Las empresas europeas necesitarían contratar 392.000 expertos en ciberseguridad para hacer frente a la ola de ciberataques, según un estudio elaborado por la Agència de Ciberseguretat de Catalunya y Acció, pero en la lucha por el talento no solo compiten con otras empresas sino con los mismos hackers, que están aplicando agresivas tácticas de reclutamiento, con anuncios en foros y redes sociales, envío de captadores a modo de headhunters a eventos como hackathones, retos gamificados y ofertas con grandes sueldos, teletrabajo, anonimato e impunidad.
“El cibercrimen mueve un negocio enorme en la economía sumergida: se estima en 10 billones de dólares anuales, el equivalente al PIB de uno de los grandes países del mundo” señala José Luis Rojo, socio de ciberseguridad de la consultora EY. “Funcionan como una gran empresa: el dinero lo reinvierten en innovar y desarrollar tecnología, y en captar talento. Tienen su departamento de Finanzas, de Operaciones,… y de Recursos Humanos, que acuden incluso a ferias y eventos a captar profesionales”.
A las empresas les cuesta encontrar verdaderos expertos con experiencia en ciberseguridad. “Hay muchas personas que trabajan en el sector, pero pocos expertos porque hasta ahora ni siquiera había una formación especializada, y todo dependía del interés y la experiencia de cado cual” señala Francesc Xavier Vendrell, analista senior de ciberseguridad de Parlem Tech, el área de servicios tecnológicos de la operadora Parlem. “Es un trabajo en el que has de estar pendiente las 24 horas, porque no sabes cuando habrá un ataque. Y los salarios no son altos e incluso más bajos que los de otros países”.
Según el estudio de la Agència, en Catalunya el experto en ciberseguridad tiene los salarios más altos del mundo digital, con una media de 57.200 euros al año, pero aún así las empresas solo consiguen que 3,3 candidatos se presenten a cada oferta de trabajo.
Los hackers, por su parte, no reparan en gastos. Lockbit, un grupo de cibercriminales vinculado a Rusia que fue considerado el más peligroso del mundo, publicó diversos anuncios en su página en la “Dark web” en los que ofrecía hasta 10.000 dólares por “exploits de día cero” (una secuencia de código que aprovecha una vulnerabilidad desconocida de un programa o sistema), así como ofertas de 1.000 al mes para captar “probadores” que se pusiesen en la situación de las víctimas de sus ataques para que sus desarrolladores de virus “puedan corregir los errores que detecten”.
Otros grupos van más allá y publican sus ofertas en redes sociales como Discord y Telegram, o contactan a través de estas redes o de Linkedin a personas que han participado en los eventos que sus headhunters supervisan.
“No solo los grupos de ciberdelincuentes que quieren ganar dinero buscan hackers, sino que los grandes países del mundo quieren también sus propios hackers para espiar o para atacar a sus adversarios”, señala Vendrell. Y movimientos políticos y organizaciones terroristas también publicitan sus propias ofertas: este fue el caso del Estado Islámico, que lanzó anuncios masivos en redes sociales ofreciendo 10.000 dólares a cada hacker que lograra realizar con éxito un ciberataque contra webs oficiales del gobierno de la India.
“Los ciberdelincuentes ofrecen dinero fácil, y es un delito de guante blanco, que no tiene “sanción social”, señala Vendrell. Además, aun cuando las redes nunca son anónimas, “el volumen de ciberdelitos es tan grande -12.000 a la semana tenemos en España- que si no es un ataque especialmente notorio el hacker puede tener casi la seguridad de que no le perseguirán”, señala..
Con todo los ingresos se reciben en criptomonedas, que se han de convertir en euros para usarlos en la vida diaria y eso tiene sus propios riesgos, fiscales y legales. “Algunos hackers sí que acaban en la cárcel -recuerda Rojo- y estamos hablando de una actividad que se realiza en el marco de grupos criminales que además de ciberataques realizan otros delitos, como el tráfico de drogas, de armas o de personas”. Y, como auténticos criminales que son, muchas de las “ofertas” de trabajo que publican son falsas e infectan los equipos de quienes les contactan para poder robarles criptodivisas o sus cuentas bancarias o usarlos para cubrir sus propios ataques.
Los cibercriminales son también muy activos en la captación de jóvenes. “Muchos adolescentes a los que les gusta la informática se introducen en la ciberdelincuencia casi sin darse cuenta. Un inicio típico es entrar en el sistema del instituto para falsificar las notas. Y se toman como un reto lanzar ataques cada vez más grandes”, señala José Ángel Merino, subinspector del área central de Delitos Económicos de los Mossos d’Esquadra.
Los grupos criminales apelan a esta emoción del hackeo y utilizan estrategias de gamificación: plantean desafíos, organizan competiciones en línea, y publicitan tablas de clasificación en foros para satisfacer los deseos de notoriedad de los jóvenes. Sin embargo, muchos de los hackers novatos son engañados en estas redes: les pagan una fracción de lo prometido, o les utilizan como “mulas” para blanquear el dinero o cubrir el rastro de los líderes de la trama.
Empresas y gobiernos tratan también de que los hackers cambien de bando. “Algunos expertos en ciberseguridad que asesoran a empresas o a las distintas policías han tenido una etapa ‘dudosa’ e incluso han pasado por la cárcel” asegura Vendrell. El subinspector Merino, por su parte, aboga porque España introduzcaprogramas como los que aplican otros países, como Estados Unidos, que permiten que las agencias gubernamentales contraten a esos hackers. “Sería positivo que pudiéramos hacerlo, porque son personas que pueden aportar su formación y su capacidad de expertos a la policía, o también convertirse en confidentes para poder infiltrarse en los grupos criminales”. De esta manera, señala, la Agencia de Ciberseguridad del Reino Unido logró infiltrarse en Lockbit e hizo públicos sus datos, lo que lo dejó inoperativo.
La profesión de hacker, sin embargo, está cambiando. Según Rojo “el cibercrimen ha evolucionado y se ha formado un ecosistema, con grupos especializados en las distintas fases de los ataques. Unos lanzan las campañas de phising, por ejemplo, mientras otros desarrollan los programas para que puedan lanzarse esos ataques y venden el Crimen como Servicio (CaaS). El atacante final no necesita tener conocimientos informáticos avanzados, porque ya tiene proveedores que desarrollan las herramientas”.
“Muchos ciberataques pueden lanzarse ahora con muy poca inversión y pocos conocimientos“, lamenta Vendrell. Por ello, desde su experiencia en la gestión de la ciberseguridad de las pymes, que son la mayoría de los clientes de Parlem Tech, ”cada vez más nos las tenemos que ver con hackers que son unos auténticos novatos”.
