_
_
_
_
tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Si miras al ‘hacker’, no ves el agujero

La noticia no es que hayan detenido a un sofisticado genio del crimen. La noticia es la vulnerabilidad del servidor donde se guardan todas las causas del Consejo General del Poder Judicial

Detencion Alcasec
José Luis Huertas, alias 'Alcasec', durante su detención, en una imagen facilitada por la Policía Nacional.García Coronado. Alvaro
Marta Peirano

El mercado de vulnerabilidades (exploits, zero-days, puertas traseras, agujeros que permiten entrar sin consentimiento en un sistema operativo, aplicación o red comercial) no hace más que crecer. Los más peligrosos son los que permiten entrar en los sistemas comerciales de control industrial, como los que fabrican Siemens y Schneider Electric. Pero también son los más difíciles. Los más cotizados son aquellos que permiten entrar en los principales sistemas operativos comerciales (Android, iOS, Microsoft) de forma global, invisible y remota, sin acceso físico al dispositivo. Por eso, la mayor ambición de un adolescente aficionado a la seguridad informática ya no es salir en los periódicos o fichar por Google, Oracle o el Ministerio de Defensa. Es encontrar una puerta trasera a los Android o iPhone para vendérsela por un millón de dólares al NSO Group. La culpa la tienen las autoridades. Explico brevemente por qué.

Históricamente, el incentivo principal de los hackers había sido el prestigio que ganaban encontrando y señalando vulnerabilidades, para verlas parcheadas en lugar de ser explotadas silenciosamente durante años por espías, Estados rivales y ciberdelincuentes de verdad. En un mundo perfecto, los hackers son una capa importante del sistema inmunológico de la Red. Es humillante para las empresas, administraciones y multinacionales cuyos agujeros se destapan, pero las obliga a proteger mejor sus servicios y es más barato que pagar una auditoría de seguridad. Al final, todo el mundo gana. En nuestro ecosistema, sin embargo, el acceso no autorizado a un sistema informático ha sido perseguido como delito, independientemente de su intención.

La escena hacker española es rica en persecuciones y demandas a hackers, perseguidos por denunciar vulnerabilidades. Hay casos emblemáticos como el de Alberto García Illera, demandado en 2012 por denunciar fallos en las máquinas expendedoras de billetes de Metro de Madrid y Renfe, que terminan en absolución, pero después de un proceso disuasorio que contagia al resto de la escena. Tenían que surgir alternativas al martirio y surgieron varias. Por un lado, están los programas de recompensas (bug bounties) que ofrecen empresas como Google, Microsoft, Facebook o Apple por encontrar un agujero de seguridad. Los premios son variables y el proceso requiere entregar el “botín” sin garantía de recibir recompensa. Si rechazan el “producto”, es imposible saber si el agujero fue parcheado o no. Pero al menos sabes que el agujero no caerá en malas manos y que la empresa no tomará medidas legales contra ti. La otra opción es un oscuro mercado de brókers donde se subastan las vulnerabilidades al mejor postor.

El segundo paga más, pero tiene grandes desventajas. Es peligroso, te pueden trincar. Y, si tienes un mínimo de conciencia, nunca sabes si tu botín servirá para que un Gobierno totalitario acose activistas a través de la plataforma Pegasus o para que un grupo organizado de ciberdelincuentes extorsione hospitales durante una pandemia. Pero aún más: no lo puedes contar. El precio de forrarte es que nadie puede saber lo genio que eres y de lo que eres capaz.

La primera regla del mercado de vulnerabilidades es que no se habla del mercado de vulnerabilidades. Un bróker llamado The Grugq dio una entrevista en Forbes contando cómo funcionaba el mercado y presumiendo de ganar un millón al año. Al día siguiente su negocio se esfumó. Hay marcos que trascienden a esa regla. Las empresas como NSO mandan scouts a ciertos congresos de hackers donde se exponen exploits conocidos con la esperanza de vender los más frescos al mejor postor. Pero sabemos que Alcasec, el “ciberdelincuente más buscado de España”, había hackeado a la Policía Nacional, a Bicimad, Burger King y que tenía una base de datos robados de millones de personas porque contaba sus hazañas en el podcast Club 113. La noticia no es que la policía haya detenido a un sofisticado genio del crimen. La noticia es lo frágil que es el servidor donde se guardan todas las causas del Consejo General del Poder Judicial.

Dicen que, cuando señalas, los tontos te miran el dedo. La retórica del “peligroso ciberdelincuente” nos distrae de lo débil que sigue siendo la protección de los datos administrativos en España. En 2017, el Ministerio de Justicia denunció al hacker que había descubierto y denunciado un fallo en la configuración de LexNET, el servicio online del organismo para compartir documentos de los procesos penales. El agujero era tan grave que dejaba todos los ficheros de la administración de la justicia española al descubierto, permitiendo modificaciones, además de acceso a la información. Si seguimos centrándonos en el hacker, en lugar de invertir tiempo, recursos y energía en garantizar la seguridad de las plataformas que recogen nuestros datos, estamos expuestos a peligros mayores que un amigo del Pequeño Nicolás.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro usuario a tu suscripción?

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_