HACKERS AL RESCATE
Mercè Molist
Casi aniquilada ya toda esperanza
de vivir segur@s en la red, después de tanto ataque contra Yahoo!,
el virus ILOVEYOU y la inminente muerte anunciada del MP3, cuando net-ciudadanas
y net-ciudadanos llevan sus manos del teclado a la cabeza ante las escuchas
en correos electrónicos de políticos de Mallorca y los 8
países más gordos del mundo (G8) se reúnen en París
para discutir únicamente de seguridad informática, sobrevuela
los cielos cibernéticos un hombre a su máquina pegado. ¿Es
un pájaro? ¿Quizá un avión? No. Es Super Hacker.
Todas las previsiones apuntan a una explosión del sector de la seguridad informática en los próximos cinco años. Y es que, después de abrirse a la red, empresas e instituciones están cayendo en la cuenta de que se abrieron mal o demasiado o con la gente no adecuada y aumenta la demanda de servicios que les cubran las espaldas. Terreno aún salvaje, sin cifras y con pocos actores, los grandes del negocio son desde hace años departamentos de corporaciones que actúan especialmente como importadores y haciendo cursillos de programas confeccionados en Estados Unidos o Israel. La seguridad hecha "a mano", la de las llamadas "consultorías" -testeo de sistemas, confección de planes de seguridad, minoristas de programas-, es un negocio pequeño y lo sigue siendo, aunque vive hoy un subidón imparable, con la aparición de nuevos proyectos, de mensaje y personal más agresivos que las consultoras tradicionales, algunos patrocinados por gente tan seria como los bancos.
Se buscan hackers. Esta vez, no para cargarlos de cadenas sinó de oro. Se busca gente en el "underground" informático, en las comunidades virtuales de profesionales y 'amateurs' de la seguridad. Se buscan expertos, para un trabajito o para muchos, forjados más allá de la universidad y, si es posible, que no les avergüence -son muy suyos- que una empresa se venda y les venda bajo la palabra mágica: hackers. De todas formas, les buscan también compañías que prefieren no airear secretos propios ni ajenos. Con la erupción, algunos jóvenes y no tan jóvenes, interesados y a veces actores de la seguridad informática desde hace años, empiezan a poder vivir de una de las cosas que tenían más prohibidas y, quizás por eso, más les diviertía: curiosear en ordenadores y redes.
Método 3, subtitulada "Detectives en acción", es una empresa pragmática, creada en 1985. Cuando uno de sus clientes, pequeña y mediana empresa, les vino un día con un problema de seguridad informática, no le rechazaron. Buscaron a un técnico y éste les trajo más y, el mes pasado, la compañía de detectives inauguraba su nuevo "Departamento Hacker Blanco". Seis personas, todas identificadas en los folletos de propaganda bajo alias, sin nombre real, forman el grupo de expertos, coordinado por Francisco Marco, doctor en derecho penal: "Nos vimos abocados por la demanda, porque nuestro trabajo es el control de fugas de información. La palabra "hacker" está desvirtuada, no deja de ser un ingeniero, los nuestros son profesores universitarios, sin antecedentes penales".
En tan poco tiempo, Marco habla ya de "éxito" y demuestra habérsele contagiado la ambigüedad del mundillo: aunque su equipo lleve el nombre "Hacker Blanco", afirma no confiar en "los que me escriben pidiendo trabajo y diciendo 'Yo soy hacker'. Ya ni les miro el curriculum, porque seran chavalines". El detective no ve ningún reparo en trabajar con los buenos: "¡Y podríamos haber trabajado con los malos!. Grandes compañías contratan a buenos conocedores de la falsificación, para protegerse. ¿Por qué nosotros no?".
El nuevo departamento de Método 3 asegura haber tenido experiencias en "la averiguación de autorías en 'mail bombings', 'mails' anónimos y ataques inconsentidos a los servidores de información de nuestras empresas clientes". Por una auditoría básica (chequeo de una Intranet o una web), cobran 55.000, y los precios suben hasta la auditoría completa (casi medio millón) o la llamada "Mareva Mundial", en la que participan equipos de seguridad de Canadá, Estados Unidos, Gran Bretaña o Alemania, unidos en una red internacional de detectives y atacando juntos al cliente que se presta. Dos millones.
Del 'loft' a la estaca
El mundo se abre a la sabiduría
hacker y lo demuestra absorbiendo a las tribus que más celosamente
la guardan; como la bolsa ha hecho con GNU/Linux, se atreve ahora con los
más grises, los que guardan las llaves, los curiosos de la seguridad
informática. El elefante IBM cuenta ya con su propio equipo de "hackers
éticos" y otras corporaciones le siguen. La cosa no es nueva, pero
sí: aunque hackers siempre los ha habido en las empresas del sector,
era pocos y la mayoría 'escondidos en al armario'. El siguiente
paso natural está siendo huir y montar sus propias o casi propias
empresas, pequeñas y ágiles, donde enorgullecerse de ser
hacker y seguir realizando I+D.
Es el caso de l0pht, el grupo de hackers norteamericanos que abrió oficialmente la veda de venderse a lo grande. "L0pht ha sido adquirido por una "startup" de seguridad informática llamada @Stake, apoyada por 10 millones de dólares en capital riesgo", anunciaba "Usa Today", el pasado 6 de enero. Directivos de Forrester Research o Compaq Computer y expertos como Daniel Greer, uno de los creadores del programa criptográfico Kerberos, aportaban su dinero al grupo, liderado por alguien llamado simplemente Mudge y reconocido en la comunidad por su labor de información sobre seguridad. Entre las hazañas de l0pht se cuenta el haber explicado ante el Senado de Estados Unidos lo fácil que sería tirar Internet en media hora. "Colectivamente, las credenciales del grupo fundador incluyen soluciones de seguridad crítica para firmas del 'Fortune 1000' y varias agencias gubernamentales", aseguran en la web de @Stake ("at stake", en peligro).
S21SEC es un caso parecido. Empresa basada en Donosti, parece estar repleta de hackers según la publicidad, mayoritariamente de un conocido grupo que prefiere no ser nombrado. Su fundador, Miguel Fernández, experto informático de alma inquieta y empresario con buena vista, los reclutaba de la forma más rápida, en verano del año pasado: patrocinando una reunión de dos días en Mallorca, la NoConName, organizada por los ya desaparecidos JJF - Hackers Team -. Mikel, su apodo entre los chicos, cazó allí a un par de talentos y hoy son 13 técnicos. Xabier Mitxelena, director gerente, no duda en asegurar que ellos son la base de su negocio: "Tenemos los mejores hackers de España y esperamos seguir teniéndolos. Nos definimos como una empresa de hackers compuesta por los mejores ingenieros informáticos y de telecomunicaciones del país, expertos en Investigación, Desarrollo e Innovación, un gran equipo humano de nivel alto de ingeniería que puede decir con orgullo que, aparte de su titulación académica, tiene la virtud de utilizar sus habilidades de hacking de forma constructiva".
El Banco Guipuzcoano es el principal accionista (20%) de S21SEC, junto a alguna gran empresa del sector informático. Su director gerente se muestra convencido de que el negocio explotará "en 3/4 años". Mientras, ahora, la clientela son "claramente los bancos, las operadoras (cumplimiento de la legislación y fidelización de clientes), la administración pública (compromiso con la e-Europa, declaración de Lisboa), las empresas que apuestan por Internet como primera o segunda vía de negocios (portales, galerías, servicios) y las que tienen un alto grado de I+D+Innovación, que deben poner barreras a la competencia", enumera Mitxelena.
Los chicos, en todo caso, están pasándolo pipa. El trabajo es y será mucho porque, ellos lo saben, la mayoría de servidores conectados a Internet, aquí y en todo el mundo, son auténticos quesos de gruyére. Mucho trabajo. Dice Daniel Solís, ingeniero técnico en telecomunicaciones y uno de los 13 de S21SEC: "De las empresas que hemos auditado, hemos conseguido 100% de éxitos. Hemos podido acceder a sus redes internas desde el exterior y tomar el control". A la pregunta de qué va a pasar con los hackers, si se van a la empresa privada, no duda Solís en responder: "No se pierden hackers, se ganan buenos profesionales. Un hacker dedicado profesionalmente a la seguridad va a seguir publicando igual de fallos en sistemas operativos y máquinas. Lo único que cambia es que ahora se le paga por un hobby y por su calidad de investigación y superación, lo cual es un aliciente para mejorar aún más".
Pocos meses después de la irrupción
de S21SEC, en marzo, se ponía en marcha desde Madrid una empresa
de parecida filosofía y más discreción: Hispasecurity.
Con un número indeterminado de trabajadores y accionistas -"empresas
de sectores tan variados como el financiero, inmobiliario o el informático",
dice su director general, Javier Núñez-, Hispasecurity reune
también a algunos de los apodos que suenan en el "underground",
sin revelar sus nombres: "Nosotros no nos anunciamos como 'empresa de hackers',
principalmente porque la gente que compone la plantilla no lo son. Es cierto
que vienen de ese mundillo, pero mi pretensión es aprovechar los
conocimientos y la entrega de una persona apasionada por el mundo de la
seguridad, para convertirlos en auténticos consultores. La capacidad
de aprendizaje y de entrega de un hacker es difícil de encontrar
en el resto de posibles candidatos".
Y a volar
Protección de datos, Intranets,
redes privadas virtuales, comercio electrónico entre empresas, criptografía,
virus y troyanos son también el terreno de Hispasec, original empresa
que está aún naciendo, de la mano de un grupo de jóvenes
informáticos, expertos que prefieren obviar la palabra maldita,
en sus relaciones públicas. Hispasec defiende una imagen más
"seria", un "contrapunto", como afirma Bernado Quintero, una de sus caras
visibles: "La verdad, es arriesgado hablar de hackers en las filas de una
empresa, como por ejemplo hace S21SEC, porque de cara al marketing empresarial
dudo que sea beneficioso. En cualquier caso, chapó para ellos, por
ir sin tapujos en ese sentido".
Más que un grupo de amigos y menos que una empresa al uso, Hispasec la forman "6 personas, cada una microespecializada en algún campo: criptología, Unix, Windows, virus, legislación, telecomunicaciones... Capital: 100% propio, crecimiento progresivo a base de reinvertir beneficios. Ahora estamos en una fase de ampliación, abiertos a la entrada de nuevas fuentes de inversión externa. En cualquier caso, el espíritu original de Hispasec no variará con la entrada de la inversión, es una condición no negociable", explica Quintero, refiriéndose al que ha sido punto de partida en la aventura: el servicio gratuito de información sobre seguridad informática "Una-al-día", en marcha desde finales de 1998 y con unas 600 noticias servidas.
"Empezamos como un grupo de gente a la que movían las mismas inquietudes en seguridad, se nos ocurrió conscienciar y ayudar con nuestro granito de arena, a través de "una-al-día". Tras el éxito, empezaron a llovernos peticiones sobre otros servicios, trabajos para multinacionales de seguridad informática a nivel mundial, consultoría de desarrollo de productos y servicios, análisis y estudios puntuales". La cosa no acabó y de aquí la ampliación "obligada", según el feliz Quintero: "En estos momentos, tenemos bastante presión para que ofrezcamos consultorías, auditorías, tests de penetración, administración remota, etc. En este sentido, ya hemos realizado trabajos para algunas corporaciones (sector bancario, organismos públicos y telecomunicaciones)".
Parece irles realmente bien, a los chicos. La inseguridad galopante de los programas informáticos y la falta de buena educación oficial para estos profesionales juegan a favor de los que buscan más. Desde cualquier lado del espejo y, pocos, a cualquier precio. Corre años ha la leyenda del auditor que primero creaba el agujero en el sistema del cliente para, después, cobrar por taparlo. La ética tórnase fluida en la picaresca del recién renacido negocio de la seguridad informática y no son raras las historias, como la de Anonim0: "Ir a clientes potenciales a sabiendas de que están repletos de agujeros es el pan nuestro de cada día. Como anécdota, mi primer curro fue con premeditación, alevosía y nocturnidad: me ofrecí a hacerles una auditoría cuando ya la tenía hecha con antelación. Quedé como un rey, los administradores que creen que vas a hacerles un test de penetración un día concreto se ponen las pilas, se pasan el día esperándote... y tú en casa tan ricamente con todo el trabajo hecho. Al final, terminan por contratarte".
Y es que aquí la paranoia -dicen-
es reina, y la desconfianza lleva, a las compañías dispuestas,
a preguntarse si deben confiar su supervivencia informática a terceros.
Positivo, asegura Jesús Cea, también de Hispasec: "Para una
empresa pequeña, mantener personal especializado para uso exclusivamente
interno puede ser una carga difícil de soportar. Para una empresa
grande, es conveniente realizar auditorías externas contratadas
a otra empresa para poder así validar los resultados que le ofrecen
sus propios departamentos internos". Mínimo riesgo: "Cuando se va
a hacer un intento de penetración, el cliente firma un contrato
en el que se detalla lo que se va a intentar, cómo va a hacerse
y hasta qué punto se va a intentar perforar la seguridad del sistema.
El contrato excluye cualquier tipo de responsabilidad para la empresa encargada
de la penetración. Como contrapartida, es costumbre incluir también
cláusulas de confidencialidad por parte de la empresa contratada,
protegiendo así al cliente", explica Cea. Y, de todas formas, la
consciencia ética de cualquier "cowboy" de la red suele superar
la media.
Método 3. http://www.metodo3.es
@Stake. http://www.atstake.com
Hispasec.
http://www.hispasec.com
S21SEC. http://www.s21sec.com
Hispasecurity. http://www.hispasecurity.com
¿UN RIÑÓN
POR NADA?
"Soy un hacker, pero me pagan como profesional de seguridad informática porque a mis clientes les asusta lo primero", afirmaba, en un reciente reportaje publicado en "Sunworld", un autor de programas libres de seguridad y consultor en sus horas de trabajo, apodado Rain Forest Puppy. Con él cada vez más expertos en informática y telecomunicaciones, jóvenes y viejos, empiezan a ser pagados para hacer la que hasta ahora era su afición; profesión sólo de una mini-minoría, en círculos de Defensa y grandes empresas.
A esta minoría se atrevía
también a desafiar, en la misma entrevista, Brian Martin, alias
Jericho, mantenedor de un conocido servicio de "mirrors" de páginas
web crackeadas y profesional del tema: "Muchas compañías
están cobrando un brazo y una pierna por seguridad enlatada. Los
"scanners" buscan muchas vulnerabilidades, pero siempre están obsoletos
en relación a los últimos ataques. La razón para hacer
un test de penetración es para testearlo todo, especialmente las
últimas vulnerabilidades. Si no pueden hacerlo, el cliente debería
como mucho comprarles una copia de los programas de escaneo".
'BE HACKER'
"Originariamente, alguien que trabaja con un hacha. 1. Persona que disfruta explorando los detalles de sistemas programables y cómo expandir sus capacidades, opuesto a la mayoría de usuarios, que prefieren aprender sólo lo mínimamente necesario. 2. Alguien que programa entusiásticamente (a veces obsesivamente) o que prefiere programar a teorizar sobre ello. (...) 7. Quien disfruta del reto intelectual de sobrepasar con creatividad las limitaciones. 8 [despreciativamente] Entrometido malicioso que intenta descubrir información sensible hurgando por ahí". Las definiciones siguen en el "Jargon File. The News Hacker's Dictionary" hasta llenar páginas y páginas sobre esta cosa imprecisa llamada "hacker" y derivados.
Hackers somos todos cuando activamos
los arquetipos de la curiosidad, la intuición y la destreza, dicen
los hackers. Hackers son delincuentes informáticos, dicen
los medios. Y así no hay corporación que se aclare. Quizás
se lo explique Jesús Cea: "No creo que para definir el concepto
'experto en seguridad' haga falta recurrir a un anglicismo, y más
considerando que para mí un hacker no tiene que englobarse necesariamente
dentro del mundo de la seguridad. Un maquinista que conoce su tren a la
perfección y es capaz de identificar un problema con sólo
oír el sonido de la maquinaria, o el mecánico que te soluciona
un problema de carburador con un chicle masticado también són
hackers. Y ninguno de los dos sabe lo que es un ordenador".