Pon un hacker en tu estrategia corporativa

Enrique Dans. Profesor. IE Business School

12 Enero 2016

Ver a los hackers como investigadores de nuestros productos, capaces de descubrir y corregir fallos, es ya una realidad y una clara ventaja competitiva para las empresas que lo aplican.

General Motors (GM) ha cerrado un acuerdo con HackerOne, compañía de ciberseguridad dirigida por Mårten Mickos y especializada en el desarrollo de los llamados ‘bug bounty programs’, que ponen en contacto a hackers capaces de descubrir vulnerabilidades en productos con los grupos afectados, los cuales, los recompensan por ello. La empresa, que captó 25 millones dólares (23 millones de euros) en una ronda de financiación en junio del año pasado, que se unen a los 9 millones de dólares aportados por los fundadores, trata de cambiar la imagen del hacking que tienen las compañías en una era en la que, por definición, prácticamente todos los productos se convierten en ‘hackeables’.

La industria automovilística, tras el escándalo generado en junio de 2015 pasado por el experimento de Andy Greenberg con un Jeep publicado en Wired, ha asumido que los vehículos, como cualquier otro producto que contiene instrucciones de programación, van siempre a tener vulnerabilidades susceptibles de ser explotadas maliciosamente, y que, por tanto, es preferible que quienes trabajen para encontrarlas sean investigadores en busca de una recompensa a cambio de hacer esos productos más seguros.

La consideración de los hackers como investigadores, y el consenso en torno a una lista de ocho puntos que recoge las reglas por las cuales esos hackers podrán trabajar sin riesgo de ser denunciados, es un avance importante para una compañía considerada clásica, que tradicionalmente había contemplado este tipo de cuestiones como una violación de la ley. La idea de apalancarse en recursos externos a la empresa para mejorar sus productos proviene de la amenazante lógica de los hechos: si no lo haces, te encontrarás con que otros lo logran al margen de tu control, y podrás incurrir en responsabilidades derivadas de ello. Obviamente, incentivar a hackers para que trabajen para ti y te permitan, aplicando la ética hacker, arreglar tus productos antes de comunicar públicamente sus vulnerabilidades, no te libra de sufrir problemas, pero sí puede influir en tu nivel de preparación para cuando estos aparezcan.

Para las compañías, resulta cada vez más importante dejar de percibir a los hackers como maleantes, chantajistas o delincuentes y empezar a considerarlos como posibles aliados a la hora de mejorar sus productos. Durante demasiados años se ha tendido a agrupar bajo el término hacker a una amplia gama de perfiles que van desde el investigador que descubre vulnerabilidades en un producto, las reporta, y únicamente las hace públicas cuando, tras un período de tiempo, no han sido adecuadamente corregidas (como forma de presionar a la empresa para que lo haga), hasta el delincuente que accede a los sistemas de una compañía para robar datos o números de tarjetas de crédito, que después vende a terceros para extorsionar a los propietarios o para, simplemente, provocar problemas.

Pero, más allá de la cuestión terminológica sobre si hackers, crackers o, sencillamente, delincuentes, lo importante es entender que, cada día más, los sistemas complejos solo pueden trabajarse desde una óptica inclusiva, que permita a personas de dentro y fuera de la empresa proponer cambios, mejoras o soluciones a problemas.

La cuestión no tiene por qué ceñirse a cuestiones relacionadas con la seguridad. Tanto si lo llamamos ‘bug bounty program’, como ‘hacking ético’ o, simplemente, ‘hackathon’, cada vez son más las compañías que tratan de apalancarse en el talento externo para conseguir ideas de todo tipo que puedan suplementar el talento específicamente dedicado al diseño internamente.

En este sentido, aquellas empresas que sean capaces de interiorizar este tipo de metodologías como lo que son y lo que deben ser, que recompensen adecuadamente el talento externo para no convertir este tipo de acciones simplemente en una fuente barata de ideas, y que sean capaces de motivar el desarrollo de una comunidad interesada en sus productos y en la mejora de los mismos, serán susceptibles de obtener muy buenos beneficios. Comunidades cuyas posibilidades y funcionamiento tendrán, lógicamente, mucho que ver con la imagen y reputación de la compañía, con lo que la marca es capaz de inspirar en quienes no están directamente bajo su paraguas: no, los hackers no trabajan para cualquiera.

Para muchos grupos tecnológicos, ser capaz de congregar a esas comunidades de desarrollo externas se convierte en un factor competitivo fundamental. ¿Tiene tu empresa lo que hay que tener y es capaz de ofrecer incentivos adecuados para generar ese tipo de comunidad? En el fondo, volvemos a la gran verdad de la que llevamos años hablando: abierto es mejor que cerrado, y eso se aplica a todo, incluido el diseño de productos.

La consideración del hacking empieza a perder esa infumable estética de pasamontañas y tonos oscuros para pasar a ser, cada día más, un elemento de importante potencial dentro de las estrategias corporativas. Si no se lo ha planteado, vaya empezando a hacerlo.

Artículo publicado en Medium.com

Último vídeo

Martha Thorne valora el fallo del Premio Pritzker 2017

See video
Síguenos en
IE Focus Newsletter
Agenda IE
Most read
IE Business School | María de Molina 11, 28006 Madrid | Tel. +34 91 568 96 00 | e-mail: info@ie.edu

Contacto

IE Business School

María de Molina, 11. 28006 Madrid

Tel. +34 915 689 600

info@ie.edu