. La cuestión es dimensionar la magnitud del problema para empezar a tomar medidas reales.