Black Hat es quizás, la convención de hackers más conocida en todo el mundo. Con el paso de los años, este importante evento se ha ido transformando poco a poco. Lo que antes era una reunión semi-clandestina geek que giraba en torno a la seguridad, donde inclusive los novatos que se aventuraban a asistir, temían ser hackeados mientras estaban en el evento, hoy, ha adquirido un aspecto, con boletaje numerado como cualquier otra convención comercial. Pero una cosa no ha cambiado, y es la divulgación de todo lo relacionado al incierto mundo de los hackers informáticos; esos míticos seres informáticos, que dejaron de ser los típicos inadaptados para ser hoy casi estrellas de rock entre los entusiastas de la cyber seguridad.
Hace más e 10 años, en Black Hat, hubo varios acontecimientos importantes que giraban en torno a este gran evento, pero uno de los que destacaron fue la participación de Michael Lynn, investigador de ISS y Cisco. Todo un alboroto alrededor de los procesos de divulgación de vulnerabilidades éticas y cómo los vendedores de IT deben de responder a los “hallazgos”. Pero, lo que despertó una de las curiosidades más importantes en el sector de TI fue a raíz de la participación del experto fue: ¿Por qué necesitamos a los hackers?
Wikipedia define al hacker como “alguien que busca y explota las debilidades de un sistema informático o una red computacional” – Al menos 2 palabras llaman poderosamente mi atención en cuanto a la definición de éstos personajes buscar y explorar debilidades. Pero, ¿no esto aplica eso a casi todas las industrias en otros aspectos?
Organizaciones de ventas y marketing buscan explotar debilidades de sus competidores con el fin de ganar cuota de mercado. Equipos deportivos profesionales buscan explotar las debilidades de sus oponentes para ganar campeonatos. Investigadores médicos buscan las debilidades dentro de la composición genética de las enfermedades para encontrar nuevas curas. Abogados buscan debilidades en testimonios, leyes, bueno, en casi todo lo que puedan con el fin de ganar. Los hackers están en todas partes; pero solo los de seguridad informática son los que tienen mala reputación.
¿Y por qué es esto? Esto es debido a que el nivel de importancia que tiene todo lo relacionado a tecnologías de la información está íntimamente relacionado con la forma en que trabajamos y no comunicamos. El nivel de importancia de las TI magnifica cualquier noticia o mención que estos individuos puedan realizar. Hablar de Hacker es hablar de virus y los gusanos. Nombres como Melissa, ILOVEYOU, Code Red o Nimda, son algunos nombres que rápidamente nos hacen recordar lo vulnerables que somos antes éstos expertos.
Las cosas han cambiado y los hackers (y malware) son más inteligentes y sofisticados. Hoy existen guerreros cibernéticos de instituciones gubernamentales, crimen cibernético de sindicatos internacionales y malware avanzados como Stuxnet. Éstos son los actores que componen la mayor parte de los 400 MMDD perdidos anualmente a nivel mundial sólo por el llamado cibercrimen.
De acuerdo con el Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas elaborado por la Organización de los Estados Americanos (OEA) se muestra que la mayoría de las instituciones gubernamentales de América Latina han experimentaron intentos de manipulación de su equipo a través de una red o un sistema. El 76% de estos países señalan que los ataques han aumentado o se han vuelto más sofisticados, los creadores de amenazas podrían estar apuntando a infraestructuras críticas más vulnerables en el futuro.
Pero hay otro lado de los hackers… el lado “blanco”, el cual es mucho más importante el cual tiene mucho más impacto en el mercado. No sólo estoy hablando de pruebas de intrusión, sino en realidad de investigadores (es decir, los hackers) que encuentran agujeros, los mismos agujeros que permiten a los chicos malos llevar a cabo sus fechorías.
Nosotros (y me refiero a todo el mundo) necesita esa clase de hackers, y aquí está el porqué: Hoy en día, la mayoría de los productos electrónicos (hardware y software) son empujados al mercado bajo tremendas presiones de precio, generación de demanda y tiempos. A menudo, esto se traduce en ofertas que llegan al mercado con vulnerabilidades latentes (un tema recurrente también en el terreno de consolas de videojuegos). Normalmente, el control de calidad interno tiene que descubrir estas vulnerabilidades antes de que el producto esté disponible, pero muchas veces estas vulnerabilidades son tan sutiles que se pierden hasta que son encontradas por los hackers.
El reporte de la OEA, señala que el 60% de las vulnerabilidades dejan al descubierto agujeros que podrían afectar a la confidencialidad de la información. En tanto, 30% de las vulnerabilidades representan una amenaza para la integridad, mientras que 10% de las vulnerabilidades son debilidades que se pueden aprovechar para los ataques contra la disponibilidad de la información y de los servicios.
Por lo tanto los Hackers representan una solución colectiva, multitud de fuentes para hacer mejores productos. Ellos encuentran los errores que se pasan por alto en la fábrica. Encuentran errores de codificación que hace a otros insertar un código malicioso. Al trabajar con ellos de una manera ética y responsable, añaden un gran valor, que nos ayuda a todos. Y por eesto, necesitamos a los hackers.
Chris McKie, Director de Comunicación Corporativa de Gigamon