“Sin hackers, el mundo sería menos seguro”

ChemaAlonso_850

Chema Alonso es un hacker, conocido en su entorno como “El Maligno” y que lleva constantemente un gorro a rayas. Pero no seamos prejuiciosos, porque nuestro personaje es uno de los referentes de seguridad informática más importantes del mundo que no para de participar en foros, conferencias y medios de comunicación para lavar el buen nombre de la profesión de hacker y advertirnos a los confiados usuarios sobre los constantes peligros de Internet.  Actualmente es CEO de Eleven Parths, empresa de seguridad filial de Telefónica Digital, doctor en Seguridad Informática por la Universidad Rey Juan Carlos de Madrid, Ingeniero Informático por esta misma universidad e Ingeniero Informático de Sistemas por la Universidad Politécnica de Madrid, que además le nombró Embajador Honorífico de la Escuela Universitaria de Informática en el año 2012. Y por si fuera poco, todo esto lo compatibiliza con la autoría de varios libros sobre hacking, la impartición de cursos por medio mundo y la edición de su blog: Un informático en el lado del mal, donde nos muestra las debilidades de la Red en la que navegamos todos.

P.- Cuando se piensa en un hacker viene a la mente una especie de héroe cargado de los superpoderes que conlleva el tener conocimientos para entrar en dispositivos, cuentas o sitios web donde el resto de los mortales no saben. ¿Todo este conocimiento te hace sentirte superior al resto de los mortales? ¿Dónde está la kriptonita de un hacker, su punto débil?

No existe ningún hacker que piense que está por encima de los demás. El mundo del hacking y la seguridad informática es muy extenso y amplio y estamos lejos de conocer todas las tecnologías que usamos en detalle. Normalmente los hackers suelen tener áreas de investigación centradas y cuando más estudias en profundidad un tema menos lo estudias en amplitud, y viceversa. Así que la respuesta es que no creo que los hackers se sientan superiores;  si se sienten así es que son unos necios que acabarán teniendo problemas.

P.- Gracias a tus intervenciones en los medios ya sabemos que un hacker no es el malo de la película de Internet y que, por el contrario, es el que se dedica a descubrir y advertir sobre fallos de seguridad. ¿Crees que luchar contra los malos ha limpiado la imagen de un nombre que siempre se ha asociado con troyanos, malware y otros virus informáticos? ¿Qué sería de nosotros sin profesionales como tú?

Pues no ha calado todo lo bien que debiera cuando en la Real Academia Española han catalogado a los hackers como piratas informáticos. Es una pena que en la RAE hayan recogido el término así, a diferencia del ISOC,  un organismo internacional que tiene que ver con el mundo de Internet y que lo describe en su glosario como:

WD_Cluod_hackers

(Persona  que disfruta al obtener un conocimiento profundo del funcionamiento interno de un sistema, especialmente de ordenadores y redes informáticas. A menudo, el término es utilizado en sentido peyorativo al emplearlo en contextos en los que la palabra correcta sería “cracker”.)

Sin hackers el mundo sería un poco menos seguro, un poco menos evolucionado y un poco peor en definitiva. Pero aun así, no creo que un hacker deba luchar contra los malos para lavar su nombre. Un hacker es un investigador que hace lo que hace porque lo ama, y no porque deba tener una responsabilidad de algún tipo con la sociedad. De hecho, si analizáramos las motivaciones de todos puede que hubiera muchas interpretaciones distintas.

P.- Imágenes de choques violentos en las campañas publicitarias de tráfico o fotos de pulmones reventados en las cajetillas de tabaco. Desde siempre se han usado como ejemplo las peores consecuencias de hacer alguna cosa para que tengamos un cuidado extremo al realizarla, buscando que con el miedo o la sensación de inseguridad que provocan seamos capaces de tomar realmente conciencia de protección. Por eso te propongo que nos describas la peor situación posible de ciberseguridad que imagines y así se nos quede bien grabado en nuestras mentes que hay que tomar conciencia de los peligros de la Red.

Por desgracia las peores situaciones las veo a diario. Gente que tiene problemas y juicios porque alguien le ha robado la identidad y ha pedido créditos o servicios a su nombre. Empresas y particulares a los que les han robado dinero, gente espiada y acosada en su vida particular, empresas que no pueden trabajar porque les han cifrado los datos de sus servidores con un cryptolocker, personas extorsionadas porque han sido grabadas haciendo sexting o en su intimidad, etc. Nuestra vida digital tiene mucho impacto en nuestra vida física y no tomar precaución con ella puede ser un verdadero problema.

P.- Curiosamente son los jóvenes los que más descuidan la privacidad en Internet, justamente la generación que más está en contacto con los nuevos dispositivos. ¿Dónde crees que está el error? Parece que algunos gobiernos son conscientes y van a comenzar a fomentar el estudio de programación en las escuelas, como recomienda el Instituto Tecnológico de Massachussets (MIT) ¿Crees que estas futuras generaciones con conocimientos técnicos mucho más allá de los del mero usuario actual podrán poner más vetos a los ciberdelincuentes? ¿Conoces algún programa actual en el que se haga hincapié en la enseñanza de seguridad online para niños y adolescentes?

El mundo ha cambiado y la forma de relacionarnos también. El concepto de socializar en los más jóvenes ha llevado a una exposición impúdica en la Red. Mientras que es difícil ver a un niño joven solo en la calle, en Internet están solos mucho tiempo y se exponen sin mucho control. Es necesario que sus padres o tutores les acompañen ahí igual que lo han hecho anteriormente en el parque.

Por otro lado, cada día hay más tecnologías y puntos de exposición. En el futuro ser un analfabeto digital será la peor de las torturas para los nuevos ciudadanos, por lo que es bueno que la gente esté formada en tecnología y entienda cómo funcionan las cosas.

En España ya tenemos programas de formación de estudiantes, y hay que intentar que reciban esta educación de manera obligatoria en las aulas para evitar que tengan problemas en su vida por culpa de un desconocimiento de los riesgos de Internet.

P.- El comercio electrónico está creciendo a pasos agigantados, aunque todos sabemos que lo que todavía lo frena es la falta de confianza en realizar un pago en una tienda virtual. A raíz de los datos que manejamos ¿Crees que es realmente seguro comprar en Internet? Tarjeta de crédito, pago a la entrega, PayPal, ¿cuál es el método de pago con menor riesgo?

Yo tengo una tienda online de libros llamada 0xWord.com, donde vendemos por Internet y cada vez tenemos más clientes. Por otro lado yo mismo soy un comprador por Internet habitual. Hoy acabo de comprar unas cosas y lo hago de manera muy continua. Los equipos de banca se ocupan de luchar contra el fraude bancario por lo que el riesgo está más en los sitios en los que en los que compras. Si lo haces en un sitio de confianza las probabilidades de tener problemas no son muchas.

Es más fácil que te clonen la tarjeta usándola en el mundo físico que en el virtual, pero aun así lo mejor es mantener una buena gestión y cuidado diferenciado de tu equipo si lo vas a usar para comprar o trabajar. Yo recomiendo a todo el mundo la lectura del libro de Sergio de los Santos “”, que hace pensar sobre cómo se gestiona la seguridad de un equipo.

En cuanto a medios de pago, lo mejor es una tarjeta de compra por Internet virtual con límites o PayPal. Yo hago uso de estas dos formas de pago.

P.- Si los antiguos virus troyanos se alojaban en los discos duros, se podría pensar que abrazar la tecnología cloud computing, que almacena y trabaja directamente con programas alojados en la nube es mucho más fiable. ¿Se ha cuidado la seguridad en un entorno tan actual como es el cloud computing? ¿Hay que tomar medidas especiales de seguridad para usar este tipo de entorno?

Pensar que solo por el hecho de que sea cloud o mobile es mejor o peor es un error. La cloud computing se puede entender como una plataforma para servicios, como una CPD para servidores o como una infraestructura virtual de servicios y servidores, pero en todos los casos hay riesgos que la Cloud Security Alliance trata de identificar y ayudar a que las empresas y particulares entiendan y mitiguen.

Por otro lado, los incidentes de seguridad que hemos visto con el Celebgate han tenido más que ver con ataques dirigidos a personas que utilizaban dispositivos móviles sin demasiadas protecciones que a fallos de seguridad en la nube, que también ha habido alguno.

Hoy en día, todos los fabricantes de tecnologías intentan poner mucha seguridad en sus productos, pero por desgracia llegar al 100% de seguridad es algo más ideal que real.

P.- Aparte de poner un celo en la webcam del portátil, que es algo que he aprendido de ti, ¿qué otros pequeños trucos nos podrías enseñar para que nos sirvan como una especie de botiquín de primeros auxilios de seguridad?

Aquí van 5 consejos:

  1. . Ponte una rutina y actualiza todo el software de tu sistema operativo un día de la semana.
  2. Pon un segundo factor de autenticación a todas tus cuentas: Google Authenticator, SMS, Latch o Verificación en dos pasos de Apple. Es infinitamente más seguro que las passwords.
  3. Pon un antimalware con protección en tiempo real: Yo los prefiero de pago, y aunque no son perfectos es infinitamente mucho mejor que no tener nada.
  4. Pon un software antirrobo en tu portátil y en tu móvil: Find My iPhone, Prey o cualquier otro. Un día u otro perderás tu teléfono o portátil, así que mejor localizarlo.
  5. Cifra tu disco duro y pon passwords de BIOS para el arranque: Usa Bitlocker, FileVault, TrueCrypt o PGP, pero no pierdas fácilmente tus datos.

P.- Siempre ha estado en boca de todos que iOS es más seguro que Android. Como experto en seguridad móvil, ¿dónde se cubren mejor las espaldas en iOS o en Android? ¿Triunfará la sensatez de los móviles ultra privados como el Blackphone o seguirá deslumbrándonos  el diseño y las pantallas de alta resolución antes que la seguridad?

Me ha hecho gracia eso de que iOS es seguro y que Android no. Yo les recomendaría leer el libro de Hacking de dispositivos iOS: iPhone & iPad, en el que yo participé. Pensar que la tecnología te va a salvar de ti mismo es un error.

En iOS hay menos malware pero tienen problemas contra ataques dirigidos. En Android hay problemas de seguridad en Google Play o en la actualización del sistema operativo en todas las plataformas disponibles. Ambos tienen cosas buenas y malas.

No sé si triunfarán masivamente los Blackphone o similares, pero sí que creo que hay un espacio para ellos en el mundo actual donde la gente quiere tener alguna protección extra en su privacidad.

P.- Quejas por las cláusulas de privacidad abusivas de las redes sociales, gobiernos que se meten hasta en tu cocina, delincuentes que te graban en la ducha. ¿Quién tiene realmente la culpa de que la seguridad y la privacidad sean un problema: los gobiernos, los delincuentes, los propios usuarios, las grandes empresas tecnológicas?

Pues un poco todos. Desde luego, antes de utilizar un servicio y subir datos personales o instalar un aplicación en mi terminal o sistema operativo recomendaría a todo el mundo leer con cuidado las clausulas o esperar a que sean analizadas por la comunidad. No es fácil entender todos los vericuetos legales en los que nos introducen los agreements (acuerdos de uso). Por otro lado, a veces son poco claras o explícitamente ambiguas para dificultarlas más.

El gobierno debería, en mi humilde opinión, invertir más en educación para jóvenes y conseguir una generación aún mejor preparada, al mismo tiempo que desde Europa se debería castigar las prácticas abusivas de las empresas que no sean respetuosas con la privacidad y/o la seguridad de sus clientes.

P.- Viernes 13, I Love You y Operación Aurora son algunos de los casos históricos de violación de seguridad más famosos. ¿Ha mejorado algo la cuestión desde entonces? ¿Cómo te imaginas un futuro a medio o largo plazo en cuestión de seguridad? ¿Qué cambios pueden producirse y qué nuevos actos criminales se prevén? ¿Al final tendremos que usar hasta nuestras propias células como único método de identificación fiable?

¡Qué de preguntas en una sola! El mundo de la seguridad seguirá evolucionando a medida que nosotros sigamos metiendo nuestra sociedad en la Red o esta sea más soportada por la tecnología. Hoy en día hablamos de Internet de las cosas, SmartCities, Connected Car (automóviles conectados), voto electrónico, etc. Pero tenemos ya el ehealth y el Connected Human en ciernes.

En el futuro podríamos hablar de ataques a dispositivos médicos implantados en humanos – ya hemos visto casos con los trabajos del desaparecido Barnaby Jack -, de pucherazos en elecciones nacionales realizadas por Internet o de ciudades enteras sumidas en el caos. ¡Quién sabe! Habrá que repasar los libros de ciencia ficción que siempre acaban siendo superados por la realidad.

P.- Con tus conocimientos seguramente conoces bien los entresijos de la Red y podrías hacernos por un momento las funciones de reportero de guerra y contarnos: ¿cómo va la ciberguerra? ¿Hay algún país que vaya ganando la contienda? ¿Tenemos nuevas armas sobre el tablero?

Uff. Después de ver el Iron Dome, Stuxnet, Flame, Duqu, las filtraciones de la NSA, las operaciones Tempora, el sistema X-KeyScore, el informe Mandiant sobre APT1 y las operaciones de Red October parece que los de siempre van en cabeza. Sin cambios por ahora. Veremos en los próximos años, pero el coste que supone la ciber-seguridad informática no se lo pueden permitir todos.

P.- Esta es una pregunta recurrente, pero no podemos dejar pasar a un hacker sin hacérsela ¿Has entrado en la red del Pentágono? Como sabemos que este tipo de cosas no se pueden contestar en público, ahí va otra: ¿Piensas que hay alguna institución pública o privada en las que un ciberataque haya estado o estaría totalmente justificado porque realmente se lo merezcan?

No soy quién para juzgar los actos. Personalmente tengo mis opiniones al respecto de lo que veo en las noticias, pero creo que no es mi misión entrar en un debate sobre si las operaciones militares o cibernéticas de un país son adecuadas. Es un mundo delicado en el que estamos la ciberseguridad afecta a nuestras vidas más de lo que la gente se piensa. Hay que cuidar la forma de vida de los ciudadanos, incluso si esta es cibernética.


Miguel Ángel Corcobado
Departamento de Transformación de PRISA

frau mit brille schaut ber monitor

Deja un comentario

MENU
Leer entrada anterior
Congreso de Mentes Brillantes
Madrid vuelve a reunir a las 21 mentes más brillantes del mundo

El Teatro Circo Price de Madrid acogerá por quinto año consecutivo el Congreso de Mentes Brillantes, donde 21 de los cerebros...

Cerrar