Pon un hacker en tu estrategia corporativa

Ver a los hackers como investigadores de nuestros productos, capaces de descubrir y corregir fallos, es ya una realidad y una clara ventaja competitiva para las empresas que lo aplican

General Motors (GM) ha cerrado un acuerdo con HackerOne, compañía de ciberseguridad dirigida por Mårten Mickos y especializada en el desarrollo de los llamados ‘bug bounty programs’, que ponen en contacto a hackers capaces de descubrir vulnerabilidades en productos con los grupos afectados, los cuales, los recompensan por ello. La empresa, que captó 25 millones dólares (23 millones de euros) en una ronda de financiación en junio del año pasado, que se unen a los 9 millones de dólares aportados por los fundadores, trata de cambiar la imagen del hacking que tienen las compañías en una era en la que, por definición, prácticamente todos los productos se convierten en ‘hackeables’.

La industria automovilística, tras el escándalo generado en junio de 2015 pasado por el experimento de Andy Greenberg con un Jeep publicado en Wired, ha asumido que los vehículos, como cualquier otro producto que contiene instrucciones de programación, van siempre a tener vulnerabilidades susceptibles de ser explotadas maliciosamente, y que, por tanto, es preferible que quienes trabajen para encontrarlas sean investigadores en busca de una recompensa a cambio de hacer esos productos más seguros.

La consideración de los hackers como investigadores, y el consenso en torno a una lista de ocho puntos que recoge las reglas por las cuales esos hackers podrán trabajar sin riesgo de ser denunciados, es un avance importante para una compañía considerada clásica, que tradicionalmente había contemplado este tipo de cuestiones como una violación de la ley. La idea de apalancarse en recursos externos a la empresa para mejorar sus productos proviene de la amenazante lógica de los hechos: si no lo haces, te encontrarás con que otros lo logran al margen de tu control, y podrás incurrir en responsabilidades derivadas de ello. Obviamente, incentivar a hackers para que trabajen para ti y te permitan, aplicando la ética hacker, arreglar tus productos antes de comunicar públicamente sus vulnerabilidades, no te libra de sufrir problemas, pero sí puede influir en tu nivel de preparación para cuando estos aparezcan.

Pero, más allá de la cuestión terminológica sobre si hackers, crackers o, sencillamente, delincuentes, lo importante es entender que, cada día más, los sistemas complejos solo pueden trabajarse desde una óptica inclusiva, que permita a personas de dentro y fuera de la empresa proponer cambios, mejoras o soluciones a problemas.

La cuestión no tiene por qué ceñirse a cuestiones relacionadas con la seguridad. Tanto si lo llamamos ‘bug bounty program’, como ‘hacking ético’ o, simplemente, ‘hackathon’, cada vez son más las compañías que tratan de apalancarse en el talento externo para conseguir ideas de todo tipo que puedan suplementar el talento específicamente dedicado al diseño internamente. En este sentido, aquellas empresas que sean capaces de interiorizar este tipo de metodologías como lo que son y lo que deben ser, que recompensen adecuadamente el talento externo para no convertir este tipo de acciones simplemente en una fuente barata de ideas, y que sean capaces de motivar el desarrollo de una comunidad interesada en sus productos y en la mejora de los mismos, serán susceptibles de obtener muy buenos beneficios. Comunidades cuyas posibilidades y funcionamiento tendrán, lógicamente, mucho que ver con la imagen y reputación de la compañía, con lo que la marca es capaz de inspirar en quienes no están directamente bajo su paraguas: no, los hackers no trabajan para cualquiera.

Para muchos grupos tecnológicos, ser capaz de congregar a esas comunidades de desarrollo externas se convierte en un factor competitivo fundamental. ¿Tiene tu empresa lo que hay que tener y es capaz de ofrecer incentivos adecuados para generar ese tipo de comunidad? En el fondo, volvemos a la gran verdad de la que llevamos años hablando: abierto es mejor que cerrado, y eso se aplica a todo, incluido el diseño de productos.

Enrique Dans. Profesor. IE Business School, http://www.ie.edu