La República
17 de octubre de 2010
No es el típico pirata informático que se cuela en las computadoras para robar contraseñas bancarias o arruinar diseños web. El español Chema Alonso está del otro lado de las hordas digitales: ayuda a empresas y gobiernos a encontrar los errores en sus sistemas de seguridad. Aquí las confesiones de un ingeniero al servicio de Microsoft.Por Ghiovani Hinojosa
–¿Por qué podemos decir que otros hackers son delincuentes y tú no?
–El hacker es una persona con mucha pasión, capaz de hacer con la tecnología algo que nadie más puede; aprende y aporta nuevas ideas, nuevas formas de romper cosas. No tiene nada que ver con el delito. Muchas veces esto se confunde, se piensa que el hacker es simplemente alguien que se cuela en un sitio, que hace los típicos ‘defacements’ (manipulación de páginas web). La mayoría de hackers buenos es gente profesional que no suele tener ese pasado oscuro, que escribe artículos sobre los fallos de seguridad que encuentra. Yo nunca he hecho un ‘defacement’, por ejemplo; no es mi trabajo.
–El perfil que describes se ajusta al del ‘hacker de sombrero blanco’, como llaman al informático constructivo, en oposición al del ‘hacker de sombrero negro’, que es el que se afana en robar contraseñas, por ejemplo.
–Sí, podríamos decir que yo soy un ‘hacker de sombrero blanco’. En realidad, de rayas celestes y marrones (risas). A mí me contratan empresas para hacer tests de intrusión, es decir para poner a prueba sus sistemas de seguridad. Si no puedo entrar, eso no quiere decir que estos sean seguros, pero ya da cierta garantía. Es hacking ético, entras sin romper nada. Es fantástico porque es como jugar... ¡me pagan por jugar!
–¿Qué tipos de vulnerabilidades has descubierto?
–Por ejemplo, hemos publicado una técnica para colarse en los paneles de control de administración de páginas web; hemos encontrado software vulnerable de muchas empresas, aplicaciones que utilizaban, incluso, el Ejército de los Estados Unidos y el Consejo Nuclear Británico. Fue a raíz de una intrusión que realizamos. La técnica fue bautizada ‘Blind LDAP Injection’.
–¿Con qué empresas has trabajado?
–Informática 64, la consultora que fundé hace once años y que ha trabajado con muchísimas empresas, con multinacionales como Microsoft, Repsol, Telefónica y Red Hat. Por ejemplo, si tu diario va a sacar un nuevo sistema de pago por lectura online, un mes antes de lanzarlo nos puede dar el sistema y decir ‘rompedlo’. Entonces, nosotros intentamos romperlo por todas partes, y damos una lista de riesgos: ‘hemos conseguido leer el periódico sin pagar, ver los datos de otro usuario, robar las contraseñas, bajar las fotos originales y cambiar las noticias’, por ejemplo. Hemos trabajado también con la policía cibernética española y con sistemas de votación electrónica.
–Algunos compañeros hackers te tratarán como un traidor.
–Wow, sí, las guerras en este mundo son de ego. Yo tengo un blog que se llama “Un informático en el lado del mal”, justamente porque algunos me ven en ese lado, el de las corporaciones (burlón). Y me dejan algunos mensajes preciosos: “Eres un subnormal”, “eres un vendido”, etc.
¿Tu computadora tiene virus?
–¿Te molesta que te llamen ‘hacker de Microsoft’?
–No, para nada. Me llama mucho la atención que Microsoft esté muy mal visto en Sudamérica, no sé por qué es así. En Europa y Estados Unidos no es así. Microsoft es una multinacional bastante pequeñita comparada con gigantes como Google, que hoy es la número uno, y Apple, que le ha superado en acciones. Es bastante curioso porque, por ejemplo, las plataformas de Apple son cerradas, no puedes instalar ningún software externo en ellas, y las aplicaciones propias son bastante caras.
–En una entrevista dijiste: “Mi mensaje no es pro Microsoft sino antiignorancia”. ¿A qué te referías?
–Es muy común que la gente piense así: ‘Microsoft es inseguro porque Windows es una mierda’, ‘en Linux (otro sistema operativo) no hay fallas de seguridad’, ‘en Macintosh no hay virus ni troyanos (programas maliciosos con los que otros pueden controlar remotamente tu PC)’. Yo me dedico a demostrarte lo contrario, por ejemplo que sí hay virus en Mac: hago demostraciones y publico artículos en los que explico cómo funciona este malware (elemento dañino). Realmente, yo no estoy haciendo apología de Microsoft. Usa lo que te dé la gana, me da igual; pero no me toques los cojones (no me molestes). Si te gusta algo, úsalo, pero no digas que lo otro es malo simplemente porque quieras. Hay mucho de teoría de la conspiración. Richard Stallman decía: “Los programadores de Microsoft son malévolos y hacen las cosas solo por coartar las libertades y fastidiar al usuario”. Digo, claro, los programadores de Microsoft se sientan a escribir y piensan cómo darle por el culo al usuario (sarcástico).
–¿Qué ejemplo puedes dar de que los otros sistemas son vulnerables?
–Imagínate este caso: aparece un fallo de seguridad en el correo de Microsoft, Hotmail. Inmediatamente, pensamos ‘Microsoft lo ha dejado adrede para la que NSA (Agencia de Seguridad Nacional de los Estados Unidos) pueda leer mi correo electrónico, que es lo que quiere Bill Gates: leer mi correo electrónico’. Pero lo mismo pasa en Gmail, el correo de Google, y nadie piensa así. En Gmail ha habido vulnerabilidades tipo CSRF (falsificación de petición en sitios cruzados, por sus siglas en inglés), que han permitido leer los mensajes.
–Se rumorea que las empresas de antivirus crean virus para mantener su negocio. ¿Es cierto?
–(Ríe con cacha) No. La industria del malware mueve muchísimo dinero. Esa gente hace una cantidad ingente de malware diariamente. Utilizando técnicas de ‘morphing’, mutan un mismo troyano, por ejemplo, de tal manera que cada día pueden aparecer 20 mil muestras de malware mutado. Esas 20 mil muestras tienen que ser recogidas por las empresas de antivirus y ser analizadas entre millones de archivos inofensivos para seleccionar las malas, ver qué hacen estas últimas, generar una base de datos con ellas y distribuir la información. ¿Tú crees que con ese trabajo les queda tiempo de crear un troyano?
–Entonces, ¿quiénes crean los troyanos?
–Las mafias. La cadena es más o menos así: primero, se hacen los ‘kits de explotación’, que sirven para colarse dentro de las computadoras; segundo, se diseñan los troyanos, que sirven para controlar los ordenadores colados; tercero, se crean los ‘payloads’, que son las órdenes de trabajo para los troyanos, por ejemplo que registren las contraseñas de los usuarios que se conectan al banco X; cuarto, se hackean algunos servidores web para albergar las contraseñas robadas por los troyanos; y quinto, se transfiere el dinero a cuentas creadas por terceros –los ‘muleros’–, que lo reciben, lo cobran en efectivo y lo reenvían a través de empresas tipo Western Union. Así, el dinero llega a las manos de la mafia sin que ella lo haya tocado directamente. Es una industria automatizada.
Su hija
Chema Alonso ha creado la aplicación “Foca”, que permite, entre otras tareas, recuperar los metadatos de los archivos. Los metadatos son algo así como el ADN oculto de un documento de Word, por ejemplo, que permite saber el historial de soportes en los que ha estado este desde su creación (tanto en la web como en discos duros y USBs). “Foca” es útil para comprobar los fallos de seguridad de los portales estatales a partir del análisis de sus archivos colgados. Para descargar una versión de prueba, ingrese a www.informatica64.com.
Perfil
• Profesión: Ingeniero informático.
• Estudios: Ingeniería informática y maestría en Sistemas de Información en la Universidad Rey Juan Carlos (Madrid). Actualmente, cursa un doctorado PhD en Seguridad Web.
• Trabajo: Consultor de Seguridad de la empresa Informática 64.
• Méritos: Premio Most Valuable Professional (VMP) en Seguridad de Microsoft durante 6 años.
No hay comentarios:
Publicar un comentario