Hacker, o jáquer en la versión que propone la RAE, es "una persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora". Proviene del inglés to hack que quiere decir abrirse paso a machetazos. Es lo que hacen estos expertos: modificar o establecer programas muy rápidamente. No es sinónimo de pirata informático ni de ciberdelincuente.

Es lo primero que nos aclara Sandra Bardón, una de las mayores expertas en ciberseguridad del mundo. No es necesario que digamos hacker bueno porque todos los hacker en principio lo son. Sandra Bardón vivía en Estonia hasta hace unos meses. Allí era investigadora en el Centro de Excelencia de Ciberdefensa de la OTAN (CCDCOE). Actualmente es codirectora para Italia de Disruptive Consulting.

"No tenemos nada que ver con los ciberdelincuentes. La gente asocia a los hacker con los que entran a los sistemas, roban la información, espían por la cámara, secuestran los datos... pero esos no son hacker, sino ciberdelincuentes. Ellos buscan un objetivo por sí mismo o por un tercero, actúan bien por ideales o por dinero. Los hacker, sin embargo, ayudamos a las organizaciones estatales y/o a las empresas privadas. Utilizamos la misma metodología que los ciberdelincuentes. Coincidimos en las técnicas pero quienes practicamos hacking ético estamos ahí para ayudar", señala Sandra Bardón.

Nos detalla cómo es su labor. "Nos introducimos en los sistemas bajo una serie de reglas. Podemos detectar vulnerabilidades o ir más allá y explotar esas vulnerabilidades. Es lo que se llama pentesting o test de penetración. Y todo se hace controlado, aunque no lo suele saber todo el mundo porque el ser humano en una organización es el eslabón más débil. Todo el mundo, incluso un experto en ciberseguridad, puede caer en una trampa de un ciberdelincuente. Nadie está exento. Simulamos ataques y así sabemos cuáles son los riesgos de nuestra organización y buscamos recomendaciones para subsanar los problemas".

Los 'hacker' no tenemos nada que ver con los ciberdelincuentes. Nosotros estamos en la red para ayudar a las organizaciones o las empresas"

Un ordenador, su mejor juguete

Sandra Bardón siempre fue una niña inquieta. Preguntaba constantemente sobre el porqué de las cosas. Recuerda que en su primera comunión le regalaron un ordenador. Aquello marcó un antes y un después. Pasaba horas destripando aquella máquina.

No me levanté un día y dije: 'Quiero ser hacker'. Mis padres decían que nunca tenía suficiente información. A los siete años empecé a programar"

"Realmente no me levanté un día y dije: 'Quiero ser hacker'. Era muy activa y hacía desde natación a ballet. Mis padres dicen que nunca tenía bastante información. A los siete años empecé a programar. Daba clases de informática. A mi madre le habría gustado estudiar informática. Me regalaron el ordenador. No había internet. Me cargué el ordenador millones de veces. También me encantaban los videojuegos. Recuerdo más adelante que tenía curiosidad por el funcionamiento de los teléfonos móviles. Así acabé estudiando ingeniería de telecomunicaciones", relata Bardón. Su proyecto fin de carrera trataba sobre la teoría del caos aplicada a la criptografía. Desde entonces no para de aprender. Lo necesita personal y profesionalmente.

La base del hacking es una forma de pensar que en inglés se expresa como "thinking out of the box". Ese ir más allá es el fundamento de la ciberseguridad, según esta experta, quien también reconoce cómo su formación en ballet le ha ayudado en este mundo de la ciberseguridad. "El baile es esfuerzo sin límites, disciplina, respeto hacia tu profesores, mucha organización, coordinación y tener las ideas estructuradas para llegar a una meta", relata. "También aprendí con el ballet a improvisar y eso ayuda mucho en la ciberseguridad también".

Primero empezó a trabajar en Indra y luego en Ingeniería de Sistemas para la Defensa de España (ISDEFE), dependiente del Ministerio de Defensa. Empezó a colaborar en ejercicios internacionales como Locked Shields. Empezó en el blue team (defensa) en el equipo de España. Estuvo en la gestación del Mando Conjunto de Ciberdefensa en 2014. Y no para. Sigue formándose y dice que nunca dejará de hacerlo. "Nunca deberíamos dejar de formarnos", arguye.

La tentación del lado oscuro

Los ingresos de un ciberdelincuente pueden ser astronómicos mientras que un hacker no se va a hacer millonario con tanta facilidad. "Depende de la ética que tenga cada uno. Los sueldos en España son bajos. Fuera se triplican y más allá. El talento se va de España por esta razón. Las empresas exigen mucho pero luego ofrecen muy poco. Aquí no se retiene el talento porque no se valora", afirma la experta.

"Es cierto que si descubres un exploit de gran impacto puedes venderlo en el mercado negro por mucho dinero. Las grandes organizaciones sí ofrecen mucho dinero por encontrar vulnerabilidades. Si te guías solo por el dinero, ya no eres un hacker", dice Bardón, que asegura que siempre ha estado en el lado bueno y siempre ha estado rodeada por los buenos.

Toda empresa hoy en día debería dedicar parte de su inversión a ciberseguridad. Da igual el tamaño porque una pyme puede perder toda su información, e incluso irse a la ruina, si sufre un ataque cibernético. Y los ataques se dan continuamente. España se encuentra entre los diez países donde hay más ciberataques, según el índice de Kaspersky.


Hace años, cuenta Sandra Bardón, solo se ponían medidas cuando ocurría algo. Pero a día de hoy, especialmente en las entidades financieras, se tienen muy en cuenta los riesgos. Como consecuencia de un ciberataque una empresa puede acabar en la ruina, y eso afecta a las pequeñas también.

Ha trabajado tanto en la empresa privada, como hace ahora, como en la pública. "En la Administración hay muy buen nivel. Gran parte de lo que se hace no se conoce por motivos obvios", afirma la experta, quien cree que en España "estamos a buen nivel, aunque siempre se puede estar mejor".

Todavía es un mundo de hombres

Sandra Bardón está acostumbrada a asistir a cursos en los que era la única en un grupo de hombres. Es la primera y única mujer en el Departamento de Tecnología del CCDCOE (Nato Cooperative Cyber Defence Centre of Excellence). Empezó en el blue team (defensa) en el equipo de España para terminar como red team desde 2014,

Como se suelen necesitar conocimientos de ingenierías, o informática, donde aún ahora las mujeres son minoría, también es así en el mundo laboral. "En general, no he tenido problemas. En alguna ocasión me he dado cuenta de que tenía que demostrar más. Excepcionalmente tuve un mal trago. La gran mayoría de los hombres con los que he tratado han sido buenos compañeros", dice Bardón.

Ser 'hacker' me parece apasionante porque siempre tengo la posibilidad de hacer algo nuevo. Nunca lo sabes todo y el que se lo crea, no sabe nada"

La experta cree que hoy en día podrían fomentarse más vocaciones si llegara más información a los colegios. "Esta profesión tiene mucho futuro, pero nunca recomendaría a nadie que estudiara algo solo por sus salidas profesionales o porque pueda ganarse mucho dinero. A mí ser hacker me parece apasionante y siempre me ofrece la posibilidad de hacer algo nuevo. Nunca lo sabes todo y el que se lo crea, realmente no sabe nada. El abanico en ciberseguridad es enorme", apunta.

Y pueden empezar a darse los primeros pasos en la infancia. "La robótica es muy atractiva para los niños. Su forma de procesar es más simple. Es una forma de acercarse y ver si te interesa". Lo interesante, a su juicio, sería que los estudiantes se plantearan a qué les gustaría dedicarse y de qué les gustaría saber más.

Desmiente que los hacker sean freakys y antisociales. "Me apasiona mi trabajo y hablar de ello pero también me relaciono con gente que no tiene nada que ver. Y no creo que haga falta ser extremadamente lista. Eso sí, soy una hormiguita y si me planteo una meta, la consigo. Pero siempre cambio la meta cuando la voy a conseguir".

Suele repetir una frase que le comentó un amigo cuando estaba preparándose para una certificación internacional muy exigente. Tras confesarle que estaba agotada, su colega hacker le dijo: "Mientras tú duermes, otros siguen aprendiendo". Y algunos usan ese conocimiento para causar el mal. No necesitan ser muchos ni un gran presupuesto. Para paliarlo se precisa una gran inversión y el mejor de los equipos.