El sentit comú no ens convida a confiar en un hacker. El discurs mediàtic, tant en la cobertura informativa com en la ficció, ha generat un imaginari negatiu al voltant d'aquestes figures: criminals digitals dedicats a atacar les debilitats dels escuts de protecció de bancs, administracions i grans empreses per enriquir-se aprofitant el seu coneixement tècnic. Aquestes figures són ben reals, com cada cop més companyies i organismes experimenten cada dia. En el món de la digitalització, els ciberatacs estan a l'ordre del dia, però qui els perpetra no és un hacker. En el seu origen, els especialistes en sistemes informàtics amb aquestes habilitats eren juganers –com explica el professor de Nuclio Digital School i expert en ciberseguretat Ferran Justícia, "renegats, llops solitaris que aprenien i es divertien forçant els límits"–. Amb la professionalització, la seva relació amb les empreses s'ha estabilitzat, i tot i treballar de forma independent han esdevingut una pota més del sistema de ciberseguretat integral. Si s'hi volen aplicar termes narratius, són antiherois.

"En general s'anomena hacker a qualsevol que hagi vulnerat un sistema, però només se'n parla quan els efectes són negatius", puntualitza Marco Gómez, director acadèmic de 4Geeks Academy, una escola de formació digital. En aquest cas, i amb la plena consciència de la rellevància d'anomenar les coses, el terme que hi assignen els experts és el de cracker –o bé el de hacker de barret negre, en contraposició al de barret blanc–. Aquella figura, amb coneixement i especialització similars, detecta els forats en els sistemes per colar-s'hi; el hacker ho fa per tapar-los. Gómez, de fet, recorda diverses estratègies d'experts independents que treballen amb els límits dels entramats de protecció digital d'empreses i institucions per identificar les escletxes i debilitats; només per, posteriorment, reportar-les a les autoritats competents perquè se solucionin. "Tenim hackers, fins i tot, que són una mica filantròpics i es dediquen a notificar les empreses dels seus forats de seguretat", recorda l'expert de 4Geeks.

La diferència entre el hacker i un tècnic de ciberseguretat a l'ús és una de nínxol. Com explica Justícia, els hackers de barret blanc es dediquen "a accions concretes": es tracta d'un tècnic que, lluny d'elaborar solucions securitàries, coneix els camins cap a les vulnerabilitats dels sistemes de protecció. "Un hacker realitza atacs contra la infraestructura per identificar punts dèbils, per solucionar-los abans que un atacant real els pugui fer servir per provocar una afectació a l'empresa", desenvolupa el professor de Nuclio. L'exigència tècnica per al perfil de hacker és, doncs, molt més alta. On un tècnic pot conèixer un grapat de models de defensa de dades o programari, el hacker ha de complementar els coneixements en ciberseguretat amb formació en comunicació, SO, aplicacions o fins i tot psicologia. Aquesta intrincada combinació de competències, raona Justícia, els fa "molt valuosos per a altres branques de la ciberseguretat".

L'ample abast d'habilitats tècniques d'aquests perfils els fa crucials per a les empreses en el món digital. Segons Gómez, de fet, entre els experts del sector el mateix terme ja implica un cert catxe. "El terme hacker acaba identificant-se amb seniority; es tracta d'un expert en auditoria de sistemes" en totes les facetes del terme. De fet, en paraules de Justícia, sovint les aportacions d'un bon hacker van molt més enllà de la ciberseguretat, i acaben posant cap per avall la proposta de valor digital de les empreses. "No només són capaços d'identificar punts dèbils en la protecció del negoci; també en la seva lògica interna, o en temes legals", argumenta l'expert de Nuclio. El sector privat, així, fa una valoració alta d'aquest talent; i els millors del camp cada cop són més professionals. "Es vol aprofitar aquestes persones des del món empresarial", concedeix el professor.

Quins són els forats?

"La relació entre empresa i ciberseguretat anirà creixent amb els anys" preveu Justícia, que considera que el creixement i l'escalabilitat de negoci són indestriables d'un procés de transformació digital que és contraproduent si no és segur. El paper del hacker, i del tècnic de seguretat en general, serà quelcom "transversal" en la pròxima dècada, tan comú als negocis com qualsevol altre especialista tecnològic. L'ecosistema, però, encara no n'ha pres consciència, ni tampoc els usuaris. Una major presència en entorns digitals "suposa una major exposició de metainformació, o fins i tot d'informació directa" disponible per a altres actors; privats, públics i particulars, de bona i mala fe. "El diable és als detalls; el primer que cal fer per garantir la seguretat és cobrir allò bàsic", aconsella Gómez.

Gómez: "Els programes són cada cop més potents per fer proves de força bruta contra els nostres comptes, i serà encara més senzill que un tercer hi accedeixi"

Les principals escletxes de seguretat es troben, segons Justícia, en tres àmbits: els serveis en línia, l'emmagatzematge de dades i els pagaments. Des de Nuclio avisen, així, que els escuts tècnics prenen especial rellevància en aquells negocis que operen mitjançant grans transaccions econòmiques, per la naturalesa de les seves transaccions. Des de les fintech a la gestió de criptomonedes, passant per simples plataformes de pagament en línia com redsys o paypal, les grans fortaleses del món digital s'han de construir al voltant d'aquestes firmes. Els sistemes de salut, per la importància de les dades amb què es treballa; o tota aquella branca d'operacions construïdes 100% en digital –l'e-commerce, per exemple– demanen especial atenció en seguretat, i la tendència és a apropar-se a aquests models, no a allunyar-s'hi.

Els tipus d'atacs que poden patir les organitzacions que operen en digital són cada cop més diversos. Per cada sistema de seguretat hi ha una clau, lícita o no, pretesa o no. Un dels més senzills d'implementar, explica Gómez, és l'atac per inhabilitació. Una variació d'aquesta amenaça seria el ransomware, una infiltració que bloqueja dispositius, o fins i tot servidors sencers, i permet a l'atacant demanar un rescat –ransom– per alliberar els serveis. També existeixen els atacs per inhabilitació de la infraestructura, una sobrecàrrega d'un servidor que s'assoleix connectant-hi més dispositius dels que pot gestionar. La gran tasca del hacker, en aquests casos, és la de prevenció: el tècnic és capaç d'observar si un servidor serà capaç de filtrar, rebotar o aguantar les entrades no identificades, malicioses o excessives; i avisar l'empresa de les possibles solucions a aquest forat de seguretat.
Comença al mòbil

Si bé els atacs sobre infraestructures, els més complexes i amb una major quantitat de recursos dedicats, poden fer un gran mal a les organitzacions, molt sovint l'error que s'aprofita no és infraestructural, sinó humà. "Quanta gent s'aixeca del seu escriptori a l'oficina a fer un descans i no bloqueja l'ordinador?", reflexiona Gómez. Així, als problemes més sistèmics s'afegeix una manca d'alfabetització digital, un aprenentatge insuficient sobre què és segur i què no. "La seguretat depèn primordialment de l'usuari", reitera el responsable de 4Geeks.

Moltes de les exposicions més clares venen d'entorns d'ús diari. Les xarxes socials ofereixen un riu de dades meta i directes que es poden aprofitar per fins maliciosos. I segons l'expert, l'usuari no opera per protegir-se "El punt clau per a la privacitat és el de tota la vida, la contrasenya", explica Gómez. La immensa majoria de persones, però, prioritzen mecanismes mnemotècnics senzills, fàcilment autogenerables o deduïbles, a una elecció més segura. "La primera vulnerabilitat per a les nostres dades la generem nosaltres", subratlla el professor, que augura un futur amb més capacitat ofensiva. "Els programes són cada cop més potents per fer proves de força bruta contra els nostres comptes, i serà encara més senzill que un tercer hi accedeixi".

Alberto Prieto