Hace unos meses, me pidieron un artículo para la revista número 16 de CXO Comunity, un magazine que es leído por profesionales de la seguridad, y especialmente CTO y CSO. Aprovechando que en toda Latino-América el término hacker está mucho más denostado que en España, decidí escribir un artículo para ver si conseguía hacerles ver positivo tener hackers en las empresas, que tras el debate en la Ekoparty de Hackers vs CSO, creo que necesitamos ese entendimiento. Espero que os guste.
Los Hackers son malos... o todo lo contrario
Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene porque ser malo para tu compañía.
No es que quiera entrar en el eterno debate del término hacker, que ha llevado a acaloradas discusiones y diatribas en torno a las connotaciones positivas o negativas que se ha ido asociando a él. No voy a entrar en usar alguna de las míticas y coloridas definiciones del término, que cual pintura modernista admite todas las variaciones de la refracción de la luz, o de las definiciones anglosajonas usando crack, crash o hack como raíz de la palabra. En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker.
Asumamos que un hacker es alguien capaz de llegar más allá de lo que dicen las especificaciones, consiguiendo hacer cosas que van desde lo curioso a lo maravilloso pasando por lo menos esperado. Así, un hacker puede montar una computadora en un drone para robar los datos de los usuarios de redes WiFi a 100 metros de altura, o modificar el tan nombrado asistente personal Siri que viene en los iPhone 4S de la compañía de la manzana del pecado para que pueda ser controlado por la mente, como hace el proyecto Black Mirror, o encontrar un fallo en el sistema criptográfico de un algoritmo para poder descifrar la información oculta en cuestión de unos minutos.
Todos ellos son hackers. Son gente con capacidades especiales, adquiridas en base a mil horas dedicadas por culpa de una pasión infinita, o por un ansia enfermizo que les impide dormir sin responder a la preguntas que le atormentan: ¿Por qué? ¿Cómo? ¿Y si...?
A lo largo de mi vida profesional, he tenido la suerte de viajar por muchos rincones del mundo, y conocer a hackers increíbles, de ver conferencias únicas y demostraciones técnicas que te roban el aliento así como de compartir una cerveza con muchos de ellos. César Cerrado, Hernán Ochoa, Charlie Miller, Moxie Marlinspike, Dan Kaminsky, Rubén Santarmarta, Bernardo Quintero, Mikel Gastesi, David Litchfield, Alex Sotirov, los míticos Sexy Pandas o los Int3Pids son algunos ejemplos de diferentes tipos de hackers, focalizados en distintas disciplinas. Hackers, que trabajan en empresas haciendo labores profesionales en el mundo de la seguridad.
Algunos son lo que, de broma, con sorna, y un poco de mala leche, se llaman “Security Pr0n Stars” o starletes del escenario y la CON, pero no todos son así. Muchos realizan una labor más encubierta, o menos extrovertida, pero aún así tienen lo que el gran Jhonny Long denominaba “La mirada hacker”. Algo que los hace distintos a los demás. Ni mejores, ni peores. Simplemente distintos.
A veces, se habla de los hackers como si fueran delincuentes o como si fueran el auténtico enemigo de las organizaciones. Se venden soluciones de protección contra hackers, se hacen planes de defensa contra hackers, se instalan sistemas de intrusión contra hackers... Y es que un hacker podría tener tal vez la capacidad de hacer todo eso que te preocupa. Ya he dicho que son diferentes.
Tal vez un hacker no entienda cómo funciona el negocio de una empresa, o que no conozcan los problemas de gestión presupuestaria de una organización. Tal vez incluso no sepan montar un sistema de gestión de usuarios, o configurar un servidor de bases de datos para dar soporte a una aplicación. Pero eso no les hace menos importantes en el mundo empresarial, y tampoco tienen por que ser el enemigo.
Un hacker es alguien con una capacidad distinta, pero esa capacidad no le hace ni bueno ni malo, ni enemigo ni aliado, ni Dios ni el Demonio.
¿Alguien te garantiza que un Administrador de Sistemas no sea tu peor enemigo dentro de tu empresa? No creo que para alguien acostumbrado a trabajar con equipos de personas sea ajeno el concepto de que “no todos son iguales”. Así, los equipos de Recursos Humanos en las empresas tratan por todos los medios de resolver la incógnita de la personalidad de los profesionales en el proceso de selección, evitando por todos los medios contratar “problemas”.
Sin embargo, en muchas empresas o en la mente de muchos responsables de sistemas se ha instaurado la latente sensación de que un hacker en una empresa son problemas. Y eso es un error. Sí, es cierto, alguien malo con habilidades hacker puede ser peligroso dentro de una compañía, pero... ¿no lo es un administrador de correo maligno?
Imagina por un momento que la persona encargada de los backups del correo electrónico se lleva los ficheros a su casa, y allí dedica sus solitarias y torturadas noches en la búsqueda del cotilleo, el dato sensible, o la información escabrosa que haya podido fluctuar por el sistema... ¿no te da miedo pensar que tu administrador de correo se haya leído todos tus mensajes? Si lo piensas detenidamente, la cantidad de personas técnicas a las que te ves abocado a confiar es tan alta, que si empiezas a desconfiar de todas ellas acabarás viviendo en la paranoia. Lo siento. Es así.
Ahora piensa en positivo, y supón que esas habilidades hacker están al servicio de tu empresa.
¿Cuantas páginas web han sido vulneradas por fallos sencillos que podría haber detectado cualquier hacker que hubiera echado algo de tiempo en mirar la seguridad? ¿Cuántos problemas intentos se podrían haber evitado si un hacker te hubiera alertado internamente de que hay una herramienta que permite acceder a los datos de la WiFi que usa el director general? ¿Cuanto dinero se hubiera ahorrado una compañía si hubiera cerrado los fallos de seguridad que han llevado al robo de datos, la consiguiente multa del gobierno y descrédito en la opinión pública en muchas empresas?
Tal vez el hacer una auditoría de seguridad periódica a los servicios externos de una empresa ya está algo más instaurado en las grandes empresas. Así, de la partida presupuestaria se reserva “algo” de dinero para hacer auditorías. Normalmente esa cantidad de dinero siempre es discutida, y no consigue ser lo necesaria para garantizar que una empresa externa te revise la seguridad de forma continuada, sino solo durante un instante de tiempo. Algo que todos sabemos que tiene una utilidad temporal, ya que la seguridad de una plataforma es cambiante en función del tiempo.
Sí, hacer una auditoría, contratando empresas como la nuestra para hacerte una auditoría de hacking ético, un pentesting de aplicaciones web, o una auditoría externa es fundamental por muchas razones:
No confundas a un hacker con un delincuente, ni a un delincuente con un hacker. No hay una ley escrita o no escrita que deba ser firmada para que alguien sea o no un hacker. No hay que hackear la Nasa y poner “hax0r estuvo aquí”, ni es necesario robar las fotos del correo de una actriz famosa para ser alabado o reconocido por un ente abstracto, y algunas veces mal enfocado como “yo y mis amigos”, llamado Comunidad Hacker.
Olvidate, yo trabajo con hackers, y son gente genial, capaz de resolver problemas o detectarlos en tiempos récord. Pueden encontrar un fallo en la programación de una aplicación usando técnicas que aún no son conocidas, o pueden ver un problema en un sistema solo entornando un poco los ojos para mirar en su cerebro la estructura del sistema y sus debilidades.
Eso es fundamental en tu organización. Igual que hay ejecutivos capaces de leer el mercado y tomar la mejor decisión en el mejor momento, de cambiar el nombre de un producto para mejorar el marketing, comerciales capaces de transmitir la necesidad a los clientes más duros, o economistas y contadores hábiles que ahorran dinero o generan beneficios con movimientos de dinero en sus libros de cuentas. Así son los hackers... pero con la tecnología.
Las grandes empresas ya cuentan con sus equipos de hacking ético internos, su grupos de seguridad formado por hackers que se encargan de detectar los fallos, de hacer los procesos más seguros, o de desarrollar tecnología a medida para mejorar el rendimiento de los recursos. Esos equipos cuentan con hackers que son profesionales de la seguridad, personas brillantes que trabajan para compañías para las que resultan extremadamente rentables.
Hackers en la Gran Empresa
El número de hackers que engrosan las filas de las grandes empresas es infinito. Muchos de ellos tienen historias menos conocidas, pero hay otros casos que han dado la vuelta al mundo por la fama de ellos mismos.
Como muestra de casos famos de contratación de hackers por grandes empresas tenemos los recientes casos de GeoHot, el hacker que rompió la seguridad de PlayStation 3 de Sony, y que tras sufrir un proceso judicial con Sony, acabó siendo fichado por la multinacional Facebook.
Moxie Marlinspike, el famoso hacker por ataques como el de Null-byte en la petición de certificados digitales que le permitía conseguir certificados falsos perfectos para sitios como Gmail o Live, y por sus herramientas como SSLSniff y SSLStrip usadas en ataques de man in the middle, acaba de entrar a formar parte de Twitter tras la adquisición de su empresa por la red social de los 140 caracteres.
Y por último, el sorprendente caso de Comex que durante los últimos años se ha dedicado a investigar formas de romper los sistemas de seguridad de Apple en iPhone o iPad para crear JailbreakMe, una solución online para liberar los dispositivos de la compañía de la manzana del control de ésta. Para ello buscó vulnerabilidades de seguridad que se pudieran utilizar online hasta que consiguió encontrar tres fallas que, aplicadas de manera conjunta, permitían la liberación del terminal. Su trabajo fue premiado en la conferencia de seguridad más importante del mundo, BlackHat USA 2011, con un premio que dan los hackers a los mejores trabajos de hacking, llamados Pwnie Awards. Hoy en día trabaja en Apple.
Cuida a tu Hacker
No les tengas miedo, no pienses en ellos como en el enemigo. Igual que confías en tu DBA, debes confiar en tus hackers. Tómalos como un recurso de valor dentro de tu organización, sacando de ellos lo mejor que tienen. Cuidalos, mímalos, igual que cuidas al resto de tu equipo, y obtendrás un punto de vista nuevo de tus sistemas y unas capacidades ampliadas que harán que todo tu grupo de profesionales crezca en resultados.
Saludos Malignos!
Los Hackers son malos... o todo lo contrario
Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene porque ser malo para tu compañía.
No es que quiera entrar en el eterno debate del término hacker, que ha llevado a acaloradas discusiones y diatribas en torno a las connotaciones positivas o negativas que se ha ido asociando a él. No voy a entrar en usar alguna de las míticas y coloridas definiciones del término, que cual pintura modernista admite todas las variaciones de la refracción de la luz, o de las definiciones anglosajonas usando crack, crash o hack como raíz de la palabra. En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker.
Asumamos que un hacker es alguien capaz de llegar más allá de lo que dicen las especificaciones, consiguiendo hacer cosas que van desde lo curioso a lo maravilloso pasando por lo menos esperado. Así, un hacker puede montar una computadora en un drone para robar los datos de los usuarios de redes WiFi a 100 metros de altura, o modificar el tan nombrado asistente personal Siri que viene en los iPhone 4S de la compañía de la manzana del pecado para que pueda ser controlado por la mente, como hace el proyecto Black Mirror, o encontrar un fallo en el sistema criptográfico de un algoritmo para poder descifrar la información oculta en cuestión de unos minutos.
Todos ellos son hackers. Son gente con capacidades especiales, adquiridas en base a mil horas dedicadas por culpa de una pasión infinita, o por un ansia enfermizo que les impide dormir sin responder a la preguntas que le atormentan: ¿Por qué? ¿Cómo? ¿Y si...?
A lo largo de mi vida profesional, he tenido la suerte de viajar por muchos rincones del mundo, y conocer a hackers increíbles, de ver conferencias únicas y demostraciones técnicas que te roban el aliento así como de compartir una cerveza con muchos de ellos. César Cerrado, Hernán Ochoa, Charlie Miller, Moxie Marlinspike, Dan Kaminsky, Rubén Santarmarta, Bernardo Quintero, Mikel Gastesi, David Litchfield, Alex Sotirov, los míticos Sexy Pandas o los Int3Pids son algunos ejemplos de diferentes tipos de hackers, focalizados en distintas disciplinas. Hackers, que trabajan en empresas haciendo labores profesionales en el mundo de la seguridad.
Algunos son lo que, de broma, con sorna, y un poco de mala leche, se llaman “Security Pr0n Stars” o starletes del escenario y la CON, pero no todos son así. Muchos realizan una labor más encubierta, o menos extrovertida, pero aún así tienen lo que el gran Jhonny Long denominaba “La mirada hacker”. Algo que los hace distintos a los demás. Ni mejores, ni peores. Simplemente distintos.
A veces, se habla de los hackers como si fueran delincuentes o como si fueran el auténtico enemigo de las organizaciones. Se venden soluciones de protección contra hackers, se hacen planes de defensa contra hackers, se instalan sistemas de intrusión contra hackers... Y es que un hacker podría tener tal vez la capacidad de hacer todo eso que te preocupa. Ya he dicho que son diferentes.
Tal vez un hacker no entienda cómo funciona el negocio de una empresa, o que no conozcan los problemas de gestión presupuestaria de una organización. Tal vez incluso no sepan montar un sistema de gestión de usuarios, o configurar un servidor de bases de datos para dar soporte a una aplicación. Pero eso no les hace menos importantes en el mundo empresarial, y tampoco tienen por que ser el enemigo.
Un hacker es alguien con una capacidad distinta, pero esa capacidad no le hace ni bueno ni malo, ni enemigo ni aliado, ni Dios ni el Demonio.
¿Alguien te garantiza que un Administrador de Sistemas no sea tu peor enemigo dentro de tu empresa? No creo que para alguien acostumbrado a trabajar con equipos de personas sea ajeno el concepto de que “no todos son iguales”. Así, los equipos de Recursos Humanos en las empresas tratan por todos los medios de resolver la incógnita de la personalidad de los profesionales en el proceso de selección, evitando por todos los medios contratar “problemas”.
Sin embargo, en muchas empresas o en la mente de muchos responsables de sistemas se ha instaurado la latente sensación de que un hacker en una empresa son problemas. Y eso es un error. Sí, es cierto, alguien malo con habilidades hacker puede ser peligroso dentro de una compañía, pero... ¿no lo es un administrador de correo maligno?
Imagina por un momento que la persona encargada de los backups del correo electrónico se lleva los ficheros a su casa, y allí dedica sus solitarias y torturadas noches en la búsqueda del cotilleo, el dato sensible, o la información escabrosa que haya podido fluctuar por el sistema... ¿no te da miedo pensar que tu administrador de correo se haya leído todos tus mensajes? Si lo piensas detenidamente, la cantidad de personas técnicas a las que te ves abocado a confiar es tan alta, que si empiezas a desconfiar de todas ellas acabarás viviendo en la paranoia. Lo siento. Es así.
Ahora piensa en positivo, y supón que esas habilidades hacker están al servicio de tu empresa.
¿Cuantas páginas web han sido vulneradas por fallos sencillos que podría haber detectado cualquier hacker que hubiera echado algo de tiempo en mirar la seguridad? ¿Cuántos problemas intentos se podrían haber evitado si un hacker te hubiera alertado internamente de que hay una herramienta que permite acceder a los datos de la WiFi que usa el director general? ¿Cuanto dinero se hubiera ahorrado una compañía si hubiera cerrado los fallos de seguridad que han llevado al robo de datos, la consiguiente multa del gobierno y descrédito en la opinión pública en muchas empresas?
Tal vez el hacer una auditoría de seguridad periódica a los servicios externos de una empresa ya está algo más instaurado en las grandes empresas. Así, de la partida presupuestaria se reserva “algo” de dinero para hacer auditorías. Normalmente esa cantidad de dinero siempre es discutida, y no consigue ser lo necesaria para garantizar que una empresa externa te revise la seguridad de forma continuada, sino solo durante un instante de tiempo. Algo que todos sabemos que tiene una utilidad temporal, ya que la seguridad de una plataforma es cambiante en función del tiempo.
Sí, hacer una auditoría, contratando empresas como la nuestra para hacerte una auditoría de hacking ético, un pentesting de aplicaciones web, o una auditoría externa es fundamental por muchas razones:
- Para saber qué nivel de seguridad tienes y poder informar en el comité de una situación de riesgo o de la necesidad de invertir más en la protección de la continuidad del negocio.
- Para ofrecerte otra visión distinta de la seguridad, ya que con el paso del tiempo los equipos de auditoría interna y los desarrolladores de tecnología se adaptan los unos a los otros, haciendo que se convierta en un juego ante el espejo.
- O para estar más tranquilo y confirmar que estás haciendo las cosas bien.Es fundamental contar con gente fuera que te ayude. Profesionales del hacking ético. Hackers que son profesionales en su misión. Que tienen una visón distinta de la tecnología. Que ven distintas las cosas. Que son diferentes. Que te pueden ayudar en tu misión de tener una plataforma mucho más segura.
No confundas a un hacker con un delincuente, ni a un delincuente con un hacker. No hay una ley escrita o no escrita que deba ser firmada para que alguien sea o no un hacker. No hay que hackear la Nasa y poner “hax0r estuvo aquí”, ni es necesario robar las fotos del correo de una actriz famosa para ser alabado o reconocido por un ente abstracto, y algunas veces mal enfocado como “yo y mis amigos”, llamado Comunidad Hacker.
Olvidate, yo trabajo con hackers, y son gente genial, capaz de resolver problemas o detectarlos en tiempos récord. Pueden encontrar un fallo en la programación de una aplicación usando técnicas que aún no son conocidas, o pueden ver un problema en un sistema solo entornando un poco los ojos para mirar en su cerebro la estructura del sistema y sus debilidades.
Eso es fundamental en tu organización. Igual que hay ejecutivos capaces de leer el mercado y tomar la mejor decisión en el mejor momento, de cambiar el nombre de un producto para mejorar el marketing, comerciales capaces de transmitir la necesidad a los clientes más duros, o economistas y contadores hábiles que ahorran dinero o generan beneficios con movimientos de dinero en sus libros de cuentas. Así son los hackers... pero con la tecnología.
Las grandes empresas ya cuentan con sus equipos de hacking ético internos, su grupos de seguridad formado por hackers que se encargan de detectar los fallos, de hacer los procesos más seguros, o de desarrollar tecnología a medida para mejorar el rendimiento de los recursos. Esos equipos cuentan con hackers que son profesionales de la seguridad, personas brillantes que trabajan para compañías para las que resultan extremadamente rentables.
Hackers en la Gran Empresa
El número de hackers que engrosan las filas de las grandes empresas es infinito. Muchos de ellos tienen historias menos conocidas, pero hay otros casos que han dado la vuelta al mundo por la fama de ellos mismos.
Como muestra de casos famos de contratación de hackers por grandes empresas tenemos los recientes casos de GeoHot, el hacker que rompió la seguridad de PlayStation 3 de Sony, y que tras sufrir un proceso judicial con Sony, acabó siendo fichado por la multinacional Facebook.
Moxie Marlinspike, el famoso hacker por ataques como el de Null-byte en la petición de certificados digitales que le permitía conseguir certificados falsos perfectos para sitios como Gmail o Live, y por sus herramientas como SSLSniff y SSLStrip usadas en ataques de man in the middle, acaba de entrar a formar parte de Twitter tras la adquisición de su empresa por la red social de los 140 caracteres.
Y por último, el sorprendente caso de Comex que durante los últimos años se ha dedicado a investigar formas de romper los sistemas de seguridad de Apple en iPhone o iPad para crear JailbreakMe, una solución online para liberar los dispositivos de la compañía de la manzana del control de ésta. Para ello buscó vulnerabilidades de seguridad que se pudieran utilizar online hasta que consiguió encontrar tres fallas que, aplicadas de manera conjunta, permitían la liberación del terminal. Su trabajo fue premiado en la conferencia de seguridad más importante del mundo, BlackHat USA 2011, con un premio que dan los hackers a los mejores trabajos de hacking, llamados Pwnie Awards. Hoy en día trabaja en Apple.
Cuida a tu Hacker
No les tengas miedo, no pienses en ellos como en el enemigo. Igual que confías en tu DBA, debes confiar en tus hackers. Tómalos como un recurso de valor dentro de tu organización, sacando de ellos lo mejor que tienen. Cuidalos, mímalos, igual que cuidas al resto de tu equipo, y obtendrás un punto de vista nuevo de tus sistemas y unas capacidades ampliadas que harán que todo tu grupo de profesionales crezca en resultados.
Saludos Malignos!
Increible entrada Chema, nunca habia leido algo tan aclaratorio, tan bien explicado y con tanta verdad.
ResponderEliminarMe quito el sombrero, una vez mas.
Por fín una entrada que aclare todo esto, estaría muy bien que la gente leyera este artículo .. les aclararías varias cosas que deberían de saber.
ResponderEliminarEsta muy bueno el articulo ya que por lo general los medios de comunicación hacen del termino HACKERS cualquier degeneración del mismo, sin saber nada de la esencia de los HACKERS y de como estos expertos trabajan arduamente para que todo funcione bonito y bien jajaja, Saludos desde Bariloche, RN, Argentina...Sigan así...una Maza
ResponderEliminarEnorme, menuda currada de redacciones te pegas Chema. Felicitaciones.
ResponderEliminarExcelente artículo, hace falta divulgar este tipo de entradas.
ResponderEliminarMuy buena reflexión Chema, con tu permiso voy a citar tu artículo en mi Web:http://estacioninformatica.blogspot.com.es/
ResponderEliminarun saludo crack.
Buenísima esta entrada, enhorabuena Chema!
ResponderEliminarCreo que has sabido ponerte en el lugar de la psicologia de los que dirigen el mundo empresarial.
ResponderEliminarSi tu intencion era hacerte entender en ese mundo, estoy seguro de que por lo menos es un paso hacia adelante.
Gracias por abrir puertas a la comunidad una vez mas.
100% cierto, pero no es facil tener un HACKER.
ResponderEliminarLas personas "inquietas" no terminan de encajar en las empresas
http://xurl.es/Superdotados
¿Donde están los superdotados de mi empresa?
Excelente post Chema, sin desperdicios, por lo regular los empresarios prefieren el termino auditor de seguridad de TI al de Ethical Hacker, pero ese ya seria otro tema :-P
ResponderEliminarhola chema tienes gran parte de la razon jeje y si por ejemplo mi vecino me dice hola no te conozco pero tienes una falla en tu red wifi,yo te ayudare a solucionarla y te enseñare como, el es un hacker?
ResponderEliminarMuy interesante, para más información sobre hackers. www.indiscreto.es/que-son-los-hackers.html
ResponderEliminarBien presentado y expresado para todos los profanos y no profanos. :]
ResponderEliminarCierto, hay que piensar lo bien
ResponderEliminarMuy bien redactado, Chema. He utilizado este artículo como referencia bibliográfica para un curso de Informática en Enfermería, ya que la docente definió a los hackers como piratas informáticos. Un afectuoso saludo desde Buenos Aires, Argentina.
ResponderEliminar