La plataforma de formación en ciberseguridad que están usando policías en España y que nace de una pregunta: "¿Cómo se hace un hacker sin ser antes ciberdelincuente?"

A medida que se aborda la digitalización de la economía, también crece el perímetro vulnerable y expuesto a ciberataques. Lo recordaba hace tan solo unos días la mismísima secretaria de Estado de Digitalización e Inteligencia Artificial del Gobierno de España, Carme Artigas, en este medio.

Por eso estudios, empresas, universidades y políticos advierten de la necesidad de ir cerrando lo antes posible una brecha que existe entre ofertas de trabajo y demanda de perfiles profesionales. Una brecha que algunos prestigiosos hackers recuerdan que no existe como tal: si faltan profesionales es porque las empresas españolas no pagan lo suficiente por el talento.

El debate es interminable, pero lo cierto es que cada vez es más habitual ver grandes multinacionales demandando "hackers" para sus equipos. Pero Enrique Serrano, una figura muy respetada en la comunidad de especialistas en ciberseguridad de España, se hacía una pregunta. "¿Cómo se puede ser hacker si antes no has sido ciberdelincuente?".

El 97% de las webs institucionales españolas no son seguras y 12 ministerios tienen la peor puntuación en cuanto a seguridad

En este caso, la palabra ciberdelincuente puede llevar comillas. Muchos jóvenes hackers comienzan sus andanzas pirateando sistemas ajenos como una forma de aprender nuevas fórmulas para conseguir sus objetivos. Ocurrió el año pasado por ejemplo: en Madrid se detuvo a un jovencísimo ciudadano de 16 años que había conseguido hackear a una consultora española a través de un poste de pedidos en un restaurante de comida rápida.

Para atender la creciente demanda en formación en ciberseguridad, universidades tanto públicas como privadas están desplegando nuevos planes de estudios. En España algunas universidades ya ofertan los primeros grados universitarios en Ciberseguridad. Ya hay varios másteres y el Gobierno aprobó hace tan solo unas semanas una nueva rama de la formación profesional destinada a este sector.

Pero ser hacker no es una cuestión únicamente teórica. Los hackers españoles necesitaban un "campo de entrenamientos". Y esto es lo que Enrique Serrano, el mismo joven de 30 años que se hizo la pregunta antes mencionada (¿cómo ser hacker sin haber sido antes ciberdelincuente?) se propuso. Quería dar una respuesta y así nació Hackrocks.

Un campo de entrenamiento virtual

La pandemia ha impulsado la educación en remoto y ya son varias las startups españolas que apuestan por formar a nuevos profesionales a través de plataformas en línea. Sin embargo, muchas de estas soluciones tienen carencias: es habitual que los usuarios comiencen un curso con ímpetu y lo acaben abandonado. Por eso muchas startups tratan de captar la atención de sus alumnos mediante elementos de gamificación.

Hackrocks también lo hace, aunque esta pequeña empresa que tiene apenas unos meses de vida lo lleva un paso más allá. No es un simple curso en línea para aprender ciberseguridad. Es un campo de pruebas para que gente que no había conocido de cerca el sector pueda aprender y practicar.

La solución que ofrecen es, además de impartir una cierta teoría, plantea desafíos a sus usuarios. Los usuarios que se registren en Hackrocks podrán acceder a diversos contenidos en los que una línea narrativa les plantea una premisa. "Nunca va a ser algo como 'hackea esta máquina", advierte Serrano en declaraciones a Business Insider España.

4 años y medio de cárcel en España para el ciberdelincuente que creó Cobalt, un sofisticado virus informático con el que estafó 5 millones de euros a bancos de todo el mundo

Son premisas algo más sugerentes. Una base de control aeroespacial acaba de ver cómo muchos de sus archivos se han corrompido en mitad de una sensibilísima operación que pone la vida de varias personas en juego. ¿Serás capaz de recuperar los ficheros corruptos? 

"Es un campo de entrenamiento basado en retos. Todo gira en torno a retos prácticos para hackear entornos que pueden simular un sistema informático de una entidad bancaria o una página web". El modelo de negocio de Hackrocks es sencillo: los usuarios pueden registrarse y pagar una suscripción de 9,99 euros al mes para acceder a los contenidos.

Pero también tiene un apartado B2B, en el que Hackrocks ofrece su plataforma a terceros. Por ejemplo, si una entidad bancaria contrata Hackrocks, podrá formar a sus empleados en ciberseguridad simulando un sistema informático como el del banco para que así puedan tratar de hackear o encontrar vulnerabilidades.

En la industria hay una práctica conocida como pen-testing, son aquellos hackers profesionales que se dedican a hacer "pruebas de penetración". E incluso hay todo un fenómeno a su alrededor, por los conocidos procesos de bug bounty, hackers que buscan recompensas económicas por detectar vulnerabilidades.

Hackrocks traslada ese mundo a una plataforma privada y segura en la que los usuarios podrán estudiar y aprender cómo funciona la ciberseguridad antes de dar el salto ahí fuera.

El Ministerio del Interior, uno de los primeros colaboradores

La necesidad de formar en ciberseguridad es imperiosa en el sector privado, pero también en el ámbito policial. El Ministerio del Interior y el Cuerpo Nacional de Policía pusieron en marcha en 2019 el congreso de ciberseguridad C1B3rwall, en el que sus agentes pueden formarse en estos ámbitos. Y desde el año pasado, C1B3rwall también tiene un apartado en Hackrocks.

La mayoría de usuarios de la plataforma son por ahora españoles, entre los que hay ya agentes de policía. También han llegado usuarios de Latinoamérica, y la plataforma está perfectamente traducida al inglés, por lo que en su futuro a medio plazo está la idea de expandirse a otros mercados.

Enrique Serrano, que suma 30 años, decidió crear Hackrocks en mayo de 2020, cuando regresó a España tras sumar experiencias en el ámbito de la seguridad informática. Trabajó un año en IBM en un camión con 10 hackers de todo el mundo con el que la multinacional tecnológica pretendía concienciar en ciberseguridad simulando ataques informáticos allá donde iban.

Uno de los ransomware más peligrosos de los últimos meses se desvanece misteriosamente de la red: sus páginas están caídas y estas son las posibles causas

Fruto de su paso en IBM, Serrano figuró ya en la lista de 23 jóvenes españoles menores de 35 años que confeccionó Business Insider España llamados a liderar la revolución tecnológica. En una charla suya, accesible en YouTube, rememora cómo fueron sus primeros pasos en el mundo del hacking. 

Tras pasar por IBM, dio el salto a Cymulate, una startup israelí de seguridad informática. Con el estallido de la pandemia, decidió regresar a casa, y tras meditarlo unas semanas, puso en marcha Hackrocks.

Hoy, la plataforma crece de forma sostenible y además de las Fuerzas y Cuerpos de Seguridad del Estado cuenta con la colaboración de centros como la Universidad Francisco de Vitoria, que tiene un grado en Gestión en Ciberseguridad. El director del mismo, Robert Maxwell, opina que Hackrocks es "la mejor plataforma para aprender trabajando disponible para principiantes".

"No solo los desafíos son divertidos, sino que la página de la academia es un excelente repositorio de información".

Pensado para principiantes

El mercado de la formación en ciberseguridad empieza a estar cada vez más disputado. Pero Serrano cree que Hackrocks cuenta con pocos competidores. Algunos hay, por supuesto, sobre todo en países como Reino Unido o Israel. Ellos pretenden seguir tejiendo comunidad y creciendo mediante acuerdos con socios tecnológicos y académicos, como universidades.

Fruto de esa comunidad en expansión, la plataforma ha instalado un sistema paraCapture The Flag, CTF, un peculiar 'deporte' electrónico pensado para hackers en los que equipos de especialistas informáticos compiten los unos con los otros. "Ni siquiera era una idea inicial del producto, pero muchos clientes nos lo pidieron y por eso hemos creado el espacio e incluso tablas de clasificación".

Pero donde Hackrocks se diferencia mejor de sus competidores, o al menos eso opina Serrano, es en el público al que se dirigen. A menudo la ciberseguridad y el hacking se asocian con jóvenes con sudadera y capucha trabajando frente a una pantalla repleta de código a horas intempestivas de la madrugada. Hackrocks quiere huir de ese cliché.

El Gobierno ya asume un papel protagonista en la ciberseguridad, pero las empresas demandan más "bidireccionalidad" por parte de las instituciones, según estos expertos

"La plataforma huye de los colores oscuros. La interfaz es clara, nos dirigimos a un público principiante". De ahí la importancia de la narrativa, el storytelling con el que revisten los desafíos que ofrecen a sus alumnos.

La tecnología evoluciona rápido. Los hackers de hoy aprendieron trasteando dispositivos que hoy pueden considerarse rudimentarios, como viejos ordenadores o consolas de los 90. Hoy, los más pequeños tienen accesos a dispositivos de última generación desde el momento en el que prácticamente nacen.

Por eso Enrique Serrano espera que muchos de los hackers del mañana se formen con desafíos como los que proponen en Hackrocks: "Nacho acaba de mudarse a un piso de alquiler y ha encontrado un misterioso trozo de papel perdido en el fondo de un viejo cajón. Solo pone "Bitcoin" y una serie de letras. ¿Puedes ayudar a Nacho?".