Público
Público

"No entienden que rompas un sistema de seguridad por diversión"

Dos hackers repasan la escena underground, desmontando algunos mitos sobre la seguridad

MIGUEL ÁNGEL CRIADO

Mikel Gastesi e Iñaki Etxebarria comparten una curiosa dualidad: son hackers pero, al mismo tiempo, trabajan en empresas de seguridad informática. El primero, de 27 años y navarro, es experto en malware (programas maliciosos) y es investigador de e-crime en S21Sec. Iñaki, vizcaíno de 28 años, sabe mucho de rootkit (programas que se esconden a sí mismos u ocultan a otros) y está en Panda Security.

Ambos dieron sendas ponencias en unas recientes jornadas de seguridad informática organizadas por BlindSec, una firma bilbaína creada también por hackers. En una charla a dúo, repasan la escena underground, desmontando algunos mitos sobre la seguridad.

¿Se puede ser hacker y trabajar en una empresa de seguridad?

Iñaki. Sí, incluso es positivo para la empresa. Tiene a un tipo al que le gusta lo que hace, que trabaja incluso en casa, por hobby.

Mikel. Una empresa de seguridad tiene que saber a lo que se enfrenta para combatirlo. No puede pelear contra algo que no sabe lo que es.

¿Hay buenos y malos en el hacking?

I. Hay buenos y malos porque, aunque el conocimiento sea el mismo, algunos lo usan con fines éticamente cuestionables. Como los que hacen troyanos para acceder a los bancos, por ejemplo. Eso no está bien visto.

¿Son estas cosas las que han provocado la mala imagen de los hackers, su confusión con los crackers y delincuentes informáticos?

I. Se ha estigmatizado el activismo hacker. Atacar una página con contenido indeseable o un servidor no está bien visto por algunos, porque es una forma de tomarse la justicia por su mano, usando lo que sabes como herramienta política. Pero hay también muchos hackers que ni siquiera son activistas, sólo son curiosos.

M. Lo que pasa es que hay quien no entiende que rompas la seguridad de un sistema por diversión.

¿Hay tanto peligro en la Red como transmite los medios de comunicación o es alarmismo?

M. Peligro sí que hay. Existe mu-cho malware, troyanos bancarios, exploit para controlar navegadores. Hay miles de sitios web fraudulentos ahí afuera y otros que, siendo legítimos, están infectados. La cosa empeora por la falta de concienciación de la gente.

I. Quizá sea bueno ese alarmismo, igual es sano. Quizás debería haber incluso más, la gente se concienciaría del riesgo que existe.

¿El hacking puede tener una finalidad social, política?

I. Yo he ido más por el lado de la diversión. Pero algunos tiene una conciencia más social, y esos conocimientos adquiridos por diversión, los usan con fines políticos.

M. El hacking al principio es más por curiosidad, por afán de aprender. Cuando consigues algo, la satisfacción que sientes no la paga el dinero.

¿Hay empresas y gobiernos metidos en la escena underground?

I. En el mundillo se habla del Gobierno ruso o los israelíes; se sabe que el Mossad tiene hackers en una guerra electrónica. Lo que no sé es cuánto hay de mito. Pero si la Guardia Civil tiene hackers de los buenos, o que al menos lo fueron al principio, es lógico que haya otras entidades que usen este conocimiento.

M. Expertos de seguridad, sí. ¿Hackers? No estoy seguro.

Desde EEUU se acusa a China de intrusión en sus redes y espionaje electrónico.

I. Hay algo de sensacionalismo, pero tanto en China como en Rusia hay muchos ISP blindados, que son el paraíso de actividades sospechosas.

M. En China hay mucho movimiento, con dominios con código malicioso.

EEUU ha anunciado que va a contratar a hackers.

I. Eso indica o que no son éticamente muy coherentes, o bien han aceptado que contratar gente de la escena hacker no es malo, de hecho es bueno técnicamente.

M. La ética no suele tener mucho que ver con la práctica política. Los gobiernos, como cualquier empresa, necesitan conocer la tecnología y lo que hay, y para eso, nada mejor que tener a un entusiasta del tema.

¿Cómo veis la seguridad del usuario doméstico medio?,

I. Baja o nula.

M. No actualizan el ordenador o no ponen un antivirus en condiciones. Muchos tienen el sistema Windows pirateado y no lo actualizan para que no se les bloquee.

¿Es más seguro el sistema operativo Linux que Windows?

I. La operativa tradicional de uso en Linux es que tengas un usuario especial para hacer cambios en el sistema, pero para las tareas normales, tienes una cuenta de usuario restringido. En Windows, el 99% de los usuarios domésticos tienen una cuenta de administrador, eso es un verdadero peligro. Además, en Linux hay una cultura de paranoia, de desconfiar más, que en esto viene bien.

M. Windows es tan seguro como lo configures y Linux también. Pero el perfil del usuario de Windows es mas novato que el de Linux. Además hay mucho más malware para el entorno Windows.

¿La industria de seguridad va por detrás?

I. Cada minuto hay malware nuevo que, sin ninguna innovación técnica, no supone problema alguno. Pero en ocasiones, ante una nueva vulnerabilidad del sistema operativo, como la que aprovechó Conficker, te pega muy duro y tardas en responder. Pero aún así, eso es mejor que nada.

M. El nivel de seguridad sería aceptable si se usara lo que existe.

¿Habéis sido malos alguna vez?

I. Depende de lo que se entienda por malo. Hacer algo deliberadamente a alguien o aceptar dinero por algún encargo, algo que me haga sentir arrepentido, no.

M. Como Iñaki, habré hecho alguna cosa que no es muy correcta pero, como él, nada que haya ido contra mi ética.

¿Te ha resultado interesante esta noticia?

Más noticias