Así trabajan los 'hackers': «Llego a una empresa, saludo, me siento y trato de reventar su seguridad»

Es un procedimiento muy extendido en el sector de la ciberseguridad. Solamente la dirección de la empresa sabe que aparecerá el 'hacker bueno'. El día pactado, este aparece con traje, corbata y un portátil. Entra saludando con confianza a quien se cruza, busca un sitio libre entre los empleados y abre su portátil para trabajar. «He llegado a preguntar a alguno incluso qué tal había ido su fin de semana sin conocerle de nada», explica Ander, nombre falso de un empleado de una empresa dedicada a dar soluciones contra los ciberataques.

Desde su ordenador se dedica entonces a detectar posibles vulnerabilidades de los sistemas informáticos de su cliente, desde la conexión a la wifi hasta la seguridad de sus servidores. O dicho de otro modo: «intento reventar sus sistemas, ver por dónde puedo entrar». Cualquier resquicio por donde se pueda colar 'malware' (que abarca virus, troyanos, gusanos o programas espía) debe detectarlo para la auditoría que presentará días después a sus clientes. «Y la gran mayoría tienen agujeros, más o menos grandes, aunque cada vez hay una mayor mentalización para invertir en protegerse».

La prueba puede incluir el envío de un falso correo, como los que envían los 'hackers' auténticos, a toda la plantilla con algún gancho atractivo como ofrecer un premio o un aviso para recoger un paquete. «Son como los que nos llegan habitualmente en los que aparece un link que no deberíamos clicar», explica para referirse al 'phising'. ¿Pero hay alguien que pique en ese truco? «La mayoría de empleados, y algunos insisten y lo hacen varias veces», recuerda.

Este experto lamenta lo fácil que se cae en este tipo de trampas, aunque recuerda que simplemente por abrir un correo electrónico, por sospechoso que sea, no hay problema alguno. «El error llega al pinchar en los enlaces y sobre todo al continuar navegando por esa falsa página web que nos ofrecen los delincuentes». Y es que a partir de ese momento el 'hacker' puede obtener a material sensible de toda la compañía gracias a que todos sus empleados están conectados a la misma red. «Una organización es como una cadena, el eslabón más fácil te puede dar a toda la información sensible», explica.

Ander lo tiene claro. «Si van a por ti, te pueden encontrar vulnerabilidadades, así que lo mejor es anticiparse y protegerse». La concienciación entre empresas de todo tamaño ha ido creciendo en los últimos años, «pero muchas veces no acuden a nosotros hasta que no han tenido algún ataque ellos o alguna empresa cercana o conocida».

Esta precaución también va por barrios «porque las firmas dedicadas a la tecnología están mucho más avanzadas, mientras que en el sector industrial aún queda mucho camino por recorrer, no hay tanta sensibilidad por protegerse de ciberataques».

En todo caso, para empresas y para particulares, la principal recomendación es «usar el sentido común, pensar lo que hacemos, sospechar y, sobre todo, no aceptar mensajes sin leerlos. Es muy fácil darle a un delincuente permisos y a datos sensibles si no leemos los mensajes de advertencia que nos aparecen al navegar, ya sea desde el ordenador o desde el teléfono móvil».

• Temas
• Hackers
• Ciberseguridad