Raúl Masa

Los hackers viven en el filo de la navaja. Entre la genialidad informática y la legalidad vigente. Sus acciones, en realidad, están más cerca de lo primero que lo segundo. De hecho, esa capacidad les convierte en activos fundamentales para muchas empresas, aunque todavía hay grandes compañías del Ibex 35, en el caso español, que no se dan cuenta de ese potencial.

Incluso, la criminalización de sus acciones suele ser el primer paso. Quizá por desconocimiento, miedo o, peor aún, por pensar que estas empresas tiran el dinero en equipos de ciberseguridad que no valen para nada, el hacker se ha convertido en un enemigo. Alguien a quien reprochar la incapacidad, en ocasiones, de gestionar bien la seguridad de una compañía.

Un ejemplo reciente lo ha vivido la energética Naturgy. Según un artículo publicado en El Confidencial, un “pirata informático”, término que utiliza el medio y que muchas empresas usan de forma despectiva, habría accedido a finales de 2018 a información confidencial de buena parte de los altos directivos de la compañía.

Según la noticia, el hacker habría accedido a correos electrónicos personales, documentos internos altamente confidenciales, operaciones de fusiones y adquisiciones y potenciales objetivos estratégicos corporativos. Aunque según ha podido conocer este medio, el hacker habría accedido a muchas más documentación de la que se tiene constancia.

Pero como sucede en este tipo de historias, la compañía intenta siempre criminalizar al hacker cuando, en realidad, debería servirse de él para mejorar. En el caso de Naturgy, con una polémica de pagos de por medio a través de la consultora Capgemini, manifiestan haber resuelto de manera interna la situación. En realidad, merece la pena preguntarse si en este tipo de situaciones cabría la posibilidad de que el hacker terminara trabajando en la empresa.

Se trata de profesionales con una altísima cualificación en el ámbito de la ciberseguridad, y sus acciones dan buena cuenta de ello. Son capaces de burlar sistemas de seguridad de empresas que cotizan en el Ibex 35. Asimismo, descubren vulnerabilidades que afectan a los clientes de estas compañías y su imagen pública. ¿Por qué no contar con su experiencia laboral?

LOS HACKERS Y EL IBEX 35

La situación que ha vivido Naturgy no es una excepción. Hace unas semanas MERCA2 contaba en exclusiva cómo diversas constructoras cotizadas se enfrentaban, de igual modo, a un hacker que también criminalizaban.

En concreto, la plataforma de gestión documental Nalanda, especializada en el sector de la construcción, sufrió una vulnerabilidad informática por la cual comprometía datos privados de grandes constructoras como FCC, Acciona o Ferrovial, así como otras importantes compañías: Mercadona o Endesa. Lo curioso es que la propia empresa documental tiene entre sus accionistas a estas mismas constructoras.

La historia es que se descubrió una vulnerabilidad 0-day en la solución online Nalanda utilizada para la coordinación de actividades empresariales (CAE) y control de accesos ligados a la documentación que dejaría expuestos los datos privados de sus clientes, contratas y subcontratas, que hubieran utilizado sus servicios. El problema era que a través de esta vulnerabilidad se accedía a parte de esos datos privados. Así lo pudo comprobar MERCA2 según las pruebas aportadas por el analista de seguridad Y3110w-S4bm4r1n3.

En una serie de artículos se descifró todo lo ocurrido. La conclusión, de nuevo, fue que las grandes empresas ningunearon en cierto modo el trabajo de un experto en seguridad. Y la pregunta vuelve a ser la misma: ¿No necesitarían estas compañías de un analista que ha sido capaz de entrar en su organización con recursos limitados?

Bien es cierto que hay hackers que se han hecho famosos, como Chema Alonso, a los que una gran empresa como Telefónica le ha dado trabajo. Pero su trayectoria es algo relativamente distinta a la de esos hackers que desde la sombra son capaces de entrar donde nadie más puede y conseguir aquello que las empresas decían que nadie podía conseguir.