El hacking como elemento de la estrategia corporativa

IMAGE: Karen Roach - 123RFGM cierra un acuerdo con HackerOne, la compañía de ciberseguridad dirigida por Mårten Mickos especializada en el desarrollo de los llamados bug bounty programs, que ponen en contacto a hackers capaces de descubrir vulnerabilidades en productos con las compañías afectadas, que los recompensan. La compañía, que captó $25 millones en una ronda de financiación en junio del año pasado que se unen a los $9 millones aportados por los fundadores, trata de cambiar la imagen del hacking que tienen las compañías en una era en la que, por definición, prácticamente todos los productos se convierten en hackeables.

La industria automovilística, tras el escándalo generado en junio del año pasado por el experimento de Andy Greenberg con un Jeep publicado en Wired, han asumido que los vehículos, como cualquier otro producto que contiene instrucciones de programación, van siempre a tener vulnerabilidades susceptibles de ser explotadas maliciosamente, y que por tanto, es preferible que quienes trabajen para encontrarlas sean investigadores en busca de una recompensa a cambio de hacer esos productos más seguros.

La consideración de los hackers como investigadores y el consenso en torno a una lista de ocho puntos que recoge las reglas por las cuales esos hackers podrán trabajar sin riesgo de ser denunciados es un avance importante para una compañía considerada clásica, que tradicionalmente había contemplado este tipo de cuestiones como una violación de la ley. La idea de apalancarse en recursos externos a la compañía para mejorar sus productos proviene de la amenazante lógica de los hechos: si no lo haces, te encontrarás con que otros lo hacen al margen de tu control, y podrás incurrir en responsabilidades derivadas de ello. Obviamente, incentivar a hackers para que trabajen para ti y te permitan, aplicando la ética hacker, arreglar tus productos antes de comunicar públicamente sus vulnerabilidades, no te libra de sufrir problemas, pero sí puede influir en tu nivel de preparación para cuando estos aparezcan.

Para las compañías, resulta cada vez más importante dejar de percibir a los hackers como maleantes, chantajistas o delincuentes y empezar a considerarlos coo posibles aliados a la hora de mejorar sus productos. Durante demasiados años se ha tendido a agrupar bajo el término hacker a una amplia gama de perfiles que van desde el investigador que descubre vulnerabilidades en un producto, las reporta, y únicamente las hace públicas cuando, tras un período de tiempo, no han sido adecuadamente corregidas (como forma de presionar a la compañía para que lo haga), hasta el delincuente que accede a los sistemas de una compañía para robar datos o números de tarjetas de crédito que después vende a terceros, para extorsionar a los propietarios o para simplemente provocar problemas. Pero más allá de la cuestión terminológica sobre si hackers, crackers o simplemente delincuentes, lo importante es entender que, cada día más, los sistemas complejos solo pueden trabajarse desde una óptica inclusiva, que permita a personas de dentro y fuera de la empresa proponer cambios, mejoras o soluciones a problemas.

La cuestión no tiene por qué limitarse estrictamente a cuestiones relacionadas con la seguridad. Llamémosle bug bounty program, hacking ético o simplemente hackathon, cada vez son más las compañías que tratan de apalancarse en el talento externo para conseguir ideas de todo tipo que puedan suplementar el talento específicamente dedicado al diseño internamente. En este sentido, aquellas compañías que sean capaces de interiorizar este tipo de metodologías como lo que son y lo que deben ser, que recompensen adecuadamente el talento externo para no convertir este tipo de acciones simplemente en una fuente barata de ideas, y que sean capaces de motivar el desarrollo de una comunidad interesada en sus productos y en la mejora de los mismos serán susceptibles de obtener muy buenos beneficios. Comunidades cuyas posibilidades y funcionamiento tendrá, lógicamente, mucho que ver con la imagen y reputación de la compañía, con lo que la marca es capaz de inspirar en quienes no están directamente bajo su paraguas: no, los hackers no trabajan para cualquiera. Para muchas compañías tecnológicas, ser capaz de congregar a esas comunidades de desarrollo externas se convierte en un factor competitivo fundamental. ¿Tiene tu compañía lo que hay que tener y es capaz de ofrecer incentivos adecuados para generar ese tipo de comunidad? En el fondo, volvemos a la gran verdad de la que llevamos años hablando: abierto es mejor que cerrado, y eso se aplica a todo, incluido el diseño de productos.

La consideración del hacking empieza a perder esa infumable estética de pasamontañas y tonos oscuros para pasar a ser, cada día más, un elemento de importante potencial dentro de las estrategias corporativas. Si no se lo ha planteado, vaya empezando a hacerlo.

 

This article is also available in English in my Medium page, “Corporations are at last turning to hackers

 

4 comentarios

  • #001
    Gorki - 11 enero 2016 - 18:46

    De mi experiencia como informático, he llegado a la conclusión que mucho más caro que el desarrollo de aplicaciones, es comprobar que tales aplicaciones funcionan correctamente y aun mucho más, que no
    pueden alterar su funcionamiento por acciones maliciosas que se realicen.

    La conclusión que he llegado es que nadie puede garantizar nunca que un programa informático va a funcionar bien bajo cualquier circunstancia, algo realmente preocupante cuando ese programa puede por ejemplo gobernar el servofreno de un vehículo, pero esta es la realidad, Aunque naturalmente segun la calidad de las pruebas que se apliquen será la probanilidad de la seguridad que se consiga. A mejores pruebas mayor seguridad, Sin embargo la mayor seguridad conocida se aplca a la astronautica, y pese a tdo salio “miope” al espacio el Hubble y mira que lo habrían probado.

    El problema del hackeo es aun mucho más difíci de detectar pues lo que hacen los hacker no ocurriria nunca en condiciones normales. como introducir un programa donde pone “introduzca la clave” ara grabar la clave que que ponga otro a continuacion y cosas por el estilo.

    Los hacker son gente muy especial, con mentes privilegiadas para ese tipo específico de trabajos y más te vale tenerlos de tu parte que tenerlos en contra, creo que es buena medida la de GM, pero por otra parte, contratar hackers es algo habitual por parte de las compañías dedicadas a la seguridad informática, aunque captarlos como empleados, o colaboradores externos no es sencillo ,

  • #002
    ÉZICO - 13 enero 2016 - 00:48

    Habla de hacking como podía haber escogido otro tema.. Pero lo que se queda es la capacidad de buscar y prevenir las vulnerabilidades propias, de buscar la critica para crecer mas que el elogio, de estructuras horizontales y no verticales en las empresas, de integrar, de aunar y no cerrar puertas sino abrirlas, de potenciar y atraer talento y no conformarse con la inamovilidad, de comunicar y no solo emitir, y todo suena muy bien y a eso debiera conducir la nueva era, a ver en que queda al final la neutralidad de la red.

  • #003
    Juan Francisco - 14 enero 2016 - 23:21

    En https://youtu.be/tG70kdYMeg8 Keren Elezari explica que los hackers son el sistema inmunitario de Internet

  • #004
    Valentín Pío Manuel Graña Ramos - 19 enero 2016 - 22:33

    Me gustaría saber si cuando se escribe GM se da por sentado que cualquiera tiene que saber de que se trata.

    ¿Conoce GRAÑA Y MONTERO?

Dejar un Comentario

Los comentarios están cerrados