En una sala de exposiciones de Helsinki, un hacker que se hace llamar "The Mask Guy" se sienta frente a su ordenador junto a un grupo de expertos informáticos, que empiezan a piratear febrilmente un sistema de control de pruebas de KONE. Su objetivo es muy claro: vencer las defensas de KONE.
Estos talentosos y a menudo anónimos genios de la informática proceden de diferentes ámbitos, pero comparten una pasión común: encontrar la manera de entrar en los dispositivos conectados, servicios y sistemas integrados, sin importar lo seguros que sus administradores crean que son.
El plan de ciberseguridad no es un destino, sino un viaje continuo.
Pero lo que diferencia a estas personas es que en la comunidad cibernética se les conoce como "hackers de sombrero blanco" o amistosos: profesionales de la informática guiados por la ética. Su motivación, ya sea por placer, beneficio o prestigio, es buscar puntos débiles en los sistemas conectados y colaborar después con sus propietarios para ayudar a hacerlos más seguros y mantener alejados a los malos, los "sombreros negros".
Por este motivo, empresas, profesionales de la ciberseguridad y hackers éticos se han reunido en el evento anual Disobey Nordic Security, celebrado en Helsinki, para compartir conocimientos y participar en desafíos. En la competición "Capture the Flag (CTF)", copatrocinada por KONE, equipos de hackers de sombrero blanco competirán para encontrar una vulnerabilidad en un sistema de monitorización de pruebas de KONE y explotarla, permitiendo a la empresa obtener conocimientos cada vez más profundos y mantenerse un paso por delante de los atacantes.
Para los hackers, eventos como Disobey no son sólo una oportunidad de "aumentar la concienciación sobre la seguridad", dice "The Mask Guy", sino también de socializar y trabajar con otras "personas éticamente motivadas, positivas y colaboradoras".
¿Por qué es tan importante el hacking ético?
El hacking ético es una necesidad en el mundo actual, ya que los ciberataques protagonizados por hackers hostiles o de "sombrero negro" se han disparado.
Una investigación de Check Point Software Technologies nos dice que entre 2020 y 2021, los ciberataques a corporaciones aumentaron un 50%. Y lo que es más alarmante, es que el coste de los ciberataques está creciendo - para las empresas y, en última instancia, para sus clientes, con un coste medio de una violación de datos estimado en 4,35 millones de dólares en 2022.
A medida que los productos y servicios están cada vez más conectados, los clientes necesitan más que nunca la tranquilidad de que las empresas están tomando todas las medidas posibles para protegerse y proteger a sus clientes contra actores hostiles.
"Los hackers poco éticos tienen una serie de vectores en los que atacar a cualquier empresa - especialmente aquellas que no invierten y mejoran continuamente sus prácticas de seguridad", explica Laura Kankaala, Threat Intelligence Lead de F-Secure, con sede en Finlandia, un parangón dentro de la industria de la ciberseguridad y consultora periódica de KONE.
"Llegarán a través de una aplicación web vulnerable, un servicio en la nube mal configurado, una identidad mal protegida, personal sin formación que son víctima de ataques de phishing por correo electrónico, o en casos en los que la empresa no ha aplicado configuraciones de seguridad básicas como la autenticación multifactor en todos los servicios de TI de una empresa."
Kankaala, una experimentada hacker ética por derecho propio, compara el éxito de la ciberseguridad con un rompecabezas compuesto de muchas piezas. Tradicionalmente, éstas incluyen a los propios profesionales de TI de una empresa, consultores de seguridad de alto nivel, políticas internas probadas y formación. Pero más recientemente, ser el calentamiento para los hackers amistosos que jugarán en tu equipo se ha convertido en una herramienta de valor incalculable.
"Aun así, es esencial entender que mantener a raya a los hackers poco éticos y criminales es el resultado de un plan de ciberseguridad integral, y que el plan en sí no es un destino, sino un viaje continuo", añade Kankaala.
Construir la excelencia integral en ciberseguridad
De vuelta al desafío Disobey CTF, el hacker ético "The Mask Guy", que utiliza un seudónimo debido a su trabajo diario como experto en Internet de las Cosas en una gran empresa de ciberseguridad, conspira con su equipo para emplear todos y cada uno de los trucos de su libro para hackear el sistema de demo de KONE y hacerse con el control de este en primer lugar con el fin de ganar la competición.
Antti Salminen, experto en seguridad de aplicaciones de KONE, vigila a los piratas informáticos y sonríe al ver la inteligente codificación y la impresionante resolución de problemas que se está llevando a cabo.
"KONE siempre se ha tomado muy en serio la ciberseguridad y la amenaza que suponen los piratas informáticos", afirma Salminen. "Queremos librar esta batalla en nuestros términos, por lo que reconocimos que una de las mejores maneras de hacerlo era construir un puente entre KONE y la comunidad de sombrero blanco para establecer una colaboración más estrecha."
"El evento Disobey proporciona un lugar perfecto para construir esos puentes".
Junto a los grandes eventos, KONE también ofrece un programa de incentivos de recompensa económica, llamado "bug bounty", a los hackers éticos invitados para que prueben sus servicios y productos y localicen vulnerabilidades no descubiertas.
KONE siempre se ha tomado muy en serio la ciberseguridad y la amenaza que suponen los hackers.
En los últimos años, estos programas de recompensas por fallos no sólo se han convertido en algo habitual entre las organizaciones de los sectores público y privado, sino que ahora se consideran una de las mejores prácticas emergentes para garantizar una ciberseguridad sólida. De hecho, ahora se ofrecen formaciones y certificaciones formales, como el programa Certified Ethical Hacker de EC-Council, así como un programa certificado de tres cursos en la Universidad de Washington, en Estados Unidos.
Pero Salminen deja claro que no hay nada mejor que contar con un equipo propio de ciberespecialistas dentro de la empresa.
"En el pasado, una empresa como KONE no era el primer lugar donde un especialista en ciberseguridad buscaría una carrera. Pero eso está cambiando. Estamos en línea con nuestros productos y servicios más que nunca y la ciberseguridad es una prioridad absoluta, por lo que nos esforzamos por atraer a los mejores talentos cibernéticos que se pueden encontrar en la industria."
El compromiso de KONE con la ciberseguridad fue reconocido en 2023 cuando se convirtió en el primero de la industria en obtener la certificación de ciberseguridad IEC 62443 para sus ascensores de clase DX, y la certificación ISO 27001 para sus servicios digitales, incluyendo KONE Connected 24/7.
Una victoria para los clientes de KONE ... y los sombreros blancos
Entonces, la pregunta sigue siendo... ¿tuvo éxito "The Mask Guy" y su equipo de sombreros blancos, o la fortaleza cibernética del sistema de prueba de KONE resistió?
"Sí...capturamos la bandera", exclama The Mask Guy. "No fue fácil, pero nuestro equipo encontró la manera de conseguir acceso al sistema".
Y con ello, se convirtió en el ganador de la competición Disobey CTF 2023.
Para KONE, la ruta que encontraron los hackers para entrar en el sistema proporcionó valiosos conocimientos de ciberseguridad que pueden aprovecharse en el futuro.
"Fue una gran experiencia de aprendizaje para nosotros", señala Salminen, "y la resistencia cibernética de nuestro sistema de monitoreo de test se mantuvo bien - durante la mayor parte del tiempo."
"Para KONE, las experiencias que compartimos en Disobey ayudaron a desmitificar a la comunidad de hackers de sombrero blanco y sirven como marco para que colaboremos más estrechamente en el futuro para construir una mejor ciberseguridad en nuestros productos y servicios para nuestros clientes", añade Salminen.