Diferencias entre las pasiones de un hacker constructivo frente a los intereses ocultos de un hacker destructivo

Ética y libertad vs delincuencia en el ciberespacio

.

“El origen de la palabra hacker proviene de un ataque a la red telefonica del MIT, en la cual se referían a los actores como “hackers”, puesto que habían podido «destripar» el sistema y sacar provecho propio para realizar llamadas gratuitas. Poco a poco, el término fue adoptado por los medios y por la comunidad”, explica Sergi Álvarez, ponente de la última Festibity, la fiesta de las TIC, organizada por la Facultad de Informática de Barcelona y FIB Alumni, que en la presente edición reunió a más de 600 profesionales. Entre networking, humor y grandes reflexiones la Festibity 2016 quiso demostrar los peligros en ciberseguredad a los que nos exponemos en nuestro día a día.

.

El Pabellón Italiano reunió este mes de mayo a más de 600 personas, representantes de las empresas más relevantes del sector TIC, CIOS y también estudiantes de la FIB

El Pabellón Italiano reunió este mes de mayo a más de 600 personas, representantes de las empresas más relevantes del sector TIC, CIOS y estudiantes de la FIB

.

Eva Serra / Catalunya Vanguardista

La frontera entre el denominado “hacker bueno” del “hacker malo” se dibuja en función del beneficio o daño provocado por éstos y sobre todo, para quiénes

Mercè Molist, (@mercemolist) es periodista, escritora y co autora junto con Manuel Medina del libro Cibercrimen. Es una de las pocas mujeres expertas en ciberseguridad en nuestro país. Articulista de medios como El País o El Confidencial fue la encargada de traducir un mundo tan complejo como éste a los asistentes de la “Fibersecurity”, tema central este año en la Festibity 2016. Para ella, un hacker “es una persona que sabe mucho sobre la tecnología y es capaz de interactuar de una forma creativa y elegante”. Una definición que tal vez muchos no compartan debido a los ciberataques que se sufren en ordenadores personales hasta la revelación de secretos de grandes compañías u organizaciones, como nos recuerdan los mediáticos casos de Snowden o Assange en los últimos tiempos.

La frontera entre el denominado “hacker bueno” al “hacker malo” se dibuja en función del beneficio o daño provocado por éstos y sobre todo, para quiénes. De todas formas, añade Molist “hay varias éticas hacker. Posiblemente la más conocida y mundialmente aceptada es la que escribió Steven Levy en su libro “Hackers, heroes of the computer revolution“. Molist asegura que los poderes se han dado cuenta que los hackers pueden ser aprovechados para sus intereses, “sobre todo en el terreno de la seguridad informática, ya sea para defender sus redes o bien para atacar las de los competidores”. La experta en ciberseguridad asimismo subraya “el usual carácter de pensamiento libre, gente que suele ser «diferente», difícil de asimilar por el sistema”.

.

Desde la Aldea al Pentágono

Cuando en la década de los años 60, el filósofo canadiense Marsahll McLuhan acuñó el término “aldea global”, entendido como un cambio producido principalmente por los medios de comunicación (radio, cine, televisión) estaba sentando las bases de un nuevo paradigma: la intimidad del hogar, ese núcleo de privacidad solo concerniente al individuo y a su entorno más reducido e inmediato se veía modificado para convertirse en una aldea donde se entrelazan todo tipo de informaciones, tiempos y lugares que acaban por integrarse en un todo interrelacionado. De manera que un acontecimiento en una determinada parte del mundo podía devenir en un impacto global (efecto mariposa) amplificándose a cualquier rincón del planeta y transformando con ello nuestra visión sobre el mundo. McLuhan, sin embargo, no trató de opinar sobre la bondad o maldad de esa realidad, tan solo la describió. Su lápida reza, con tipografía digital: La verdad nos hará libres. (Cita bíblica: Veritas liberabit nos.)

"Nos vigilan a todas horas", declaró recientemente  Julian Assange, fundador de WikiLeaks

“Nos vigilan a todas horas”, declaró recientemente Julian Assange, fundador de WikiLeaks

.

Julian Assange / Foto: Wikipedia

Julian Assange / Foto: Wikipedia

En 1991 el programador, ciberactivista y periodista australiano, Julian Assange fue detenido en su casa de Melbourne por la Policía Federal Australiana acusado de acceder ilegalmente a varias computadoras. Assange, conocido más tarde como el fundador de WikiLeaks desveló en su página web documentos filtrados sobre varios asuntos turbios del gobierno norteamericano como los Registros de la Guerra de Irak, que el propio Pentágono definió como “la mayor filtración de documentos clasificados de su historia”. A raíz de sus muchas revelaciones sobre documentos que aireaban varias informaciones de carácter secreto WikiLeaks padeció censura gubernamental, cancelación de servicios y ataques cibernéticos.

Assange asegura tener documentos secretos mucho más incendiarios y comprometedores que los ya filtrados

El 21 de agosto de 2010 por indicaciones de la policía sueca, la fiscal Maria Häljebo ordenó el arresto de Assange acusado de la violación de Anna Ardin, vinculada a la oposición cubana. Assange permaneció escondido y más tarde fue detenido en Londres para ser extraditado a Suecia. Contra Julian Assange y WikiLeaks corrieron duras y fuertes críticas. El asesor del primer ministro del gobierno de Canadá, por ejemplo, en una entrevista a la BBC dijo que Assange debería ser asesinado. Debido a la cantidad de amenazas de muerte hacia su persona, el fundador de WikiLeaks advirtió que podría “tirar de la manta” si le ocurría algo, ya que ha colgado en una conocida web de intercambio P2P un archivo cifrado de 1’38 GB, cargado de documentos secretos mucho más incendiarios y comprometedores que los ya filtrados, del que sólo él conoce la clave. “Nos vigilan a todas horas”, declaró recientemente.

Edward Snowden / Foto: Wikipedia

Edward Snowden / Foto: Wikipedia

En el año 2013, el consultor tecnológico, Edward Snowden, antiguo empleado de la CIA (Agencia Central de Inteligencia) y de la NSA (Agencia de Seguridad Nacional) norteamericanas, saltó a los medios de comunicación por desvelar documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y XKeyscore. Con ello, Snowden acababa de abrir la caja de los truenos al demostrar que los ciudadanos estaban desprovistos de privacidad frente al Estado y sus burócratas, algo que le condujo a buscar asilo en, Islandia, Hong Kong o Moscú, entre otros destinos.

“No quiero vivir en un mundo donde se registra todo lo que hago y digo”, declaró Snowden

Según el periódico británico The Guardian, Snowden es alguien apasionado por la privacidad que había dejado pocos rastros de sí mismo en el entorno virtual; «mínimos detalles sobre su familia» y no dejó nuevas fotografías, o actualizaciones de Facebook o Twitter «si es que tenía una cuenta», y ninguna relación con compañeros de la escuela secundaria. Snowden declaró a The Guardian lo siguiente:  “No quiero vivir en una sociedad que hace este tipo de cosas… No quiero vivir en un mundo donde se registra todo lo que hago y digo. Es algo que no estoy dispuesto a apoyar o admitir”. Tras haber revelado cientos de documentos secretos del gobierno de EE UU en su cuenta de Twitter, Snowden tan solo sigue a otra cuenta: la NSA.

.

Entrevista con Sergi Álvarez, fundador de Radare

“En el mundo del hacking se acostumbra a diferenciar en white, grey y black-hats”

Sergi Álvarez (@trufae), conocido por la comunidad hacker bajo los alias Pancake y Trufae, se le ocurrió crear una herramienta para recuperar unos ficheros borrados de un MacBook G3. Es el creador de Radare, una opensource que utiliza la ingeniería inversa y forense entre otras ramas, con el foco puesto en la filosofía de UNIX y los enlaces de la API. El proyecto arrancó hace diez años. Se trata de una herramienta para enseñar el funcionamiento a bajo nivel y el mayor proyecto libre de seguridad informática creado en España.

.

¿Cómo definir a un hacker?

Un hacker es una persona con mucha curiosidad e inquietudes. Esto en general comporta ser autodidacta, contrastar información para hacer una valoración personal, querer conocer cómo funcionan las cosas en profundidad y aprender a manipularlas para mejorarlas o para darles otros usos, tanto para el beneficio personal como para otros. El hacking no está limitado al software, sino también a la telefonía, el hardware y todo tipo de aspectos cotidianos o sociales (ingeniería social, lockpicking, etc..), también de biohacking.

Sergi Álvarez durante su ponencia en la Festibity 2016

Sergi Álvarez durante su ponencia en la Festibity 2016

.

¿Cuál sería la ética de un “hacker bueno”?

Yo separaría la ética de la calidad del hacking. Es decir, existen hackers buenos respecto a que tienen muchos conocimientos y los saben aplicar, pero esto es totalmente independiente de lo que hagan, tanto de día como de noche.

Entiendo que la pregunta es más bien sobre los “whitehats” (un hacker con principios éticos). En el mundo del hacking se acostumbra a diferenciar en white, grey y black-hats. Se intenta agrupar a los hackers en función de como actúan ante una vulnerabilidad. Los whitehats tienden a reportar las vulnerabilidades cuando las encuentran, y los blackhats a sacar provecho o hacer daño.

Los whitehats tienden a reportar las vulnerabilidades cuando las encuentran, y los blackhats a sacar provecho o hacer daño

La ética dependerá mucho del punto de vista, puesto que podemos hablar por ejemplo de casos de hacktivismo donde no está tan clara, tanto por la publicación de datos, -como los casos de WikiLeaks- o las intrusiones a sistemas de muchos blackhats inducidos por agentes gubernamentales para sacar provecho y crear casos de alarma para justificar cambios legislativos.

Por lo tanto, la ética del hacker dependerá en muchos casos, puesto que los hackers no actúan por beneficio personal o económico, sino como un reto, por demostrar que son capaces de hacer algo. Y en muchas ocasiones una intrusión puede comportar muchos problemas en caso de reportar la vulnerabilidad dado que se ha demostrado varias veces que reportar no sirve para solucionar un problema sino para que te acusen legalmente de haber entrado en sus sistemas informáticos. Así que detrás de la simple lógica de dividir  a los hackers entre buenos y malos o blancos y negros hay muchos más colores entre medio. Algunos hackers priorizan la ética de la seguridad, otros la ética social.

.

¿Tienen mala prensa por parte de los poderes institucionales o empresariales?

Creo que la prensa está valorando poco a poco y cada vez más a los hackers, que al igual que la sociedad son cada vez más conscientes de los riesgos. Valoran a los hackers de forma positiva y negativa a la vez. Generalmente el miedo viene infundado por el desconocimiento. Tanto los gobiernos, como las empresas y los medios de comunicación van aprendiendo a valorar el potencial de los hackers pero también los peligros que implica no estar protegidos adecuadamente por ataques de hackers o ransomware.

.

Ustedes son contratados cada vez más por las empresas

Ser capaces de avanzarse al mercado o los atacantes marcan un punto diferencial competitivo y esencial para el negocio

Hoy en día, ninguna empresa puede funcionar sin sistemas informáticos. Esto no implica que todas ellas tengan que tener a gente altamente cualificada gestionando los sistemas, pero sí que son esenciales para muchas, tanto sea para garantizar la seguridad realizando pentestings internos, definiendo políticas de contraseñas, o recomendando buenas decisiones de diseño a desarrolladores para que no creen software vulnerable.

Por otro lado, en empresas de seguridad, -como las dedicadas a antivirus, investigación, datacenters, isps, centros de telecomunicaciones, etc- la importancia del hacker es vital, puesto que sólo gente capaz de aprender por sí misma, de estar motivados por el trabajo, y de ser capaces de avanzarse al mercado o a los atacantes marcan un punto diferencial competitivo y esencial para el negocio y la calidad de los productos que ofrecen.

.

¿Cómo interviene un hacker en los cambios sociales?

Como he comentado antes, los hackers son gente con mucha curiosidad y que ponen en entredicho todo lo conocido y establecido para mejorarlo o alterarlo, para saltarse protecciones, encontrar nuevas aplicaciones o permitir utilizarlas de otras maneras a las teóricamente definidas por el fabricante.

Aplicando esto a la sociedad nos encontramos que los hackers reclaman el acceso libre a la información y la reapropiación de los bienes de producción, como por ejemplo poder rootear un teléfono para poder analizar y saber qué hace por dentro.

Los hackers juegan una pieza clave en la libertad de expresión y en la lucha de la reapropiación de los datos

Los hackers juegan una pieza clave en la libertad de expresión y en la lucha de la reapropiación de los datos (los usuarios tienen que ser los amos de sus datos), la privacidad (junto con la criptografía) y el acceso horizontal y universal a las comunicaciones (red neutral), es decir, lo contrario a lo que muchas empresas y gobiernos intentan evitar.

Estos cuatro pilares, son quizás los más deducibles con la definición de hacker y la sociedad de la información en la que estamos inmersos. Pero por otro lado el hacktivismo, cuando se junta con el activismo para reclamar o dar a conocer ciertos hechos mediante el hacking como herramienta, en muchas ocasiones es considerado ilegal.
.

¿Somos tan vulnerables como se explicó en la Festibity?

Los dos ejemplos que presentamos de explotación de dispositivos móviles son casos muy concretos y difíciles de generalizar, en algunos casos hay que tener acceso físico al dispositivo, o tener una versión antigua del sistema operativo para considerarnos vulnerables.

Claro que esta sensación de vulnerabilidad depende mucho de quién sea, de quién nos quiera atacar. Existe malware que explota vulnerabilidades no conocidas públicamente, que son utilizadas por gobiernos o empresas para conseguir información y avanzarse a los movimientos de sus adversarios políticos o para descubrir dónde están, qué hacen y con quiénes se comunican.

La Festibity 2016 se dedicó a explicar el tema de la ciberseguridad

La Festibity 2016 se dedicó a explicar el tema de la ciberseguridad

.

Poco a poco vamos añadiendo más y más dispositivos vulnerables con acceso personal

Para el 99% de la población, la seguridad en el mundo de las tecnologías se basa en cifrar los contenidos críticos, establecer contraseñas para acceder a todos los terminales, no instalar nunca software que no necesitemos o de orígenes desconocidos y tener siempre las ultimas actualizaciones de sistema. Pero hay que tener en cuenta que las actualizaciones de seguridad siempre se venden después de haberse publicado una vulnerabilidad y los antivirus sólo se consiguen una vez el virus ha aparecido. Así que hay que tener cuidado para no caer dentro de esta ventana de tiempo.

Poco a poco vamos añadiendo más y más dispositivos vulnerables de acceso personal, como juguetes conectados a internet, coches inteligentes o dispositivos de red como routers, que en la mayoría de casos son vulnerables o se venden troyanizados de fábrica para permitir a los operadores de la compañía restaurar el software o cambiar configuraciones, con las consecuentes implicaciones de seguridad y privacidad que esto conlleva.

Todavía queda mucho trabajo por hacer, tanto por la toma de conciencia de la población, la educación de los usuarios y las empresas como por la aplicación de forma adecuada de políticas de desarrollo para que los dispositivos que compramos sean mínimamente seguros.

.

¿Puede explicar cómo proteger nuestra seguridad?

En las nuevas tecnologías la seguridad depende de muchos factores, para empezar hace falta una educación que haga a la sociedad consciente de los datos que comparten o a los que acceden (correos de dudosa legitimidad, etc) y de los riesgos que esto comporta.

Los terminales son contenedores de mucha información delicada y hay que tener cuidado en protegerla adecuadamente

Los terminales son contenedores de mucha información delicada y hay que tener cuidado en protegerla adecuadamente. Generalmente los dispositivos móviles de gama alta son los únicos que tienen actualizaciones de sistema de forma cíclica, muchos dispositivos baratos acostumbran a traer versiones antiguas y no pueden ser actualizados.

Por otro lado, tenemos que ser conscientes de a qué datos acceden, puesto que podemos encontrar con mucha facilidad aplicaciones linterna que piden acceder a la agenda de contactos o enviar SMS de pago.

En el fondo se trata de tener un mínimo de sentido común y sin llegar a niveles paranoicos encontrar una balanza entre la comodidad y la seguridad.

Finalmente, hay que tener en cuenta que no tenemos que tener nunca contraseñas compartidas ni sencillas. Una forma fácil para recordarlas y estar seguros consiste en utilizar passwords impronunciables y totalmente aleatorios y utilizar sistemas de autentificación de segundo factor como podrían ser los SMSs o tokens numéricos desechables.

.