Inicio > Entrevistas, Noticias > Ezequiel Sallis, Un hacker, pero de los buenos

Ezequiel Sallis, Un hacker, pero de los buenos

 “En seguridad no hay balas de plata ni absolutos. Nada es 100% seguro y no hay una única solución”

Ezequiel Sallis es un hacker. Es decir, sabe introducirse en el sistema de un ordenador y descifrar todos sus secretos. Y esta información, que podría emplear para ‘hacer el mal’, él la utiliza para ‘el bien’: es un hacker ético. Ezequiel realiza análisis de seguridad o ‘ethical hacking’ con su empresa, Root-Secure, escribe un blog, y es el autor del libro ‘Ethical Hacking.

 

Un enfoque Metodológico para Profesionales’ y se ha ocupado de desentrañarnos algunos de los misterios informáticos que a un usuario de a pie -como servidora- le suenan a chino. Por ejemplo, ¿quién crea los virus? o ¿por qué me quieren atacar y meter un troyano, cuando yo y mi pobre ordenador no somos nadie?

PREGUNTA.- ¿Qué hace exactamente un hacker ético?

R.- En realidad lo que hace un hacker ético se podría traducir en ‘análisis de seguridad’. Te introduces en un sistema para verificar sus fallos y posibles vulnerabilidades. Esto nace fundamentalmente de la banca, que necesita cubrirse frente a posibles ataques.

Hay tres tipos de análisis bien característicos. El primero es un análisis de vulnerabilidades. En este caso, haces un análisis que tiene un alcance más acotado porque identificas las vulnerabilidades pero no verificas si existen mediante su explotación, sino que las registras, haces un análisis de si eso puede llegar a ser o no factible, pero no las explotas, es decir, no ingresas a la red. Después tienes otros análisis de seguridad como el Test de Intrusión y los Ethical Hacking, que son los de mayor alcance. Lo que tienen en común estos últimos es que ambos intentan explotar de forma controlada las vulnerabilidades y la diferencia entre ellos es que en un Test de Intrusión tienes un único objetivo, por ejemplo verificar la seguridad desde fuera y la imposibilidad de que alguien pueda acceder a la base de datos de la compañía. En un Ethical Hacking, en cambio, todo es un objetivo. No solamente vas a echar mano de las técnicas de ataque que un atacante puede utilizar a través de la red, sino que a lo mejor vas a poder utilizar técnicas que tienen que ver con la ingeniería social, que son formas de manipular al factor humano (es decir, al usuario) para que te dé información que no debería darte.

No es nada nuevo ni lo inventaron los hackers, sino que es más bien tratar de explotar al eslabón más débil del eslabón de seguridad, que es el factor humano, el usuario. Si tú me preguntas dónde atacan los ataques hoy y dónde van a seguir apuntando, y te digo que va a ser cada vez más cerca del factor humano, porque a nivel técnico existen múltiples soluciones, de hecho cada vez son más efectivas. Lo que sucede es que como esas soluciones efectivas tienen que interactuar con la realidad, y la realidad pasa por el factor humano, los controles técnicos no son lo suficientemente efectivos. Por eso los atacantes hoy por hoy están entrando por la puerta de atrás, y la puerta de atrás hoy se llama factor humano.

P.- El nombre de ‘hacker ético’ viene de que hay una “ética del hacker” (ver definición aquí), ¿no? Esta ética cómo influye en vuestro trabajo

R.- Hoy, en nuestro caso, creo que ya se trata de la ética profesional de cada uno, independientemente de tu profesión. La ética para mí es una disciplina filosófica que distingue cuando nuestras acciones están entre el bien y el mal. Muchas veces lo que no es ético tampoco es ilegal, aunque también haya un montón de leyes que se basan en comportamientos éticos. Si bien hay una cierta relación, en la actualidad, lo que es la ética del hacker deja de ser eso místico que a lo mejor tenía la década de los 90 y pasa a ser algo más asociado a la ética profesional, a guardar confidencialidad respecto a la información a la cual uno accede, a no utilizar el conocimiento técnico que tienes en perjuicio de una organización o de una sociedad, a lucrarte económicamente tú de una manera ilícita. Son un montón de cosas que si te pones a pensar puedes hacer analogías con un médico que trabaje con aspectos de la medicina ilegales, o con un policía que juegue para ambos bandos. Como bien decís, existió en un momento la ética del hacker y una famosa discusión por la que yo me encuentro con gente que me dice “mirá, el hacking no es ético, por tanto el ethical hacker no existe”. La palabra hacker se acuña hace mucho tiempo atrás y tiene muchas apreciaciones dependiendo de cómo lo mires. Principalmente, se aplica a aquel que inicialmente utiliza la tecnología de manera revolucionaria o hace las cosas de manera muy oroginal, muy característica y útil, y por ejemplo a los creadores de internet generalmente se los llamaba hacker, pero hay muchos términos, como ‘hacking’, que se aplican a otras disciplinas que no tienen que ver con la tecnología.

Sin embargo, el hecho de que haya habido mucho hollywood detrás -seguramente has visto series o películas con un estereotipo de hacker que seguramente se viste de negro, es oscuro, es gordo, está todo el tiempo detrás de la computadora y no duerme- ha creado una imagen con características bastante similares.  Yo por ejemplo en mis inicios, cuando aprendí todo lo que hoy sé (y que sigo aprendiendo, porque esto no termina nunca) también dormía  poco, la noche era un momento en el que me sentía cómodo, tranquilo, pero no necesariamente uno está dentro de ese estereotipo tan común.

P.- En tu caso, ¿cómo empezaste a ser hacker y cómo tiraste para el lado ético? Porque te podías haber ido para el lado pirata, ser espía

R.- Lo mío yo creía que era un caso curioso, pero cuando me fui relacionando con gente del medio me di cuenta de que era bastante común. Yo estudié Derecho, empecé la carrera y al mismo tiempo empecé a trabajar en temas afines a la tecnología, algo que siempre me gustó, desde que pude tener acceso a ella, me fui involucrando cada vez más y fui descubriendo esa pasión por lo que hacía, por esos desafíos de entender cómo funcionaba todo, como eso que antes te parecía algo de ciencia ficción realmente no era tan así y tú podías estar interconectado rápidamente con el otro lado del mundo, etc… A medida que fui conociendo internet me fui metiendo en esto cada vez más, de una forma totalmente autodidacta. Te puedo asegurar que todo lo que sé de seguridad fue experiencia y aprender de lo que podía obtener en la web. El material que hay hoy, comparado con lo que había por ejemplo a principios del 2000 o a finales de los 90 no se puede ni comparar. Hoy es muy simple buscar en Youtube un vídeo donde digan como hackear tal cosa, y seguramente si buscas vas a encontrar un tutorial con todas las indicaciones necesarias para que cualquiera sin demasiados conocimientos técnicos lo pueda llevar a cabo. En aquel momento las cosas eran diferentes, y básicamente te puedo decir que el hecho de no haberme ido para el otro lado tiene que ver con los principios éticos que me transmitieron a mí en la educación. Si hubiese seguido otra carrera, no hubiese ido tampoco para el lado ‘oscuro’, por llamarlo de una forma graciosa. Siempre me gustó el hecho de decir “ok, de esta forma se ataca”, o “cómo puedo aplicar controles para evitar que esto sea de esta forma”… Siempre me gustaron las dos partes y el tratar de llevar esto a un modo de vida sano. De hecho yo hoy trabajo, pero también impartimos capacitaciones, hemos escrito un libro que habla de los análisis de seguridad, donde gran parte de los contenidos se refiere a los conceptos éticos, entre otras cosas…

P.- ¿Porque se supone que un hacker de ‘los malos’ es un delincuente, trabaja escondido o para quién trabaja? Porque para uno como usuario normal esto es un misterio. Uno dice “pero estos tipos ¿dónde están? ¿para quién trabajan?

R.- Eso es curioso. Del otro lado, del ‘no ético’, inicialmente lo que se buscaba era plantearse un desafío, es decir, algo así como decir “guau, me gustaría poder acceder a los sistemas de la NASA, al gobierno de EEUU”…  Esos sistemas se perfilan desde el exterior como muy seguros, que quizá no necesariamente lo sean, pero se perciben de esa forma, entonces  lo que se buscaba era el reconocimiento: decir “yo fui el autor de tal virus, yo fui quien pudo acceder al portal del FBI, etc… Y eso en su momento era hasta reconocido en el ambiente, y era lo que motivaba a muchas personas. Si se quiere, está dentro de lo no ético, porque esa persona que accede a un sistema de forma no autorizada para verificar si es seguro o no, más allá de que el motivo no sea causarte daño, sino alcanzar una propia meta personal, tiene un comportamiento incuestionablemente no ético. Por ende, está mal. Pero esto evolucionó para peor.

El crimen organizado -que siempre existió- lo que hace es reclutar personas con conocimientos técnicos y pocos escrúpulos que les facilitan la tarea técnica. El resto de la organización criminal siempre existió: la que lavó dinero, la que movió dinero por cuentas fantasmas, etc, etc… Hoy la tecnología facilita el acceso a ese tipo de cosas. Entonces, no es que el hacker tradicional del lado oscuro adquirió y perfeccionó sus conocimientos en el crimen organizado, sino que el crimen organizado empezó a reclutar perfiles técnicos que trabajan o para ambos lados o para el lado oscuro directamente.

P.- Pero por ejemplo un virus que te entra en el ordenador, ¿quién lo crea?

R.- Hay distintas categorías dentro de lo que son ‘los chicos malos’. Hoy por hoy, por ejemplo, la manera más tradicional en que se cometen los delitos informáticos funciona de la siguiente forma: hay personas que desarrollan código malicioso. Técnicamente hablando, hay tantas categorías de código malicioso que ya se creó el término ‘malware’ en inglés. Están los virus, los gusanos, los troyanos, y así sucesivamente. Hoy, el tipo de código malicioso más utilizado es el que se conoció durante mucho tiempo con el nombre de troyano, cuyo nombre se basa en la famosa historia del caballo de Troya, es decir, que aparenta ser algo interesante o útil y en realidad lo que termina escondiendo es un programa con un código que permite el acceso de un tercero sin que el usuario del equipo se dé cuenta. Entonces hay personas que desarrollan ese tipo de códigos y los venden, pero se lo venden a gente que los va a utilizar para pasar al paso siguiente. Esa persona que realizó el código es un programador que trata de perfeccionar su herramienta para que cada vez más clientes quieran comprarla. Y esos clientes lo que hacen es instalar de manera oculta en las máquinas de los usuarios esos programas, por ejemplo haciendo que los usuarios visiten sitios donde crean haber ganado un sorteo, o donde crean saber quién los bloqueó en facebook… Esto es lo que yo te comentaba antes de ingeniería social que ataca al factor humano.

En seguridad hay algo que vas a encontrarte y es que no hay balas de plata y no hay absolutos. Nada es 100% seguro y no hay una única solución. Cuando esos usuarios acceden a estos lugares curioseando quién los bloqueó en facebook -que por cierto nunca lo van a saber, porque eso no se puede saber- y no tienen el antivirus actualizado, o mejor dicho el código no es detectado por los antivirus, lo que van a obtener como resultado es que su máquina va a estar a disposición de otra persona. Esas personas lo que hacen es tratar de infectar la mayor cantidad de máquinas posibles, para generar lo que se conoce como una “botnet”, una red de máquinas zombies o robot. Esa persona puede usar esa red o bien ir  a la cadena siguiente, que es alquilar esa red con determinados fines. Esos fines son enviar spam, realizar ataques de phishing -que tienen que ver con el engaño muy común en el fraude bancario-, o utilizar esas máquinas con el objetivo de negación de servicio.

No hace mucho tiempo, en el caso Wikileaks, hubo algunas presiones políticas a empresas como Amazon, Visa y demás, hasta que dejaron de prestar servicios a Julian Assange y Wikileaks para no verse involucradas comercialmente en el escándalo de los papeles. Entonces, un movimiento que se llama Anonymous usó múltiples estaciones de servicio de manera individual para protestar y bloquear estas páginas. Estas operaciones fueron exitosas porque las páginas se bloquearon desde múltiples sitios, con lo que el poder de distribución del ataque es tan grande que si por ejemplo la compañía que recibe el ataque se quiere fortalecer seguramente termine gastando más dinero del que va a perder.

Así se organiza más o menos un entorno que favorece el crimen. Está el que hace el código malicioso y lo vende o lo alquila; está quien compromete las máquinas con ese código malicioso que compró y que alquila las redes o las usa, y de esa forma se va generando la cadena y en cada eslabón encuentras determinados estadios, pero fíjate que esto ya adquirió un contexto muy organizado. Detrás de esto también tienes al crimen organizado, que va desde el spam, el simple correo basura, hasta el fraude bancario.

P.- Pero en el fondo todo esto es “el mal”. Tecnología empleada para hacer el mal entonces

R.- Sí, sí. Es el intelecto aplicado a la malicia, con un objetivo claro: dinero, dinero y más dinero.

P.- En el caso de los hacker éticos, ¿cómo veis el trabajo de los hacker ‘malos’? Es como una carrera continua, ¿no? Esto se desarrolla todo el tiempo, se crean todo el tiempo herramientas nuevas y habrá que estar entonces todo el tiempo pillándoles el paso.

R.- La carrera es permanente y de hecho el nivel de entrenamiento, de aprendizaje, de educación que un hacker ético tiene lo lleva a conocer exactamente lo mismo técnicamente hablando que la persona que lo utiliza para la malicia. En el momento en que esa ecuación sea asimétrica, se conozca más de un lado que del otro, en este caso se conozca más del lado del mal que del lado del bien, se le va a dar una ventaja importante, porque cuando yo por ejemplo emule a un atacante voy a estar emulando un perfil de atacante obsoleto, voy a estar aplicando medidas de seguridad que al final el atacante malicioso va a poder eludir con facilidad. Entonces la actualización es permanente. Técnicamente hablando te diría que intelectualmente de los dos lados se está igual, por eso la lucha es de igual a igual. ¿Sabes dónde no se está igual? Del lado de la educación respecto del uso de las tecnologías al usuario final, que no sabe de tecnología. Por ejemplo, mi hermano, mi tío… gente que usa internet, pero como un medio para comunicarse, para interactuar, trabajar, no sabe técnicamente qué pasa detrás. Ahí falta mucha educación. Tampoco se está a la par en los aspectos legales, en las leyes que persiguen estos nuevos tipos de crímenes, o esta nueva forma de cometer un crimen, porque en verdad el fraude siempre existió. Lo que sucede es ahora se materializa a través de un método que en muchos códigos penales no está claramente tipificado, entonces no se puede perseguir. Pero esto es un todo, entonces que de un lado, el técnico, estemos medio bien, pero del otro vengamos medio atrás no ayuda en absoluto.

En mi empresa, como parte de nuestras acciones con asociaciones sin ánimo de lucro, damos charlas por ejemplo en colegios, a niños de ocho años en adelante, sobre el uso correcto de las redes sociales, los riesgos que se pueden llegar a correr, y a su vez informamos también a los padres, para que de alguna manera puedan comprender primero la diferencia generacional que hay, la diferencia entre lo que es la privacidad para un adolescente y la privacidad para un adulto, y obviamente algunas recomendaciones para poder ejercer algún tipo de control y por sobre todas las cosas tratar de mantener el diálogo. A veces los padres nos dicen “¿cómo puedo hacer para evitar que esto suceda?”. Técnicamente, el tipo quizá buscando en internet o hablando con un amigo se entere de cómo va esto del control, pero lo importante es que haya un canal de diálogo abierto y que las cosas después no pasen sin que nos demos cuenta, ¿no?

P.- ¿Todas las grandes empresas contratan servicios como los tuyos?

R.- Sí. En general, yo conozco bastante de lo que es Latinoamérica y Caribe, y las grandes empresas y las empresas medianas tienen un área de seguridad y generalmente este tipo de servicios de análisis de seguridad los contratan de forma periódica, ya sea porque lo tienen como una acción preventiva, o porque se lo exige alguna industria, o alguna norma o regulación. En cambio, las pequeñas empresas obviamente la tecnología ocupa otro lugar, los recursos son otros, y el manejo que tiene es más interno respecto de este tipo de problemáticas. Después si me preguntas cuál es la industria que más contrata este tipo de servicios, te diría que la bancaria es la más normada, junto con la del seguro, la de la salud, la de las comunicaciones, la petrolera… Estos son quienes más tenemos como clientes.


P.- Dices en un post de tu blog que avanzamos hacia una web mas personalizada, hecha de todos nosotros, la web 3.0, pero dinos ¿debemos proteger más nuestra privacidad en ella? ¿Estamos poco protegidos? ¿Cómo debemos enfrentarnos en el tema de la seguridad a esta nueva web que viene?

R.- El tema de la privacidad muy interesante para analizar porque las cosas importantes están sucediendo ahora. Pero yo por privacidad entiendo lo siguiente: si vas a entrar en un sistema, o vas a hacer uso de una red social, tú como usuario o usuaria deberías tener claras cuáles son tus expectativas de privacidad. Deberías saber que si subes una foto esa foto pasa a ser propiedad de la red social y ésta puede hacer absolutamente lo que quiera con ella. Si tú publicas un comentario en una red social y ese comentario tiene una propiedad intelectual que te pertenece, bueno… ahora va a pertenecer también a la red social. Entonces tú, conociendo cuáles son tus expectativas, vas a saber cómo manejarte. Si subes una foto, sabes que la va a ver todo el mundo. Por ende, no se invade tu privacidad, porque estás haciendo algo que tú quieres, que es compartir esa foto. Por eso, juzgar a alguien por invadir la privacidad o no, o cuánto está uno dispuesto a ceder de su privacidad tiene mucho que ver con las generaciones. La generación del nuevo milenio, la de los adolescentes de hoy y de los niños, vive en sociedades compartidas, entonces hay muchas cosas que hacen no porque desconozcan lo que hacen, sino porque quieren hacerlo. Es su forma de manifestar, de comunicar, que para otras generaciones es chocante, y de hecho choca frontalmente contra su propio concepto de privacidad. Por esto hay opiniones encontradas en la web que dicen “las redes sociales invaden la privacidad”, “el hecho de que digas dónde estás puede hacer que un ladrón sepa que no estás en casa y vaya a robarte”, “si pones una foto de vacaciones en tal lugar, yo puedo saber cuál es tu poder adquisitivo y que seas un target interesante para un secuestro”. Hay un montón de hipótesis, pero en ningún momento se está poniendo sobre la mesa cuál es la expectativa de privacidad de la persona y el uso que ésta hace de la red. Lo que creo que es necesario es que las empresas que brindan ese tipo de servicios dejen claro cuál es la expectativa de privacidad del usuario.

El problema radica quizá en una política de privacidad que usa una terminología que no todo el mundo comprende o que utilice cosas ocultas, o atajos legales. Ahí es donde el usuario, ante el desconocimiento, la ignorancia del uso de esa tecnología puede llegar a realizar cosas que obviamente le van a empezar a jugar en contra. El caso más conocido que a veces nosotros ponemos como ejemplo es el de una madre que subió a Orkut, que es una red social muy grande en Brasil (su dueño es Google, es como Facebook), a su perfil, la foto de su hija, que no tenía más de cinco años, con un cartel que decía “mamá te quiero”. Y alguien tomó la foto de la red y empezó a promocionar un sitio de pornografía de adolescentes con esa foto, editó la imgen, para que en lugar de decir “mamá te quiero”, pusiera “mi nombre es Cristal, tengo cinco años, si quieres ver más fotos de gente parecida a mí, entra aquí…” Cuando la madre se dio cuenta de eso y le pidió a Orcurs que quitara la foto, Orkut la quitó, pero esa imagen se copió y se copió y se copió y se transformó en algo particularmente difícil de evitar. La madre nunca pensó que esto podría suceder, y ese desconocimiento es el que hay que corregir. Para que las reglas estén claras, después el tema de la privacidad se puede discutir como algo generacional y demás, y como la web 3.0 va a ser muy personalizada, para poder disfrutarla, va a tener que conocer mucho más de nosotros mismos. Ahí es dónde debemos saber a qué estamos dispuestos y a qué no. Lo bueno es tener la opción y las herramientas para tomar la decisión correcta.

Fuente: Wanabis

Anuncios
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s