¿Puede la industria aprovecharse de los «hackers» éticos para mejorar sus sistemas informáticos?

Cerca de ochocientos asistentes, entre empresarios, juristas y profesionales de la ‘ciberseguridad’ se dieron cita este fin de semana en Córdoba en el “Qurtuba Security Congress” (Congreso sobre Seguridad Qurtuba) para conocer más de cerca las relaciones entre los hackers y la industria.

Hablar de un «hacker» es hacerlo de un profesional de la tecnología que entra de forma ilegal en sistemas informáticos ajenos. Ese «hacker» es ético si utiliza su trabajo para detectar vulnerabilidades en las redes y reporta a las empresas e instituciones sobre ese trabajo. Por segundo año consecutivo el colectivo @gurtubacon organizó este evento donde cada una de las ponencias puso de manifiesto la importancia de la ‘ciberseguridad’.

En estos momentos la figura tradicional del hacker ha cambiado bastante. Estamos hablando en la mayor parte de los casos de un entusiasta de la tecnología dispuesto a compartir sus conocimientos con su entorno.  Prueba de lo que comentamos son los asistentes que han acudido a este Congreso y los propios organizadores del evento. El hacker, por tanto, está dispuesto a ayudar a la sociedad a la hora de buscar soluciones a muchos de los problemas de las empresas en materia de vulnerabilidad. En el otro lado de la balanza, el «cracker» es ahora el delincuente informático peligroso.

Víctor Manuel Sánchez, abogado y coordinador de la Sección TIC en el Colegio de Abogados de Murcia, ICAMUR, destaca, como asistente “el elevado nivel de las ponencias de la mano de profesionales en ‘ciberseguridad’ de reconocido prestigio nacional en el ámbito legal tecnológico, riesgos en el entorno hospitalarios, ingeniería social, videojuegos y vigilancia, entre otras materias”.

La repercusión en redes sociales ha sido amplia contando en «Twitter» con más de seis millones de impresiones en el «hashtag #Q2k16» y participación desde toda España y gran parte de América. Ese ese «hastag» la organización señala que ha habido siete millones de interacciones en «Twitter» y que durante dos horas ese enunciado o «hastag», fue «trending topic» (tema de tendencia), es decir uno de los elementos más destacados de la citada red social.

Rafael Perales es abogado especialista en Derecho Digital y «hacking» ético. Fundador del despacho Derecho más Informática (D+I), socio fundador y secretario de la Asociación de Expertos Nacionales de la Abogacía TIC y miembro de la Junta fundadora de la Asociación Nacional de Profesionales del «Hacking» Ético (ANPhacket), bajo su punto de vista “la atención que se presta a la ‘ciberseguridad’ en todos los ámbitos es muy escasa”.

Para este experto la ‘ciberseguridad’ se encuentra más desarrollada “en preparación de profesionales, formación y oferta de servicios desde el campo técnico en casi todos los ámbitos”.

Sin embargo, en aplicación práctica y servicios demandados por la empresas y servicios figura en su mínima expresión. En su opinión, es “especialmente preocupante la impresionantes deficiencias de seguridad en el ámbito hospitalario donde se tratan datos tan delicados y relevantes como los del historial médico”.

Sobre las ponencias, los juristas consultados destacan la impartida por la abogada y de Susana González CEO (directora ejecutiva) de Hiberus Legaltech, “’Hackers’ europeos al borde de un ataque de datos donde abordó los temas de ‘ciberseguridad’, seguridad de la información y protección de datos desde un enfoque legal, desde la perspectiva del hacking ético.

También la exposición Daniel Medianero (Ingeniero Técnico en Informática por la Universidad Complutense de Madrid y Marketing Service Manager -gerente de marketing y servicios- en s21sec) “’Hackeando’ las emociones: Una nueva visión de la Ingeniería Social” logró una clara y extraordinaria exposición sobre la ingeniería social.

Otra intervención que generó mucha expectación fue la de Francisco J. Rodríguez Montero, miembro de INCIBE y colaborador con los Cuerpos y Fuerzas de Seguridad del Estado.

Bajo el nombre “Is it a game or is it real? (¿es un juego o es real?), realizó con una impresionante demostración práctica de los ataques a los que permanentemente estamos expuestos con una simple conexión a Internet.

De izquierda a derecha Eduardo Sánchez Toril; Vicepresidente de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket); Miguel Angel Arroyo Moreno, Presidente de la Asociación Nacional de Profesionales del Hacking Ético (ANPhacket); Rafael Perales Cañete, abogado tecnológico y fundador del Despacho jurídico Derecho más Informática D+I; Susana Gonzalez Abogada tecnológica y Directora de Hiberus Legal Tech; Oscar de la Cruz Comandante de la Guardia Civil y Jefe del Grupo de Delitos Telemáticos de la Guardia Civil y Manuel Guerra, miembro de la Sección Técnica de la Unidad Central de Investigación Tecnológica de la Policía Nacional.

‘CIBERSEGURIDAD’: ¿NICHO DE MERCADO? 

Sobre las potencialidades de la ‘ciberseguridad’, Perales señala que «más que un nicho de mercado es un nuevo campo y una nueva área sin explorar desde el punto de vista legal, siendo los propios profesionales del sector jurídico unos de los mayores desconocedores de la realidad actual en ‘ciberseguridad'».

Desde su punto de vista, muchos abogados confunden la ‘ciberseguridad’ con la mera informática, y la gran mayoría del ámbito jurídico se escudan en el “yo no tengo porqué ser informático”. Nuestro interlocutor es partidario de equipos multidisciplinares donde el jurista sea capaz de hablar con el técnico con un nivel de comprensión mínimo.

Respecto a este cuestión Sánchez indica que “¡Definitivamente se trata de un ámbito que está en gran medida por explorar desde el punto de vista de la abogacía!. Esto contrasta con la realidad de que cada día vemos en los medios cómo se comprometen sistemas de información y dispositivos de empresas”.

Para este jurista, sin duda no es fácil puesto que es un ámbito técnico donde hacen falta además una serie de destrezas y aptitudes, que no obstante, están a nuestro alcance».

En este sentido «es importante la labor realizada desde instituciones como los colegios profesionales con sus secciones de Derecho TIC (por ejemplo en ICA Córdoba, Alicante, Murcia, etc.) y por parte de asociaciones como ANPHacket o ENATIC”.

Los expertos analizaron varias fórmulas para que el reporte de las vulnerabilidades productos de los ciberataques sea efectivo. El debate fue intenso en este sentido.

En estas jornadas se abordó el problema de reportar las vulnerabilidades producto de un ciberataque, Rafael Perales señala que con la actual normativa en nuestro país es irresoluta.

“Sin embargo la tendencia europea es la contraria. Hay que recordar que el nuevo Reglamento Europeo de Protección de Datos obliga a notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados”.

Para Víctor Manuel Sánchez el hilo conductor del debate fue el informe de vulnerabilidades y la problemática que se puede plantear cuando se detecta una vulnerabilidad a través de la cual se puede acceder a un sistema de información.

“La cuestión es que en este tipo de posibles delitos, generalmente delitos de daños informáticos o revelación de secretos, hay una línea muy fina entre lo que es legal y lo que deja de serlo. Esto puede dar lugar a situaciones indeseadas que dan lugar a que determinadas vulnerabilidades no sean puestas de manifiesto a las autoridades por miedo a posibles repercusiones».

Frente a eso, se propuso por parte de los ponentes la posibilidad de usar un “proxy” (un tercero intermediario) a la hora de denunciar este tipo de situaciones. Se plantearon dos escenarios, el de hacerlo a través de los FFCCSS del Estado y que éstos advirtieran a la empresa perjudicada; y una segunda opción consistente en que esta misión recayera en el abogado.

Para nuestro interlocutor, la primera, no pareció de convencer demasiado a los asistentes ante el riesgo de que una vez puesto en conocimiento del perjudicado, éste, procediera a denunciar a quien puso de manifiesto la vulnerabilidad.

“Sin duda, mucho más adecuado, en mi opinión, es la opción de acudir al abogado -como apuntó Susana González- teniendo en cuenta que éste se encuentra ligado con su cliente (el ‘hacker’) por una relación de confianza y de secreto profesional, que deja al abogado margen de actuación para actuar y salvaguardar los intereses de su cliente y garantizar el restablecimiento de las medidas de seguridad en los sistemas de información comprometidos”.

En esa mesa redonda que fue la clausura del congreso intervinieron Oscar de la Cruz, comandante de la Guardia Civil y Jefe del Grupo de Delitos Telemáticos, y Manuel Guerra, miembro de la Sección Técnica de la Unidad Central de Investigación Tecnológica de la Policía Nacional, entre otros ponentes, quienes abordaron la problemática que se deriva de los citados fallos en los sistemas de empresas y entidades. Se espera un cambio de normativa para que sea más sencillo a las empresas reportar esos datos.

Para este jurista “El hacker ayuda y colabora, el cracker o ciberdelincuente perjudica y daña. Hay que advertir que el actual artículo 197 bis del Código penal sanciona al que acceda a sistemas aunque su ánimo no sea ilícito”.

CONSEJOS PARA PLANIFICAR UNA ESTRATEGIA DE ‘CIBERSEGURIDAD’

Por último, pedimos a estos juristas algún consejo para que las empresas planifiquen sus estrategias de ‘ciberseguridad’. Rafael Perales advierte que “ es fundamental la concienciación empresarial. Hay un dicho en el mundo de la ‘ciberseguridad’: existen dos tipos de empresas, las que han sido ‘hackeadas’ y las que van a ser ‘hackeadas’”.

Al mismo tiempo señala que “es necesario asesoramiento técnico adecuado para analizar el sistema de información que se emplea, describir los flujos de información, identificar los riesgos para conocer las vulnerabilidades e implementar medidas adecuadas de seguridad de información, organizativas y técnicas”.

Por su parte, Víctor Manuel Sánchez se decanta por “un asesoramiento especializado que debe venir de un grupo multidisciplinar de profesionales. No sólo técnicos (informáticos o “telecos”) sino también juristas que puedan aportar entre todos un análisis conjunto y realizar tareas preventivas.

Este abogado digital recuerda que “En QurtubaCON hemos podido ver que hasta la pyme más pequeña está expuesta hasta a 7000 ataques por minuto. Eso obliga a realizar una labor proactiva de en la protección de los sistemas de información de la empresa, evitando fugas de datos y no incurrir en responsabilidades en el caso de que un tercero use nuestros sistemas para realizar ataques a terceros”.

Noticias Relacionadas:

Uría Menéndez, firma europea del año en los IFLR Europe Awards 2024

Andersen asesora a UDIT en un acuerdo con Ibervalles para el alquiler de un edificio, que albergará el nuevo campus universitario

Un 67% de los expertos afirma que los departamentos fiscales están involucrados en las decisiones empresariales estratégicas, según BDO

Eversheds Sutherland refuerza su práctica de Arbitraje en Latinoamérica con Ana María Ordóñez como nueva ‘of counsel’

Ana I. Rodríguez: «No hace falta entregar la sentencia de divorcio íntegra en el colegio al tener datos sensibles»

Baker McKenzie incorpora un equipo de transacciones de 17 abogados procedente de Munger Tolles & Olson