Basta ya de asociar la palabra hacker con ese chaval que amenaza el mundo con un ordenador desde el garaje de sus padres. Hasta la RAE lo define como “persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora”. Y es que España está llena de hackers buenos que dedican su tiempo, muchas veces de forma totalmente altruista, a protegernos del cibercrimen y hacer de Internet un lugar más seguro.
Uno de ellos es Rafael Pedrero, que combina su trabajo diario como analista de malware en una gran empresa de telecomunicaciones española con su afición por detectar las vulnerabilidades y exposiciones informáticas comunes (CVE) que los ciberdelincuentes utilizan para sembrar el caos. Con 103 CVE detectadas desde enero de 2020, Pedrero es el líder absoluto del salón de la fama del INCIBE, y lo hace simplemente porque le “fascina analizar software en busca de brechas de seguridad”, cuenta a Retina.
¿Recuerda el sonado ciberataque WannaCry que paralizó a medio mundo en 2017, España incluida? Pues fue por una vulnerabilidad como las que Pedrero disfruta descubriendo. “Rafa es un fenómeno”, confirma el experto en Alerta Temprana del INCIBE Daniel Fírvida. En solo una semana, su número de CVE ha aumentado de 61 a 103, porque “ha detectado 42 en un único producto”, añade.
El hacker cuenta que “no suele haber tantas, lo normal es encontrar 10 o 12”. El producto en cuestión es una página web, que afirma que no es ni española ni europea, y explica que el tipo de vulnerabilidades que tiene, que además son las más comunes, permiten a los ciberdelincuentes acceder a los sistemas de la página, consultar sus bases de datos e incluso ejecutar comandos. Recuérdalo la próxima vez que vayas a ceder tu información personal en cualquier rincón de Internet.
LOS PROBLEMAS DE UN EJÉRCITO INVISIBLE
La buena noticia es que el mundo también está lleno de hackers buenos que, como Pedrero, en lugar de pasarse el día en Netflix, dedican su trabajo e incluso parte de su tiempo libre a buscar esos fallos informáticos que nos ponen en peligro en la Red. Junto a él, el hall of fame de INCIBE, creado precisamente para reconocer este tipo de trabajo altruista, incluye a otros 64 expertos en ciberseguridad. En total, han detectado 317 vulnerabilidades.
Gracias a su desinteresada afición por buscar fallos informáticos, todos ellos forman parte del invisible ejército de hackers buenos que velan por nuestra ciberseguridad desde un ordenador. Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, los profesionales sanitarios, e incluso los bomberos, algunos ciberexpertos deben dar servicio las 24 horas del día para amortiguar a un enemigo que nunca descansa y salvaguardar los cimientos de la versión digital de España. La diferencia es que a ellos nunca los vemos.
De hecho, es imposible saber cuántos son. En primer lugar, porque el único dato que el jefe del Departamento de Ciberseguridad del CCN, Javier Candau, no comparte con Retina es el número exacto de miembros de su Equipo de Respuesta de Emergencias Informáticas (CERT). Lo que sí dice es que “nunca son suficientes”. A pesar de los cientos de entidades públicas y privadas que componen las ciberdefensas de todo el territorio español, el número de puestos vacantes de ciberseguridad el pasado septiembre en España era de 30.000.
Tal vez por eso el estrés suela aparecer vinculado al sector. Cuando un ciberataque paralizó por completo el Hospital Clínic de Barcelona el año pasado, El Periódico de España recogió testimonios como este: “Somos como los porteros de fútbol: si paras la amenaza es que estás haciendo tu trabajo, pero si te marcan todo es culpa tuya”, explicaba un antiguo profesional que abandonó la profesión en 2019 tras años de frustración.
“Los profesionales de la ciberseguridad se enfrentan a niveles de estrés insostenibles. Los CISO se encuentran en la posición de defensa, donde los únicos resultados posibles son que no sean hackeados o que sí”, advertía el año pasado la analista de Gartner Deepti Gopal, a raíz de un estudio de la consultora que afirma que, para 2025, “el 25% de los líderes en ciberseguridad cambiará de profesión debido al estrés laboral”.
Y, por si fuera poco, a veces su poder y reconocimiento dentro de sus propias organizaciones es bastante escaso. De hecho, una de “las cinco balas de plata” para la reforzar la ciberseguridad de la Administración Pública definidas por Candau es, precisamente, la de empoderar al CISO. El responsable detalla: “Tienen que poder llegar sin filtros hasta la dirección para poner en valor la ciberseguridad”.
“El uso generalizado de tecnologías poco seguras se ve agravado por la práctica habitual en muchas organizaciones y empresas de relegar la ciberseguridad a la ‘gente de IT’. Se les da esta responsabilidad, pero no los recursos, la influencia o la capacidad de rendir cuentas para garantizar que la seguridad se prioriza correctamente frente al coste, el rendimiento, la velocidad de comercialización y las nuevas funciones”, advierten director de la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) del Gobierno de EEUU, Jen Easterly, y su asistente ejecutivo, Eric Goldstein, en una tribuna publicada en Foreings Affairs.
DE FRIKIS A PRIVILEGIADOS
Basta ya de verlos como a esos frikis cuyo trabajo consiste en revisar tu antivirus y evitar que se te cuelgue el ordenador. Todo lo contrario. “En este contexto de crecientes amenazas, la alta dirección debe empoderar a los CISO incluyéndolos en el proceso de toma de decisiones sobre los riesgos para la empresa, y asegurarse de que toda la organización entiende que las inversiones en ciberseguridad son una prioridad absoluta a corto plazo”, coinciden desde la web de la CISA.
Pedrero no tiene cargo de CISO y, aunque no es lo mismo ser soldado que comandante, explica que los incidentes críticos que requieren una respuesta rápida, como WannaCry y caso del Hospital Clínic, suelen ser puntuales. De hecho, insiste en lo muchísimo que disfruta con su trabajo y en que no suele sentir estrés, pero reconoce que tal vez se deba a que él no tiene que lidiar con las situaciones a las que se enfrentan los directores de ciberseguridad cuando se reúnen con las cúpulas de sus organizaciones.
Otra cosa buena es que, en su opinión, la percepción que la gente tiene sobre su profesión está mejorando y la sociedad cada vez está más concienciada con la ciberseguridad. Fírvida cree que hace 10 años nadie se habría planteado escribir un reportaje sobre hackers buenos, mientras Pedrero cuenta que cada vez más amigos se le acercan para comentar los ciberataques en los que no pican, como quien charla sobre un partido de fútbol.
Además, la elevadísima demanda de ciberprofesionales los ha convertido en los niños bonitos del mercado laboral. “Son unos privilegiados, son ellos quienes marcan las reglas, pueden exigir cosas como el teletrabajo”, confirma Fírvida. El problema es que lo que es bueno para ellos puede ser un lastre para el resto del país. Basta con sumar la altísima demanda internacional con nuestros tradicionales salarios y con la posibilidad de ejercer este tipo de trabajos en remoto para entender que los expertos en ciberseguridad españoles pueden ser seducidos fácilmente con los sueldos más altos que cualquier economía mejor que la nuestra se puede permitir.
Es por eso que la falta de recursos económicos destaca como el principal obstáculo para los expertos que participaron en el debate Centros de Operaciones de Ciberseguridad en las Administraciones Públicas del Observatorio del Sector Público de Inetum (OSPI). ¿Qué español no ha soñado alguna vez con trabajar desde su casa a cambio de un salario de Reino Unido, Noruega o Estados Unidos? “Contra eso no podemos competir”, lamentó uno de los participantes.
¿Empiezas a ver a los hackers con otros ojos? Espero que sí, porque, tanto Pedrero como Fírvida coinciden en que quienes utilizan sus conocimientos informáticos para hacer el mal tienen otro nombre: ciberdelincuentes. Para luchar contra ellos, Pedrero anima a las nuevas generaciones a que se interesen por esta profesión: “Es muy divertida porque salen cosas nuevas todo el rato y hay un montón de áreas diferentes, sin contar con la enorme satisfacción que sientes cuando descubres algún fallo o diseñas una solución que funciona”.
Hizo falta una pandemia para que recordáramos cuán importante es el trabajo de agricultores, ganaderos, transportistas y empleados de supermercado, y han sido los crecientes ciberdelitos los que han puesto la ciberseguridad sobre la mesa. Ahora que ya sabemos lo importante que es para todo, llega el momento de que empecemos a tratar a sus profesionales con el respeto que se merecen. Muchas gracias a todos, queridos hackers. Lo de buenos, ya sobra.
Sobre la firma
Periodista tecnológica con base en ciencias. Coordinadora editorial de 'Retina'. Más de 12 años de experiencia en medios nacionales e internacionales como la edición en español de 'MIT Technology Review', 'Público', 'Muy Interesante' y 'El Español'.