25.9 C
Buenos Aires
sábado, 02 Dic 2023
Buscar aquí...
Buscar
InicioCiencia & TecnologíaEl mundo según un hacker
Ciencia & Tecnología

El mundo según un hacker

Juan Ignacio Canepa
Juan Ignacio Canepa
spot_img

Lejos de los estereotipos de los piratas informáticos y de las películas de Hollywood, el experto en redes y seguridad argentino Martín Katz, reconocido a nivel mundial, nos cuenta en qué consiste ser un hacker y cómo se maneja una empresa con esa filosofía.

El estereotipo del hacker describe a un sujeto peligroso que, armado únicamente de su computadora y un buzo con capucha, puede robar datos personales, cuentas bancarias, o incluso intrusar los sistemas de gobiernos más seguros. Pero el mundo del hacking es mucho más rico y diverso que lo que muestran las películas de Hollywood. Matías Katz, hacker argentino con reconocimiento mundial, destaca que la denominación no debería tener de por sí una connotación negativa, sino todo lo contrario: “Un hacker es un investigador, un tipo curioso. Es alguien que hasta que no entiende cómo funciona algo, no para. Puede ser por qué vuela un avión, cómo funciona una computadora, o qué es lo que hay del otro lado en un servidor. Cuando lo sabés, podés descansar tranquilo, hasta que venga la próxima duda”, aseguró.

Los hackers buenos son conocidos como “de sobrero blanco”. Los malos, “de sobrero negro”. Otra forma de decirles es “hacker” al bueno y “cracker” al malo. Matías Katz se ubica claramente entre los primeros: dirige Mkit, una empresa de servicios de seguridad informática. No vende productos, como antivirus o firewalls, sino que aconseja a otras empresas sobre cómo cuidarse de ciberataques y cómo mejorar sus sistemas.

En agosto pasado, Katz tuvo una participación destacada en “Black Hat”, la conferencia de hackers más grande del mundo, donde presentó una herramienta de análisis de seguridad web que desarrolló. “Ya la había presentado el año pasado, pero este año tenía un montón de funcionalidades, así que me llamaron para que vaya de nuevo. Es una herramienta que es usada por todos los que hacen test de intrusión porque explota algo importante”, contó Katz.

-¿Cómo llegaste al mundo del hacking? Me imagino que no hay escuelas.

-No, no las hay. El 99 por ciento de los casos son autodidactas. Primero les surgió el interés, “les picó el bichito”, y después encontraron la forma de satisfacer esa inquietud a través de la computadora. Por ejemplo, mi primer hackeo fue a los seis años. No podía pasar un nivel del Príncipe de Persia, un juego al que yo jugaba. Entonces abrí el código del programa y busqué cómo era la lógica que usaba para guardar el progreso del jugador. Una vez que entendí, la alteré para que dijera lo que yo quería que dijera; guardé el archivo; abrí el programa de nuevo y el juego interpretó lo que quería que interpretara, supuso que yo había pasado de nivel y seguí jugando en el siguiente nivel. Una vez que arrancás con el primero, no parás. También hay un montón de situaciones en que te autodesafiás: “¿a ver si puedo lograr esto?”. No hay ninguna necesidad, pero yo necesito ver si lo puedo lograr.

-¿Cuándo elegiste esto como medio de vida?

-En cuanto tuve la primera interacción fuerte con un sistema informático me di cuenta que quería hacer eso con mi vida. Fue automático. No hubo duda. Nunca.

-Aun sin tener en claro la forma de negocio…

-Al hacker normalmente no le interesa eso. Normalmente está en su casa o en un lugar de trabajo, con su música, en actitud “no molestar que quiero trabajar”. Tal vez trabaja 20 horas seguidas y después no aparece por dos día por la oficina, pero vuelve a trabajar 20 horas corridas de nuevo. No piensa desde la parte de los negocios. Hay pocos hackers que terminan siendo CEO de empresas. Yo soy un bicho raro. Pero extraño mucho estar en esa función: irme a dormir a las 6 de la mañana y al día siguiente no hacer nada en todo el día. Y de repente que me agarre inspiración y sentarme en una máquina.

-Tenés un staff de hackers a tu cargo, ¿se aplica esta lógica al método de trabajo con ellos?

– Cuando hay un CEO que no tiene la mínima idea de cómo funciona la cabeza de un hacker y trata de hacer una gerencia de hackers, hay un choque explosivo. El mejor manager que podés tener es un ex hacker, porque entiende cómo funciona tu cabeza. Nosotros acá cumplimos horario de oficina solo por el hecho de estar integrados todos y poder trabajar con sinergia, pero podés llegar más tarde o irte antes; si tuviste un día muy pesado en cuanto a la calidad de lo que estuviste haciendo y a las cuatro de la tarde te explota el cerebro y te querés ir a tu casa, andate. Los viernes la oficina no abre, pero a veces me mandan un mail a las cuatro de la mañana mostrándome algo que descubrieron. La única razón por la que se viene a la oficina es por la sinergia que se genera cuando estamos todos juntos. Por suerte este equipo es bastante diferente al hacker normal, que es antisocial. A nosotros nos gusta estar en equipo.

-¿Lo entienden los gerentes que no son hackers?

El manager tradicional no entiende esto. No entiende que cuando comienza bajar el sol, nuestros cerebros se encienden. Tenemos mucha más productividad a la noche que durante el día. Acá sí tenemos esas libertades.

-¿Entienden tus amigos y familiares tu forma de pensar el mundo?

-No. Mi forma de encarar la vida, que es la forma de encarar la vida que tiene un hacker, nadie la entiende. Me he peleado con mi vieja… Cuando era adolescente y me iba a dormir a las seis de la mañana, o estaba toda la noche despierto y después me iba al colegio y a la tarde cuando volvía quería dormir, me peleaba. Y eso nunca terminó. Terminó porque me fui a vivir solo, pero el problea sigue. También familiares o amigos que trabajan a reloj y no entienden cómo puede ser que esté un mes afuera del país o que sean las tres de la mañana y esté haciendo algo, o que sean las tres de la tarde y no esté haciendo nada en mi casa. A nosotros si nos ponés estructuras, nos anulás. Nos tenés que dar libertad, así funcionamos.

-Es la forma de romper la estructura.

-Exacto. Si estás tres días sin hacer nada, no preocupa, porque al día siguiente enganchás algo y estás tres días seguidos laburando. Esto lo vas a escuchar en todos lados que tengan que ver con informática. Hay una entrevista que le hicieron a Bill Gates en el año 90 en la que contaba que habían alquilado unas oficinas que estaban vacías. Tenían tres puestos de trabajo, colchones y una heladera con Coca Cola. Quizá estaban 24 horas programando a pura Coca Cola y después se tiraban a dormir en alguno de los colchones al lado del puesto de trabajo. Así es esto. Similar a un artista. Esto es un arte. No hay estructuras. Está bueno trabajar así.

TODOS EXPUESTOS

-¿De qué hablamos cuando hablamos de hackear?

-De acceder al dispositivo y hacerlo trabajar o interactuar de una forma diferente para la cual fue diseñada.

-¿Todos los dispositivos son potencialmente hackeables?

-Sí, si tiene electrónica y maneja información, es hackeable de alguna forma.

-¿Hay real conciencia de la vulnerabilidad y peligros que hay en cuanto a seguridad en Internet?

-No. Por eso es que pasan tantos problemas. Si la gente estuviera alerta, se instruyera y corrigiera las cosas que los medios normalmente publican sobre protección, se eliminarían un montón de los problemas.

-¿A nivel empresa lo mismo?

-Sí, lo mismo. Tenés un individuo que tal vez no sabe que tiene que poner un password fuerte y una empresa que sí lo sabe, pero que se le escapa un montón de otras cosas. Por ejemplo que le deja a los empleados acceder a la red con sus propios dispositivos, o que delega de forma muy abierta las responsabilidades.

-¿Es un problema que los empleados accedan a la red de su trabajo con sus dispositivos?

-Sí, porque cuando hay una red empresarial, la gente de sistema controla lo que pasa dentro de la red. Pero cuando cae el empleado con un dispositivo propio, se forma un agujero en el sistema cerrado de seguridad. Si alguien comprometió afuera el dispositivo que entra en la red, esa persona puede entrar a la red, mientras que por otro lado está todo cerrado.

-¿Eso no le quita cierta flexibilidad buena al trabajo?

-Sí, cuanto más seguro es algo, menos seguro es. Y cuanto más funcional, menos seguro.

-Vos hablás de un triangulo entre funcionalidad, seguridad y facilidad. ¿En qué influye?

-Cada vez que nos movemos hacia alguna las aristas, se aleja de las otras dos. Cuanto más fácil sea algo, se aleja de seguridad y se aleja de funcionalidad. Algo fácil de manejar, que tiene un solo botón, es menos funcional que una computadora que tiene un montón de botones. Pero, a la vez, cuando le agregás funcionalidad, menos seguro es, porque va a tener más puertas de ataque. Ese es el problema principal. Con encontrar una sola de las funciones que tenga algún problema o debilidad ya alcanza. Entonces, cuando agregás seguridad, no lo hacés ni funcional ni fácil. Cada vez que tenés que hacer una tarea, salta el proceso de seguridad en el medio. Por ejemplo, el windows preguntándote “seguro que querés hacer esto”, o el antivirus “ojo con eto”.

-¿Cuesta mucho hacer entender esto a los que cuidan los productos en las empresas?

-Sí, sin embargo explicando en cinco minutos este triángulo, me ahorro seis horas de reunión. Porque lo hago al revés, voy directo al gerente que toma la decisión, le dibujo el triángulo y le digo que dibuje él el punto donde quiere que esté su producto. En base a esa decisión armo una estrategia de seguridad de doce meses. La mayoría lo pone en el medio. Es lo mismo que patear un penal al medio, para zafar del problema. Pero hay gente que prefiere funcionalidad, sin perder seguridad, entonces se olvidan de la facilidad. En base a eso armamos la estrategia de seguridad, porque sabemos que vamos a invertir más tiempo, plata y esfuerzo en proteger la seguridad sin perder tanta funcionalidad. Y si no es fácil no importa. Ellos quieren asegurarse de que sea seguro y en segunda instancia funcional.

– ¿Es difícil demostrar la fragilidad de un sistema?

-El cliente siempre se siente seguro. Si se le pregunta cuántos agujeros de seguridad tenés, va a decir que ninguno. Lo cual nunca es cierto. Siempre algún problema tienen. Entonces, lo que le decimos al cliente es que nos firme una autorización a que le hagamos un análisis básico, por arriba. Nos tiene que firmar la autorización porque si no es delito. No cobramos el análisis, es un trabajo al 10%, pero sirve para probar que está inseguro. El cliente generalmente acepta porque es gratis y nosotros le prometemos que no va a ser disruptivo, que no vamos a romperle nada. Le mostramos que tiene problemas y firman el contrato. Más allá de servirnos comercialmente, porque ganamos el contrato, nos sirve porque el cliente nos permite demostrarle que no estamos chamuyando con todo lo que decimos: que realmente tiene problemas y que nosotros podemos corregirlos.

ANONYMOUS Y WIKILEAKS

-¿Hay una ética hacker?

-Sí. Algo bastante parecido al juramento hipocrático: no hacer daño, no hacer nada que no te autoricen a hacer, siempre buscar el progreso y el bienestar común. Manejarte por lo que a vos te perece correcto, básicamente, si se lo contarías a tu vieja, hacelo, si no, no. “Mirá vieja, me junté con la gente del banco X, les mostré una vulnerabilidad, y me lo agraecieron”. Eso lo contarías, pero no le contarías que entraste al FBI y te robaste 300.000 tarjetas de crédito.

-¿Cuáles son las diferencias entre Anonymous y Wikileaks?

-Anonymous es un grupo anónimo de pibes de, en general, no más de 17 años. Hay de 8 años. Son nenes. Responden casi con una actitud zombie a las indicaciones de una cuenta de twiter, o de Facebook, o de un chat o de una página web que dicen vamos a hackear la página de Tecnópolis, por ejemplo. El año pasado Tecnópolis recibió muchos ataques de Anonimus. Entonces todos los zombies usan una herramienta que se bajaron. La herramienta es muy sencilla: se pone la url o el IP de lo que se quiera atacar y se aprieta un botón. Se puede configurar qué tan fuerte es el ataque (cuántas peticiones por segundo realizar) y otras cuestiones técnicas que no saben. El tutorial entra en un tuit, imaginate. Poner la url acá y apretar el botón, esperar el resultado.

-Eso satura la página objetivo.

-Sí la satura. Hoy las computadoras son muy fuertes, inclusive un celular tiene la capacidad de hacer muchas peticiones en simultáneo. Una computadora hace 10.000 peticiones por segundo. Calculá si juntás los 500.000 seguidores de Anónimus Argentina, que además hacen retweet. Por ahí tenés todo sudamérica atacando algo. No saben por qué lo hacen, no hay un código de ética, no hay un beneficio, no están mejorando nada, no hay “sombrero” tampoco, simplemente quieren molestar. No es activismo, porque el día de mañana Anónimus les dice que quieren tirar abaja otro sitio, y lo hacen. Nadie hace una investigación de cuál es la razón política o idealista para hacerlo.

-¿Wikileaks?

-Es nada que ver. Wikileaks sí es idealismo puro, aunque están cometiendo un delito. Hay un activismo: el gobierno de los EE.UU. te esconde información, el gobierno de los EE.UU. está en dos guerras ilegales en este momento, el premio nobel de la paz está iniciando una guerra en Siria. Hay un idealismo ahí. No puedo hacerte nada, porque sos el presidente de los EE.UU., pero digitalmente te puedo hacer daño. Entonces publico archivos secretos de la CIA o de lo que sea. No deja de ser un delito, pero ahí sí hay un idealismo un poco más fuerte.

-Eso demuestra que todos son vulnerables.

-Todos. Si pudieron hackear al gobierno de los EE.UU. pueden hackear a cualquiera. Hace unas semanas hackearon al New York Times y ese fue un hackeo en serio, no fue una denegación de servicio.

-¿Qué es una denegación de servicio?

-Es lo más bruto que puede haber en el hacking. Es como diez mil vikingos con un tronco gigante contra la puerta. ¿Cómo los frenás? Son kamikazes. Pero lo del New York Times fue más producido, con inteigencia: redirigieron todas las comunicaciones del servidor original a un servidor secundario. Ahí podrían haber metido malware, ingeniería social, o lo que sea. Entonces, el New York Times pudo ser hackeado, el fundador de Facebook pudo ser hackeado usando su propio “chocolate”, el gobierno de los EE.UU. es hackeado. Conclusión, todos estamos expuestos.

GOBIERNOS DIGITALES Y SEGURIDAD

-¿Cómo están Argentina y los países de la región en materia de seguridad a nivel gubernamental?

-Argentina, Brasil, Uruguay y Chile, están muy adelantados, el interés es fuerte, hay profesionales muy buenos que están contratados por el gobierno. Ese es el caso de Argentina. Sin embargo la ley es lenta, y eso funciona como un ancla. La burocracia judicial es lenta. Aprobar la ley requiere un montón de tiempo. Quizás algo que la tecnología lo puede hacer en diez minutos, la burocracia me lo atrasa seis meses. Pero interés hay, fuerza hay, presupuesto hay, el problema es que no hay conciencia de parte del gobierno en esos cuatro países que nombré. Si te acercás hacia el Ecuador, eso baja, porque no hay recursos, no hay presupuestos y no hay conciencia.

-¿Esto necesita muchos recursos?

-Muchos, porque tenés profesionales técnicos, abogados, jueces, políticos, diputados y el pueblo. Y la fuerza pública que tiene que hacerlo respetar. Para que yo pueda establecer una identidad digital de ciudadano todos tienen que responder: procesos migratorios, policía, identificación personal en el Registro Nacional de las Personas, todo tiene que responder para que el sistema funcione. Si no, se cae todo. Acá fuciona: estamos muy digitalizados y la seguridad está. Con respecto a seguridad de infraestructuras, Argentina está muy bien.

Artículos más leídos

En memoria de los héroes de Malvinas: “La misma bomba que cayó en la...

Defensa defonline -
Una charla con la presidenta de la Comisión de Familiares de Caídos en Malvinas revela las deudas que existen con aquellos que dieron su...

¿Qué hay detrás del Esequibo, la región de Guyana que Venezuela pretende anexar?

Internacionales defonline -
El gobierno de Nicolás Maduro convocó a un plebiscito para saber cuál es la voluntad del pueblo respecto a la región del Esequibo, que...

Armas nucleares: ¿cuáles son los países con mayor cantidad de ojivas?

Ciencia & Tecnología defonline -
Desde Hiroshima y Nagasaki, pasando por la Guerra Fría, el mundo está en alerta a los desarrollos nucleares que llevan adelante las distintas potencias...

¿Hay que operarse del apéndice para ir a la Antártida? El desafío de cuidarse...

Ciencia & Tecnología defonline -
Sin virus ni bacterias, el cuidado de la salud de quienes viven en el continente blanco es fundamental. En la base Petrel se está...

La Fuerza Aérea Argentina celebra el egreso de la 100º Promoción de suboficiales

Defensa DEF Redacción -
La Escuela de Suboficiales de la Fuerza Aérea Córdoba (ESFAC) festejó la centésima promoción de suboficiales, fundamentales para el mantenimiento de las aeronaves y...
spot_img

Contenido mas reciente

Defensa

Acordes para la guerra, lemas para la eternidad: ¿por qué la música militar acompaña a los ejércitos?

El mundo de los músicos que le dan ritmo a las actividades del soldado...
Defensa

Orgullo y reconocimiento: así fue la entrega de estatuillas a Veteranos de Malvinas a 41 años de la guerra

Héroes que dieron su vida en defensa de la soberanía y más de una...
Internacionales

Taiwán, Medio Oriente y fentanilo: los ejes del encuentro entre Joe Biden y Xi Jinping en Estados Unidos

El presidente norteamericano, Joe Biden, y su par chino, Xi Jinping, se reunieron por...
Actualidad

Henry Kissinger, una personalidad que marcó la historia de la diplomacia en el último siglo

La muerte del controvertido académico y hombre de Estado llega en pleno proceso de...
spot_img

Contenido Relacionado

© TAEDA S.A. Piedras 1333, 2 A, CABA. Tel: (11) 4554-2914 info@taeda.com.ar