Pocos saben –o recuerdan- que cuando surgió el concepto “hacker” no se refería a personas que ejercen la actividad criminal que ejecutan los hackers hoy. Al contrario, en la década de los 60, no era más que un nombre utilizado por los estudiantes de ingeniería más capaces del MIT, que se dedicaban a encontrar formas de optimizar procesos y encontrar nuevas tecnologías a partir de las existentes.
Con la paulatina masificación de los ordenadores y las líneas telefónicas, algunos informáticos -llamados entonces Phreakers-, encontraron la forma de interceptar líneas de larga distancia para hacer llamadas gratis. Este hito a menudo es considerado el primer uso masivo del “hacking” para propósitos ilegales. Pero con el tiempo los Phreakers descubrieron también cómo engañar a los empleados de las compañías telefónicas para que dieran algún acceso a activos vitales que permitían interceptar comunicaciones. Fue entonces cuando surgió la necesidad de tener expertos en “hacking” que probaran las redes de seguridad para evitar estas acciones ilegales que generaban pérdidas. Eran tiempos de los llamados “tiger team”, hackers que desarrollaban defensas para empresas y gobiernos -Estados Unidos en la delantera- con el objetivo defenderse de los Phreakers.
Fue en 1995 cuando por primera vez se popularizó el concepto “ethical hacking”, en palabras del vicepresidente de IBM, John Patrick, quien se refirió a esta nueva forma de prevenir ciberataques utilizando las mismas herramientas que utilizaban los hackers, pero con un fin benefactor (con su fin original): probar y fortalecer las defensas de las compañías. En su última cuenta pública, el Presidente Sebastián Piñera anunció la creación de una Agencia de Ciberseguridad “para prevenir y combatir los delitos informáticos”. Se trata de una buena noticia para el país que, tras conocidos casos de ciberataques a importantes instituciones públicas y privadas, requiere con urgencia enfocarse en la prevención.
En este contexto cabe preguntarse por qué no estamos hablando de seguridad preventiva en lugar de medidas reactivas. Existen distintos tipos de brechas informáticas; desde las perimetrales, que permiten a un hacker encontrar una vulnerabilidad en los accesos a los sistemas internos de la organización, hasta las brechas internas que permiten vulnerar el código, la nube u otros activos que guardan información relevante de la compañía. Cada uno de estos componentes puede ser probado previamente por expertos para evaluar las defensas que existen ante un ataque malicioso. Eso es, justamente, lo que propone el ethical hacking, un concepto que, si bien es difícil de conciliar desde su etimología, abarca las estrategias más efectivas para probar la seguridad de gobiernos, organizaciones y empresas a partir de una sólida estructura de compliance.
El único error de organizaciones y gobierno a nivel nacional como internacional es no haberse tomado en serio que nuestra estructura tecnológica, basada en la internet y la nube, provee un sinfín de opciones de penetración a los hackers. Y que estas opciones se están incrementando en el tiempo. Entonces, ¿por qué no hablamos de ethical hacking, una herramienta efectiva que, si es abordada por expertos, no solo puede prevenir pérdidas millonarias, sino que también permite resguardar la reputación de empresas y organizaciones? Los expertos están. La cuestión es dimensionar la magnitud del problema para empezar a tomar medidas reales.
Mark Snodgrass, Cofounder CTO Illumant Estados Unidos
Sebastián Espinosa, Country Manager Illumant Chile
