Reportajes a fondo

Chema Alonso en #ClubMbyMaxus: "Ser un hacker es un honor"

ClubM by Maxus abrió ayer sus puertas en el restaurante Vadebaco de Madrid con un afterwork diferente para sus clientes y empleados, creado por GroupM como un punto relacional para sus agencias y clientes en torno a un personaje relevante.

En esta ocasión Maxus fue la anfitriona y la encargada de dar la bienvenida a Chema Alonso, el conocido y mediático hacker que actualmente trabaja en Telefónica Digital. Alonso compartió con los asistentes una interesante ponencia titulada “Love Your Hackers” aportando una visión diferente sobre quiénes son realmente estos expertos de internet.

En la exclusiva charla de Alonso estuvieron los clientes y empleados de Maxus, que descubrieron la importancia de la seguridad informática para los anunciantes y marcas.

“Los hackers parecen tíos malos, turbios. Uno se imagina que es un tío oscuro que no tiene sexo con mujeres”. Pero hay algo más allá de Lulzsec y Anonymous. Los primeros se dedicaban a robar contraseñas, mientras que los de Anonymous están más centrados en objetivos ideológicos. “Se cree que muchos de los gobiernos han utilizado la imagen de Anonymous para filtrar documentos a la prensa”, explicó Alonso.

Sin embargo, la mayoría de los hackers no son estos, explicó. “Os sorprenderíais de descubrir que los verdaderos hackers sois vosotros. Yo llevo 14 años dedicándome a la seguridad informática y la gente después de ver una demo tiende a pedirme cosas y de lo más variopintas”.

“Desde hace un tiempo me he dedicado a recopilar correos electrónicos de la gente”, y en la ponencia compartió algunos. Entre ellos estaban los que querían que Alonso les enseñara a hackear directamente, personas que le piden que le cambien las calificaciones de los exámenes, acceder a las pruebas de acceso a la universidad o degradar el servicio de una empresa de la competencia.

“La gente piensa que los hackers son delincuentes. Pero somos personas que aman la tecnología y algunos nos dedicamos a romper cosas de verdad”, afirmó. “La gente me pide un montón de cosas porque confunde lo que hacemos. Yo me dedico a romper la seguridad de las cosas, pero no quiero romper cosas por hacer daño”.

“Los trabajos que yo he publicado en las conferencias de hackers son las bases de mi doctorado: cómo romper cosas. Y todo esto que hacemos para romper, evidentemente, a mucha gente le afecta. Cada vez que publicamos una técnica de ataque afecta a todos, pero no lo hacemos por el placer de hacer daño”. El problema es que la gente todavía confunde por qué se sacan estas herramientas.

“Todo se puede aplicar para el bien o para el mal. Y cuando nosotros sacamos las herramientas no lo hacemos para el mal”, explicó Alonso.

Mirando las webs de una empresa a Alonso se le ocurrió comprobar que ordenadores había trabajando en la red de una empresa. Así nació FOCA, una herramienta que permite averiguar qué ordenadores y servidores están dentro de la red para “alertar lo fácil que sería para un atacante hacer un ataque dirigido, conociendo qué ordenadores son más vulnerables y qué persona trabaja en cada ordenador.

El pasado mes de marzo, Alonso lanzó su última herramienta, bautizada como “Evil Foca”, capaz de detectar conexiones WiFi falsas que permiten acceder a la información de usuarios basándose en la dirección IPv6.

“Ser capaces de dibujar todo el mapa de red es tan fácil como ir a Google, buscar los archivos ofimáticos y extraer de ellos los metadatos”, es decir, la información que va dentro del documento y que da información sobre la plantilla que se está utilizando y que es una ruta al equipo y la carpeta.

“Con todos esos datos nuestra herramienta es capaz de sacar carpetas, usuarios y servidores de red. Cualquier persona, sin cometer ningún delito, sería capaz de pintar el mapa de red”, explicó Alonso.

Después de publicarse la herramienta, hubo mucha controversia porque se decía que cualquiera podría ver la red de una empresa, pero lo cierto es que ya podía hacerse antes.

“La mejor frase que resume nuestro trabajo es de Juliano Rizzo”, aseguró Alonso, que en 2011 y 2012 rompió la seguridad de https y, para hacer la demostración, utilizó una herramienta llamada Beast. Después de demostrar este fallo, muchos temieron que los consumidores dejaran de comprar online como consecuencia, pero la respuesta de Rizzo fue otra: “no hemos venido a liberar a la Bestia. Hemos venido a matar a la Bestia”. Y es que no fue hasta que Rizzo lo descubrió que la gente se dio cuenta de ese fallo de seguridad.

Por otro lado, Alonso explicó que las redes WiFi tienen serios problemas. “Permite que cualquiera esté en contacto con ella. Si no has tomado las medidas adecuadas puede ser el principal foco de problemas en tu vida personal. En mi vida he visto muchos casos y uno de los más curiosos son los de personas a las que han metido un troyano, han grabado con la webcam y robado fotografías y después les extorsionan”.

“No sólo publicamos herramientas para hacer el daño. Publicamos soluciones”, recordó Alonso. “La mayoría de la gente que publica fallos de seguridad no sólo publica el fallo, también publica cómo debe solucionarse. A pesar de que no siempre hacen caso”.

“¿Quién es el enemigo más peligroso?”, preguntó Alonso. “¿El tipo que descubre que un atacante podría atacar a un avión desde un teléfono móvil o el que quiere espiar a su mujer?”. Y por eso, “ya sabéis, si veis a un hacker dadle mucho amor”.

“Nuestra principal motivación es el conocimiento”, aseguró el hacker. “Somos el tipo de gente que de pequeños abren los juguetes”. “Internet, es una red alucinante”, añadió. “Pero también hay otra cara, el ‘deep web’, el internet que va más allá de Google y en el que se pueden encontrar asesinos, se puede comprar casi todo, En muchos casos es una decisión ética, y para muchos de nosotros es una decisión personal. No estoy interesado en dar una opinión en un internet abierto o cerrado, porque estoy interesado en la técnica”.

Según explicó Alonso mientras charlaba con el público, ‘hacker’ es una palabra con una larga historia. Ahora Google y Apple están tratando de cambiar su mentalidad, ya que gente como Steve Jobs y Steve Wozniak empezaron su carrera siendo hackers. “Después se empezó a decir que hacker era una mala palabra. Pero ahora Google, Apple y esas compañías están contratando a hackers. Los jailbreakers más famosos están trabajando en Apple. En Estados Unidos y el norte de Europa ya no es tan malo ser un hacker. Personalmente, creo que ser un hacker es un honor, porque todos los que trabajan en esta industria adoran el hacking”.

Pero el trabajo de un hacker no es fácil. “Cuando se publica una vulnerabilidad, la primera respuesta de los responsables de software es ‘no eres responsable porque estás poniendo en riesgo a nuestros clientes’”, comentó. “Nuestra respuesta es ‘el que los está poniendo en peligro eres tú, porque no has hecho lo que tenías que hacer para proteger a tus clientes’. Cuando a alguien le reportan un problema, la ley ahora permite que se denuncie al hacker. Internet es global, pero la legislación sigue siendo local y es muy difícil determinar qué es legal o no. Los que nos dedicamos a esto estamos siempre en el filo de lo que es legal”.

Lo que lo sí que hay que tener claro ahora es que en internet hay dos modelos de negocio, “o te vendo algo o te vendo a ti” y esto significa que “la gente está vendiendo a costa de tener el correo electrónico gratis y las relaciones con sus amigos gratis en la privacidad. Ahora cualquiera puede saber dónde vives esnifando la información de tu teléfono. Tu privacidad está vendida, eso es lo que estamos pagando a costa de tener el Facebook gratis”.

Además, a pesar de que no es legal que las grandes compañías de Internet como Google utilicen según qué datos de los usuarios, “pagan las denuncias y fuera”, afirmó Alonso. Y otra cosa que muchos usuarios desconocen es que “cuando el móvil se conecta a la red WiFi por agreement tú aceptas que esos datos se envíen a Google y a Apple. Es cierto que hay una protección de datos, pero los servicios de big data que tienen hacen que sea muy difícil que las agencias vean lo que están haciendo”.

¿Y todo esto hacia dónde nos va a llevar? “Ahora hablamos del internet de las cosas. Todo está conectado a Internet. A mí me preguntan cuál será el futuro del hacking. Será el hacking de sociedades. Si no se toman medidas adecuadas no hará falta una revolución, podrás hacer un pucherazo desde tu ordenador”.

“Internet es un regalo que nos han dado a nuestra generación y tenemos que disfrutarlo, pero hay que disfrutarlo con cautela. A nadie se le ocurre conducir un vehículo por una autopista de Alemania sin carné de conducir, pero todos navegamos por internet, nos bajamos programas gratis, etc. sin habernos informado. Tenemos que pasar una fase previa de educación antes de salir a la jungla que puede ser internet. Yo siempre digo que en internet hay lobos y corderos y si no puedes ser lobo, tienes que ser cordero”, concluyó.

Para ver el vídeo de la ponencia, haga clic aquí.

Te recomendamos

Eficacia

Atresmedia

ADN by DAN

icemd

Compartir