NoConName debate la publicación de los fallos de seguridad

Cuatro días de sol, portátiles y hacking fueron ideales para los casi cien expertos, estudiosos y profesionales de la seguridad informática, con una edad media de 25 años, que confluyeron la semana pasada en la segunda edición del congreso NoConName.

En el parque tecnológico ParcBit de Mallorca, y en un ambiente buscadamente serio, se debatieron temas de actualidad como la conveniencia de informar públicamente de errores en programas o la inseguridad en las bases de datos.

Las estrellas de NoConName fueron los londinenses NGSsoftware, quienes presentaban, al mismo tiempo que en las listas de seguridad mundiales, un programa para aprovechar un agujero de seguridad (exploit, en inglés) del popular servidor de bases de dados Microsoft SQL. Los ingleses ofrecieron también una aplaudida demostración de otros errores de SQL, que permiten ejecutar archivos, cambiar webs, enviar correo desde la empresa o asaltar otras máquinas. Todo con la simple ayuda de un navegador, 'inyectando' instrucciones en el formulario de autenticación Nombre de Usuario de una web. 'Lo mismo ocurre con las bases de datos de otras marcas', concluían.

El debate sobre full disclosure (publicación total de fallos informáticos) puso la pasión al evento, con frases como: 'Vivimos en un gruyère creyendo que vivimos en un sistema seguro'. La mayoría estuvo a favor de publicar los errores y concentró la discusión en la conveniencia de dar también el programa exploit, que permite al administrador comprobar si tiene el fallo, pero también al intruso. Uno de los asistentes afirmaba: 'Yo y mis amigos no publicamos nuestros exploits, pero esto da un nivel superior para hacer daño, porque la gente no sabe que tiene el problema. Y, al final, como todos los secretos, acaba sabiéndolo medio planeta'.

La conclusión unánime de los asistentes era que 'los exploits deben publicarse, pero no de forma irresponsable, no cuando hagan daño, dando tiempo a los fabricantes para reaccionar'. Gemma Gómez, proponía la solución del 'full disclosure por etapas, avisando primero a los proveedores, los fabricantes... antes de hacerlo público'. Otros reivindicaban que se pagase por los exploits.

El futuro de los Sistemas de Detección de Intrusos hacia la inteligencia artificial y la estadística avanzada o las limitaciones en la aplicación de la Ley de Protección de Datos llenaron otras charlas. Sobre los datos, el auditor Ramón de la Iglesia imaginaba un videoclub, con alquiler de películas en línea, para explicar la odisea y el gasto que le supondría al dueño adaptarse a la ley: 'El dinero que se va a gastar en su web este señor es impresionante, le valdría más poner una papelería. No es económicamente viable para las pymes, ni por la inversión ni por las multas'.

Sorprendía entre tan buena información la juventud de los participantes y del núcleo duro, la asociación NoConName, cuyo presidente, José Nicolás Castellano, tiene 20 años. La misma edad que Oriol Carreras, ganador del concurso de ingeniería inversa. 'Aquí están los mejores hackers', se sonreía uno de los veinte de la organización, con gente ya experimentada en la Balearikus Party.

La diferencia con la reunión de amigos que fue la primera NoConName, en 1999, era notable, aunque la profesionalización no evitó que el espíritu se mantuviese. Àlex Clares denunciaba la 'criminalización de los hackers, que son buenos administradores y programadores que se dedican a la investigación para ampliar conocimientos'; recordaba que 'la información debe compartirse libremente y no cobrarse abusivamente' y defendía 'los sistemas libres, más accesibles y baratos'.

Ya en la despedida, se anunció que la NoConName tendrá una continuidad anual o bianual, siempre en las Baleares.