El Congreso pide ser hackeado para detectar agujeros de seguridad

El Congreso de los Diputados será hackeado una vez al año por su proveedor informático, con el fin de detectar vulnerabilidades y fallos de seguridad. Así lo exige en el pliego de condiciones lanzado por la cámara baja para la adjudicación del contrato de servicios de asistencia técnica para el soporte, configuración y monitorización de la infraestructura del sistema informático del Congreso de los Diputados.

"Con el fin de detectar posibles vulnerabilidades de los sistemas, se deberá realizar un análisis de vulnerabilidades o fallas de seguridad del sistema (hacking ético), al menos una vez al año, debiendo proporcionarse a la Dirección de TIC del Congreso de los Diputados un informe completo con los resultados y propuestas de actuación para mejorar el nivel de seguridad", explica el pliego de prescripciones técnicas, consultado por Vozpópuli para la elaboración de esta información.

El hacking ético no es más que la realización de pruebas para ver dónde pueden existir vulnerabilidades que puedan ser aprovechados por terceros para comprometer un sistema o red informática. Se trata de poner al límite la seguridad de los equipos y sistemas y buscar problemas de seguridad, para posteriormente reforzar el sistema y solventar todos aquellos agujeros que puedan encontrarse.

El contrato tiene un valor total de 1,6 millones de euros y una duración de dos años y medio, y comporta el mantenimiento y control de las infraestructuras informáticas del Congreso de los Diputados

El valor del contrato asciende a 1,6 millones de euros y su duración es de dos años y medio. Comporta "la prestación de servicios de asistencia técnica en tareas de soporte, configuración y monitorización de la infraestructura tecnológica del sistema informático del Congreso de los Diputados, especialmente en los entornos de las bases de datos, de los servidores y de las comunicaciones, tanto 'in situ' como mediante acceso remoto, de conformidad con lo dispuesto en el presente pliego y en el de cláusulas administrativas particulares", refleja la documentación.

Además, el pliego de condiciones obliga al mantenimiento continuado de las infraestructuras. "Para mantener el mayor nivel de disponibilidad de las infraestructuras, se requiere la monitorización de forma permanente tanto del hardware (servidores, sistemas de almacenamiento, equipos de comunicaciones y cualquier componente de la infraestructura que permita ser monitorizado) y el software (sistemas operativos, bases de datos, aplicaciones, servicios web, etc.). Los servicios de monitorización 24x7 deberán prestarse desde un Centro de Servicios Gestionados de la empresa contratista, que estará ubicado en España y que asegurará el servicio en alta disponibilidad", detalla la documentación consultada.

Hacking ético en el Congreso

Algunos de los profesionales que realizan estas pruebas de hacking ético están integrados en las plantillas de empresas dedicadas específicamente a la ciberseguridad, y muchos de ellos han tenido pasado como hackers. No hay que olvidar en este sentido que hay una gran diferencia entre hackers y ciberdelincuentes. Aunque se utilicen indistintamente ambos términos con connotaciones negativas, lo cierto es que no son lo mismo.

Los hackers buscan detectar problemas mediante la investigación, pero nunca vulneran los equipos. Se limitan a comunicar dónde se encuentra un problema de ciberseguridad. Algunas empresas tienen programas que remuneran a quienes descubren estos agujeros de seguridad.

Sin embargo, los ciberdelincuentes siempre buscan un rédito económico, que se obtiene mediante el robo de datos -contraseñas, datos de tarjetas de crédito- o mediante la extorsión. En este último caso una de las prácticas más habituales es el secuestro o bloqueo de los discos duros de redes informáticas mediante programas maliciosos generalmente de tipo ransomware.

A cambio de la liberación de los sistemas, los ciberdelincuentes piden un rescate, que suelen cobrar en criptomonedas. El bitcoin es la criptodivisa más común en este sentido. Su difícil rastreo por parte de las autoridades está detrás de la preferencia de los ciberdelincuentes por esta moneda virtual.