Black Hat es quizá la convención de hackers más conocida en todo el mundo. Con el paso de los años, este importante evento se ha ido transformando poco a poco. Lo que antes era una reunión semiclandestina geek que giraba en torno a la seguridad, donde inclusive los novatos que se aventuraban a asistir, temían ser hackeados mientras estaban en el evento.
Hoy ha adquirido un aspecto con boletaje numerado como cualquier otra convención comercial, pero lo que no ha cambiado es la divulgación de todo lo relacionado al incierto mundo de los hackers informáticos; esos míticos seres que dejaron de ser los típicos inadaptados para ser hoy casi estrellas de rock entre los entusiastas de la ciberseguridad.
Hace más de 10 años, en Black Hat, hubo varios acontecimientos importantes que giraban en torno a este gran evento, pero uno de los que destacaron fue la participación de Michael Lynn, investigador de ISS y Cisco. Todo un alboroto alrededor de los procesos de divulgación de vulnerabilidades éticas y cómo los vendedores de IT deben de responder a los “hallazgos”. Pero lo que despertó una de las curiosidades más importantes en el sector de TI a raíz de la participación del experto fue la siguiente: ¿por qué necesitamos a los hackers?
Wikipedia define al hacker como “alguien que busca y explota las debilidades de un sistema informático o una red computacional". Al menos dos palabras llaman poderosamente mi atención en cuanto a la definición de los personajes buscar y explorar debilidades. Pero, ¿no aplica esto a casi todas las industrias en otros aspectos?
Organizaciones de ventas y marketing buscan explotar debilidades de sus competidores con el fin de ganar cuota de mercado. Equipos deportivos profesionales buscan explotar las debilidades de sus oponentes para ganar campeonatos.Los hackers están en todas partes; pero solo los de seguridad informática son los que tienen mala reputación.
¿Y por qué ocurre esto? Debido a que el nivel de importancia que tiene todo lo relacionado a Tecnologías de la Información está íntimamente vinculado con la forma en que trabajamos y nos comunicamos. El nivel de importancia de las TI magnifica cualquier noticia o mención que estos individuos puedan realizar.
Hoy, los hackers (y malware) son más inteligentes y sofisticados. Existen guerreros cibernéticos de instituciones gubernamentales, cibercrimen de sindicatos internacionales y malware avanzados como Stuxnet. Estos son los actores que componen la mayor parte de los 400 mil millones de dólares perdidos anualmente a nivel mundial sólo por el llamado cibercrimen.
El Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas elaborado por la Organización de los Estados Americanos (OEA) muestra que la mayoría de las instituciones gubernamentales de América Latina han experimentado intentos de manipulación de su equipo a través de una red o un sistema.
Pero hay otro lado de los hackers, el “blanco”, uno mucho más importante y con mayor impacto en el mercado. No sólo hablamos de pruebas de intrusión, sino en realidad de investigadores que encuentran agujeros que permiten el uso malicioso.
Nosotros necesitamos esa clase de hackers porque hoy la mayoría de los productos electrónicos (hardware y software) son empujados al mercado bajo tremendas presiones de precio, generación de demanda y tiempos. A menudo, esto se traduce en ofertas que llegan al mercado con vulnerabilidades latentes, que en algunos casos son tan sutiles que se pierden hasta que son encontradas por los hackers.
El mismo reporte de la OEA, señala que el 60% de las vulnerabilidades deja al descubierto agujeros que podrían afectar a la confidencialidad de la información. En tanto, el 30% de las vulnerabilidades representa una amenaza para la integridad, mientras que otro 10% se trata de debilidades que se pueden aprovechar para los ataques contra la disponibilidad de la información y de los servicios.
Por ello, los hackers representan una solución colectiva, multitud de fuentes para hacer mejores productos. Ellos encuentran los errores que se pasan por alto en la fábrica, errores de codificación que permiten a otros insertar un código malicioso. Al trabajar con ellos de una manera ética y responsable, añaden un gran valor que nos ayuda a todos.
*Director de Comunicación Corporativa de Gigamon