Chema Alonso: ‘Los hackers han ayudado al progreso de la sociedad’
No necesita presentación, Chema Alonso es uno de los hackers más reconocidos del mundo y, sin duda, una de las personas que mejor puede aconsejar a las empresas sobre las vulnerabilidades a las que se exponen en la Red, especialmente sobre los riesgos a los que se enfrentan en el ámbito de los ataques informáticos.
Un hacker ilustre con un currículum extenso y brillante: CEO de Eleven Paths, doctor en Seguridad Informática, director del Máster de Seguridad de la Universidad Europea de Madrid, ponente habitual en conferencias de seguridad de renombre internacional y autor del influyente blog “Un Informático en el lado del mal”.
P.- “Hay dos tipos de empresas: aquellas que han sido hackeadas y las que lo van a ser”, una afirmación tajante de Robert Mueller, director del FBI, ¿estás de acuerdo?
Es difícil no estar de acuerdo con ella cuando sabemos que alcanzar el 100% de seguridad hoy en día es imposible. Siempre quedan vectores de ataque, aunque sea el de los seres humanos que utilizan los sistemas informáticos. El objetivo de los responsables de seguridad es mantener la empresa en unos niveles de seguridad aceptables y tener una buena gestión de los riesgos y las amenazas para poder garantizar la continuidad del negocio.
P.- El 79% de los internautas españoles está preocupado por su privacidad en Internet, pero ¿estamos poniendo los medios adecuados para protegernos?
La gente dice estar preocupada por la privacidad, pero la mayoría se lanza rápidamente a probar una nueva aplicación o un nuevo servicio en la web al que va a dar sus datos personales. Después, ya se preocupa de ver cuál es la política de seguridad cuando en los medios de comunicación algún hacker alerta de la inseguridad. Ahora Facebook ha endurecido las atribuciones que se da a los datos en su plataforma… ¿veremos al 79% de los usuarios dejando de usar Facebook? Lo dudo.
P.- El tráfico malicioso y los ataques web se incrementan cada día a un ritmo vertiginoso, ¿qué estamos haciendo mal?
Se ha creado una plataforma que permite socializar globalmente, comprar entradas para el cine desde el teléfono, enterarnos en tiempo real de lo que sucede en el otro lado del planeta o jugar en mundos virtuales con personas de cualquier rincón del globo terráqueo. Pensar que no hemos globalizado a “los malos” es no querer ver la realidad. Igual que desde tu equipo te puedes conectar a cualquier servidor del mundo para comprar algo en una tienda, cualquier “ciberdelincuente” del mundo puede conectarse a tu tienda e intentar robarte o conseguir tus claves para robar tu identidad. Hay que asumir el nuevo escenario y plantear cualquier nuevo servicio o uso que le demos a la red pensando en “los malos”. Seguridad desde el diseño y auditoría constante son los mejores ingredientes para una empresa.
P.- El “cibercrimen” cuesta ya más de 320.000 millones de euros anuales en todo el mundo, ¿nos lo estamos tomando en serio en España?
Los departamentos de seguridad de grandes empresas sí, pero esto aún no ha calado masivamente en las pymes y en muchos organismos conectados a la Red. Nos queda mucho por acelerar para llegar a unos niveles de seguridad aceptables en el nuevo escenario global.
P.- La “ciberdelicuencia” evoluciona constantemente. ¿Cuáles son ahora mismo las técnicas más utilizadas por los hackers?
Todas, hasta los detalles más sutiles. Una de las cosas que están empezando a solicitarnos las empresas es que apliquemos nuestro sistema de pentesting persistente Faast, para auditar a los proveedores que ganan contratos, ya que pueden ser susceptibles de ser usados como plataforma de ataque. Esto lo vimos en el caso de la RSA Conference, donde se consiguió atacar la web por medio del sistema de estadísticas de terceros que utilizaban. Los vectores son muchos hoy en día para atacar a una compañía.
P.- ¿Cuál es la información más valiosa que un “ciberdelincuente” puede obtener de una empresa?
De una empresa puede ser valioso todo. Hemos visto que algunos “ciberdelincuentes” siguen las cuentas de correo para robar las órdenes de pago, robos de información confidencial, pero también datos para extorsionar a directivos y conseguir el control de la compañía por medio de chantajes. Son muchos y variados.
P.- ¿Qué ocurre si no gestionamos bien nuestras identidades digitales?
El otro día, comprando en la frutería, la dependienta me preguntó cómo podría ayudarla. Le habían robado su identidad y le habían pedido créditos, además de contratar servicios a su nombre que luego no pagaron. Ahora no sabía cómo librarse de todo ello… El robo de identidad.
P.- Seguimos teniendo un concepto muy equivocado del hacker, tú por ejemplo, luchas en el “lado de los buenos”. ¿Crees que es un trabajo infravalorado o empezamos a darle la importancia que merece?
Los hackers son buenos siempre, aunque por desgracia muchos medios de comunicación han influido negativamente en la percepción que la gente tiene de ellos. La RAE ha definido al hacker como un pirata informático y nosotros hemos abierto una campaña de firmas para conseguir que cambien su definición.
Recomiendo este vídeo en el que Chema Alonso explica en qué consiste realmente el mundo del hacking.
Fin del post.