Los hackers viven en el filo de la navaja. Entre la genialidad informĆ”tica y la legalidad vigente. Sus acciones, en realidad, estĆ”n mĆ”s cerca de lo primero que lo segundo. De hecho, esa capacidad les convierte en activos fundamentales para muchas empresas, aunque todavĆa hay grandes compaƱĆas del Ibex 35, en el caso espaƱol, que no se dan cuenta de ese potencial.
Incluso, la criminalizaciĆ³n de sus acciones suele ser el primer paso. QuizĆ” por desconocimiento, miedo o, peor aĆŗn, por pensar que estas empresas tiran el dinero en equipos de ciberseguridad que no valen para nada, el hacker se ha convertido en un enemigo. Alguien a quien reprochar la incapacidad, en ocasiones, de gestionar bien la seguridad de una compaƱĆa.
Un ejemplo reciente lo ha vivido la energĆ©tica Naturgy. SegĆŗn un artĆculo publicado en El Confidencial, un Ā«pirata informĆ”ticoĀ», tĆ©rmino que utiliza el medio y que muchas empresas usan de forma despectiva, habrĆa accedido a finales de 2018 a informaciĆ³n confidencial de buena parte de los altos directivos de la compaƱĆa.
SegĆŗn la noticia, el hacker habrĆa accedido a correos electrĆ³nicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratĆ©gicos corporativos. Aunque segĆŗn ha podido conocer este medio, el hacker habrĆa accedido a muchas mĆ”s documentaciĆ³n de la que se tiene constancia.
Pero como sucede en este tipo de historias, la compaƱĆa intenta siempre criminalizar al hacker cuando, en realidad, deberĆa servirse de Ć©l para mejorar. En el caso de Naturgy, con una polĆ©mica de pagos de por medio a travĆ©s de la consultora Capgemini, manifiestan haber resuelto de manera interna la situaciĆ³n. En realidad, merece la pena preguntarse si en este tipo de situaciones cabrĆa la posibilidad de que el hacker terminara trabajando en la empresa.
Se trata de profesionales con una altĆsima cualificaciĆ³n en el Ć”mbito de la ciberseguridad, y sus acciones dan buena cuenta de ello. Son capaces de burlar sistemas de seguridad de empresas que cotizan en el Ibex 35. Asimismo, descubren vulnerabilidades que afectan a los clientes de estas compaƱĆas y su imagen pĆŗblica. ĀæPor quĆ© no contar con su experiencia laboral?
LOS HACKERS Y EL IBEX 35
La situaciĆ³n que ha vivido Naturgy no es una excepciĆ³n. Hace unas semanas MERCA2 contaba en exclusiva cĆ³mo diversas constructoras cotizadas se enfrentaban, de igual modo, a un hacker que tambiĆ©n criminalizaban.
En concreto, la plataforma de gestiĆ³n documental Nalanda, especializada en el sector de la construcciĆ³n, sufriĆ³ una vulnerabilidad informĆ”tica por la cual comprometĆa datos privados de grandes constructoras como FCC, Acciona o Ferrovial, asĆ como otras importantes compaƱĆas: Mercadona o Endesa. Lo curioso es que la propia empresa documental tiene entre sus accionistas a estas mismas constructoras.
La historia es que se descubriĆ³ una vulnerabilidad 0-day en la soluciĆ³n online Nalanda utilizada para la coordinaciĆ³n de actividades empresariales (CAE) y control de accesos ligados a la documentaciĆ³n que dejarĆa expuestos los datos privados de sus clientes, contratas y subcontratas, que hubieran utilizado sus servicios. El problema era que a travĆ©s de esta vulnerabilidad se accedĆa a parte de esos datos privados. AsĆ lo pudo comprobar MERCA2 segĆŗn las pruebas aportadas por el analista de seguridad Y3110w-S4bm4r1n3.
En una serie de artĆculos se descifrĆ³ todo lo ocurrido. La conclusiĆ³n, de nuevo, fue que las grandes empresas ningunearon en cierto modo el trabajo de un experto en seguridad. Y la pregunta vuelve a ser la misma: ĀæNo necesitarĆan estas compaƱĆas de un analista que ha sido capaz de entrar en su organizaciĆ³n con recursos limitados?
Bien es cierto que hay hackers que se han hecho famosos, como Chema Alonso, a los que una gran empresa como TelefĆ³nica le ha dado trabajo. Pero su trayectoria es algo relativamente distinta a la de esos hackers que desde la sombra son capaces de entrar donde nadie mĆ”s puede y conseguir aquello que las empresas decĆan que nadie podĆa conseguir.
