Un hacker es la persona que menos esperas. Es alto, feo, musculoso, guapo, gordo, negro, blanco, chino, mexicano, emo, dark, fresa… puede ser también una mujer, existen hackers muy buenas.
Nunca te dirá que lo es, siempre sentirá que le falta preparación, están obsesionados con la investigación y la innovación.
Tampoco fanfarronea en foros de internet diciendo que es miembro de Anonymous ni cobra 40 mil pesos por dictar una conferencia en la que simplemente aborda lugares comunes que cualquier presentador de gadgets, patrocinado por alguna empresa de telefonía, podría exponer.
No necesariamente carga en su bolsa el teléfono más caro, ni la computadora más sofisticada, ni una playera estampada con el rostro de Julian Assange.
“La prensa y el cine se ha encargado de distorsionar la imagen del hacker”, dice Armin García, ingeniero en sistemas quien, junto con Carlos Lozano, es uno de los organizadores de la reunión independiente y underground de expertos en seguridad BugCon.
A ellos no les gusta que los llamen hackers porque el término tiene una connotación negativa, aunque en realidad ellos lo único que hacen es ser los mejores en su campo: los sistemas complejos que rigen las computadoras, las redes, internet y todos los dispositivos que hoy dan cuerda al mundo.
Los mejores hackers del mundo se juntan cada año en Las Vegas y en Alemania. Los de México, desde 2008, en algún lugar del Instituto Politécnico Nacional.
Se conocen, comparten conocimientos y tratan de estar unidos. El entorno que los rodea los margina, a pesar de que son ellos los que salvan a las grandes firmas cuando algún joven que trata de ganarse un nombre en ese círculo intenta llamar la atención con algún defacement (intervención de alguna página de gobierno o compañías) o saturación del servicio que les impide seguir en línea. O cuando son reclutados para desactivar algún ciberataque masivo que puede poner en riesgo la seguridad nacional o la reputación de un corporativo.
Hace unos años existía en México una reunión de hackers llamada G-CON.
“Empezó como nosotros, todo under, abordaba las cosas más avanzadas, pero de repente la mercadotecnia se lo comió”, recuerda García. “Empresas como HP, Symantec, Microsoft empezaron a meterle mucho dinero. Ese congreso entonces se volvió muy mercantil. Básicamente, lo que se hacía al final, en sus últimos años, eran presentaciones de dispositivos que vendían las empresas, por ejemplo, si Intel llegaba a sacar un nuevo procesador, pues ahí lo presentaba. Así fue como murió G-CON”.
A Carlos Lozano le inquietaba que México no tuviera una reunión de expertos en seguridad, como ocurría en otras partes del mundo. Se lo planteó a Armin García y comenzaron a trabajar.
“Necesitábamos un lugar en donde pudiéramos compartir descubrimientos de, por ejemplo, vulnerabilidades en sistemas operativos”.
En 2008 comenzaron y generó mucho interés.
Un año después, sus compañeros ya estaban trabajando en empresas grandes. Cuando les comentaron que harían la edición 2009, muchos se alegraron. Más de tres mil personas estuvieron presentes por día. Tres días, en las instalaciones del Politécnico. Implementaron talleres y conferencias. Mientras que afuera de los salones se generaban cientos de proyectos.
“No había una organización o un evento que se dedicara a hablar de la verdad, lo que estaba sucediendo en ese momento en la vida real, de la seguridad informática. Muchas personas ven esto con miedo, como un tabú, no quieren hablar de ello. Por eso mismo, hoy en día muchas empresas carecen de un área de seguridad”.
Les tienen miedo.
“No pueden entender que nosotros debemos existir”, dice Armin García.
Comando de élite
Casi por regla general, los verdaderos hackers no propagan virus o hacen defacement, son enemigos de esos juegos, que consideran de novatos. Sin embargo, siempre que pasa eso en algún pueblo o ciudad de este planeta, la prensa se encarga de hacerles eco e incluso de reproducir los mensajes que lanzan que, si son leídos con calma, la mayoría de las veces están plagados de idioteces de adolescentes.
“Hackers atacan la página de la Secretaría de Gobernación y el Senado por declaraciones de diputado…”, decían los diarios de ayer y algunos portales. Todos los días se pueden escribir esas notas. Pasa todo el tiempo.
Ellos no gastan energía burlándose de los encargados de sistemas que apenas y saben configurar cuentas de correo o hacer funcionar una impresora.
Si tres de ellos decidieran coordinarse para hacerle daño a algún estado, las heridas no aparecerían en los periódicos de la mañana.
Los golpes que dan son secretos de Estado y cuando ellos los frenan, no están autorizados a hablar de lo que pasó. En México, por cierto, también han desactivado ataques muy fuertes del extranjero.
En realidad ellos son un comando de élite.
Estereotipos
‒¿Qué está detrás de su mala imagen, de que los vean con temor?
‒La mala prensa, dice Armin García.
‒Por ejemplo, vamos a recordar el caso de nuestro amigo alt3kx (Alejandro Hernández). Él descubrió una vulnerabilidad en Presidencia (2000), lo informó a Presidencia antes de publicarlo y, como vio que seguía la vulnerabilidad, que no le hicieron caso, la hizo pública. Obviamente como estamos hablando de cosas del gobierno, pues le cayó la AFI y lo detuvieron, y como en aquél entonces no había leyes, pues no lo pudieron meter a la cárcel.
‒Lo presentaron como un delincuente…
‒En México la palabra hacker siempre está relacionada con alguien que se sienta enfrente de una computadora y que hace maravillas. O que hace vudú. Que incluso puede levantar a un zombie desde su máquina. Tal vez por las películas, como War Games, que es una de las principales de culto en cuanto a hacking, en la que un chico como de 15 o 16 años entra a los sistemas de defensa de Estados Unidos y pone todo en DEFCON 1 (defense readiness condition, el protocolo de defensa del gobierno, que va del 5, menos severo, al 1, más severo), entonces, como se activan misiles y empieza la crisis, pues mucha gente se quedó con esa idea. Y luego las hackers que han detenido en EU que se dedican a robar cosas. El caso de Kevin Mitnick, hace dos años también, el ataque a la infraestructura de Estonia, por las represalias del gobierno contra los estudiantes.
‒¿Quién les tiene miedo?
‒Principalmente las personas que están en niveles gerenciales, directivos de las empresas y de las instituciones públicas, que son gente que ya tiene muchos años ahí. Cuando nosotros tratamos de hablar con ese tipo de personas, les da miedo. En realidad no nos conocen. Imagínate, ven a un chavo de 17 o 18 años que les demuestra que tiene más experiencia para encontrar vulnerabilidades en portales web. ¿Tú crees que va a correr a su compadre, el administrador del área de seguridad, que tiene 45 o 46 años? Pues no, verdad.
‒¿Te pasa a ti cuando vas a buscar trabajo?
‒Ven mi currículum y me dicen que no me pueden contratar porque no saben si una vez que yo conozca su infraestructura los voy a hackear. Ellos creen que prácticamente apretando un botón vamos a destruir todo.
‒¿Es porque ustedes saben mucho?
‒Podría decirse que 80% de nuestro tiempo nos la pasamos revisando investigaciones, devorando libros, estudiando las presentaciones de las conferencias de seguridad de todo el mundo, como Black Hat, Defcon, CCC, porque esto es muy difícil. Tenemos que tener bases sólidas de computación, de programación, de cómo funciona cada aplicación, sólo así podemos conocer cómo explotar las vulnerabilidades. 80% de mi trabajo es estar estudiando nuevas técnicas, nuevos documentos…
‒¿Por ejemplo?
‒Por ejemplo, cada mes, el segundo martes de cada mes, Microsoft libera sus parches de vulnerabilidades. Entonces lo que hacemos es revisar esos reportes y, con base en ello, si tenemos el sistema o la aplicación afectada en nuestra o nuestras empresas, realizar pruebas, que se conocen como pruebas de concepto, en los cuales ya podemos desarrollar la defensa.
‒No puedes saber de todo…
‒No. Esto te consume mucho. Por eso hay especialidades. Muchas personas se especializan en ataques a web, otros en ataques a capa de transmisión, o redes… por ejemplo, yo jugaba futbol americano, los viernes no me podía ir a fiestas, porque yo sabía que el sábado tenía que jugar a las nueve de la mañana. Lo mismo pasa aquí, el viernes te dicen, vamos a tener que hacer pruebas de penetración con tal cliente, te dicen la estructura y te pones a estudiar. Investigas y te vas haciendo una idea del panorama, para llegar con algo y empezar a atacarlo desde ese punto. No me refiero con atacarlo de modo malicioso, sino tratar de explotar esos huecos de seguridad, que tal vez no han sido corregidos o parchados por los administradores.
‒Una persona se puede tardar años en un programa…
‒La lógica de programación que uno debe de tener tiene que ser muy buena. Una cosa es programar y otra tener una buena mecánica de algorítmia, que es lo que tienen los grandes hackers.
‒Esta charla, como sabes, atraerá críticas. Todos los que están allá afuera son mejores que tú, principalmente los de las empresas establecidas de seguridad…
‒Esa es una de las cosas malas de este negocio. Una persona que tiene más de 35 años y que no puede comprender lo que nosotros hacemos, ese tipo de personas parece que tratan de atacarte por envidia, hacerte menos. Cómo puede ser que compañeros, mexicanos, que vivimos en el mismo país y que lo único que queremos hacer es que esto salga adelante, nos empiecen a bloquear.
‒Me queda claro que a ustedes no los dañan sus comentarios…
‒A los únicos que dañan son a los que quieren comenzar en esto y no saben qué camino tomar.
‒¿Qué es un hacker? Más allá de la connotación negativa…
‒Es una persona que hace muy bien su trabajo y va más allá de sus límites. Por ejemplo, un jardinero que corta bien el pasto, pero además hace figuras con los árboles y deja un paisaje hermoso. Eso es un hacker de la jardinería. Si hay alguien que se dedica a la investigación de algorítmos genéticos, de criptografía cuántica, de criptoanálisis y que está todavía tratando de innovar y aprender más sobre ese trabajo, eso es un hacker. Invierte su vida para que la sociedad sobresalga.
BugCon 2012
En las escuelas no enseñan nada de seguridad, los que quieren entrar a este mundo tienen que estudiar todo el tiempo lo que llega desde el extranjero.
Por eso es importante para los que están en México reunirse y compartir sus conocimientos, fortalecer redes sociales en el mundo real, por eso nació BugCon, que este 2 y 3 de febrero se llevará a cabo nuevamente en las instalaciones del Politécnico Nacional.
Una empresa de Argentina patrocina la reunión. Ninguna firma mexicana quiso relacionarse con ellos, pues no ceden a ser un comercial de sus productos o los encargados de comprar espacios ignoran de qué se trata. O temen relacionar su marca con la palabra hacker.
En Las Vegas, España o Alemania, este tipo de reuniones sirven para reclutar a los mejores. Las empresas y los gobiernos lo saben.
“Se pueden conseguir mejores empleos relacionados con la seguridad informática en el extranjero, que aquí en México”, dice Armin García, experto en sistemas y uno de los organizadores de BugCon.
Google, Microsoft y decenas de empresas grandes tienen a miembros de estos grupos trabajando en sus cuarteles generales.
“Hay muchos hackers mexicanos en universidades extranjeras que saben que si regresan a México volverán al pasado y no tendrán mucho futuro”, lamenta el experto en seguridad informática.
García recuerda que hace unos meses uno de sus amigos se fue a Estados Unidos y su madre le sugirió buscar trabajo allá. Fue a tocar la puerta a HP y lo contrataron. Desde allá lo mandaron de vuelta a este país, ganando en dólares, para cuidarlos.
“Es increíble que las instituciones educativas en México no apoyen este tipo de eventos”, dice Garcia. “¿Por qué apoyar un evento de robótica o darle tanto auge a Campus Party, si ahí nada más van a descargar cosas por el enlace que tienen y al show?”
‒¿Por qué?–, se le devuelve la pregunta.
‒Es algo que se deberían preguntar las instituciones educativas, dice Armin.
Cajas de arena
La primera edición de BugCon fue en 2008, fue solamente un día, un sábado, en UPICSA (Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas). Conferencias. La mayoría de los asistentes eran todavía estudiantes de las universidades Autónoma de México (UAM), Nacional Autónoma de México (UNAM) y el IPN. Amigos que conocían las habilidades de cada uno en ese campo y querían charlar acerca de ello en grupo. En esa ocasión reunieron a unas 300 personas.
Algo que llamó mucho la atención en ese entonces es que uno de los ponentes, llamado Rolando, trabajaba en Nintendo. Él explicó cómo se podía hackear la consola Wii en ese entonces. Era cuando comenzaba a hablarse de virtualización.
Los primeros equipos que comenzaron a utilizar virtualización fueron las consolas de videojuegos. En términos llanos, significa que tengo una máquina con el sistema operativo Windows, pero quiero tener otros sistemas operativos sin necesidad de modificar el registro o el disco duro. Se utiliza un programa y se instalan los softwares que se deseen. Puedo tener un Windows base y adentro de ese un Mac OS, o un Linux, o un Solaris, la cantidad de sistemas operativos que yo quiera.
“Todo esto de la virtualización se utiliza hoy en día para crear las cajas de arena”, dice Armin García. “Cuando uno captura por ejemplo un bicho, un ejecutable, un malware, por ejemplo, en Windows, pues se instala una máquina virtual de Windows y se prueba ahí el virus. Ahí se analiza, es como un laboratorio que al final no afecta todo el sistema. Se hace todo en un ambiente controlado, no infectará otros sistemas”.
Las cajas de arena las utilizan principalmente las empresas antivirus, como Kaspersky, Symantec y ESET.
“Así pueden observar cómo actúa el virus y crear una cura, y una firma, para tenerla en su base de datos y así detectarlo”, explica García.
Eso es parte de los conocimientos avanzados que se generan entre los participantes y los ponentes invitados, en conferencias o en los pasillos del lugar.