Sobre una servilleta de papel de un bar nació algo que hoy tiene banda sonora propia, Navaja Negra, una conferencia de seguridad informática que durante tres días ha traído hasta Albacete a 650 hackers o investigadores de seguridad, como algunos prefieren ser llamados para sacudirse las negativas connotaciones asociadas a este término que se equipara a pirata informático.
Pedro Candel y Daniel García, si se prefiere cr0hn y s4ur0n, son esos dos «locos» albaceteños, hackers que un día se fueron de Albacete por razones laborales y que hace cinco años soñaron con traer a su ciudad a sus amigos. Así nació Navaja Negra, unida desde este año a otro grupo de entusiastas de Jaén (ConectaCon), y que en su corta existencia se ha convertido en toda una referencia en seguridad informática en España.
El rap de la Navaja Negra está cargado de expresiones difíciles de entender para el común de los mortales, igual de complicadas que resultan las intervenciones que estos tres días se han escuchado en el paraninfo de la universidad. La canción habla del juego de los unos y los ceros, de descubrir 0days de los buenos, troyanos y agujeros. Secretos que solo están al alcance de unos pocos. Secretos que no se venden, se comparten, «no te engaño, a la sombra tantos años, observando, vigilando», rezan estas estrofas que tratan de sintetizar la filosofía de Navaja Negra, que sigue fiel a sus principios: «humildad, compartir y aprender».
El de hacker es un oficio cuanto menos enigmático. «Nuestro trabajo es buscar fallos de seguridad, pero una vez que los encontramos los reportamos de forma responsable, es decir, se lo decimos directamente al fabricante y no los hacemos públicos hasta que no se han solucionado», explica el albaceteño Pedro Candel (cr0hn), que trabaja para una big four, una de las cuatro grandes auditorias del mundo. Son los ciberpiratas buenos. Hay también quienes se pasan al lado oscuro, el del cibercrimen, donde se mueve «infinitamente» más dinero. El código ético hacker impide cruzar esa frontera, «nos gusta ayudar, colaborar, compartir nuestro trabajo y por eso no estamos en el lado oscuro», argumenta Candel. En juego también está la seguridad personal, porque al final, en el otro lado, lo que hay son mafias organizadas, «es como si te pones a tratar con narcotraficantes», dice Deepak Daswani (Dipu).
Encontrar una vulnerabilidad de día cero (zeroday), un fallo que nadie conoce, puede suponer sustanciosos ingresos también en el mercado negro. Pero estos zeroday tienen su propio mercado legal, hay incluso brokers que actúan de intermediarios entre los expertos de seguridad y los programadores de software. Las propias empresas ofrecen recompensas por ellas a través de sus programas Bug Bounty.
Microsoft, por ejemplo, ofrece hasta 100.000 dólares a quien encuentre vulnerabilidades críticas, otros fallos menos importantes no se pagan tan bien. «Hay distintos niveles, lo mismo ganas miles de dólares, que te pagan con una camiseta o una foto tuya en el hall of fame», describe Dipu con humor.
Simón Roses, un hacker mallorquín de la vieja escuela, que pasó seis años trabajando para Microsoft y que ahora ha creado su propia empresa de seguridad informática (Vulnex), lo tiene claro: «se puede ganar dinero haciendo las cosas bien».
para el pentágono. Eso es lo que hace Simón que además de asesorar a empresas y administraciones públicas para mejorar su seguridad, trabaja en un proyecto para el departamento de Defensa de Estados Unidos. Hace unos meses tuvo que presentar en el Pentágono la tecnología con la que trabajan, un software que analiza todo tipo de ficheros y busca problemas de seguridad, «esperamos poder lanzar un proyecto innovador, que se vea que algunas empresas españolas estamos haciendo cosas chulas», presume este informático a quien su padre le inyectó el veneno con tan solo 12 años.
«Me llevó a una academia a aprender Pascal, cuando llegó la informática al instituto llevaba ya diez años programando y sabía más que el profesor», rememora Simón que se marchó a estudiar a Boston, «siempre supe que quería hacer hacking, llevaba tiempo entrando en sitios sin hacer nada malicioso, la seguridad informática era lo que me interesaba y por eso me fui a Estados Unidos».
APRENDER CADA DÍA. Simón disfruta asistiendo a Navaja Negra, dice que siempre se puede aprender algo, porque el hacker que no está dispuesto a estar a la última «en un mes se queda obsoleto», pero también por ver la cara a personas de las que solo conoces su nick, «nos ponemos caras, hacemos nuevos amigos y compartimos secretos con los viejos». Este ambiente de la Navaja Negra, donde no todo se cuenta en público, es el que atrae a tantos jóvenes expertos.
El público está formado sobre todo por profesionales, «nos gustaría que vinieran más estudiantes, aquí está el futuro, hay empresas que vienen a cazar talentos», destacan los organizadores, que invitan a los jóvenes a romper barreras, «es como si a los estudiantes el hacking les diera miedo, creen que es más difícil de lo que en realidad es, hasta que un día prueban y empiezan a sacar fallos».
la «magia» del ‘hacking’. Es la «magia» del hacking de la que habla Deepak Daswani Dipu, un apasionado de la ciberseguridad, que en una ponencia que llevaba por sugerente título Sé lo que hicisteis el último verano (me lo dice Whatsapp Intelligence), evidenció todo lo que se puede llegar a saber de las personas solo por el uso que hacen de esta popular aplicación. Es lo que se llama Open Source Intelligence (OSINT), obtener inteligencia explotando la información que los usuarios vuelcan en Whatssapp, que es mucha, y demostrar a la vez algunas vulnerabilidades de su privacidad, como el hecho de que el número de teléfono quede al descubierto cuando el usuario se conecta usando por ejemplo una red wifi pública como la que se ofrecen en centros comerciales, hoteles o aeropuertos.
«Tu conversación sí que va cifrada, aunque hubo una época en la que se podían ver hasta los mensajes, pero el número de teléfono no», cuenta Dipu. Con el número en la mano, solo queda hacer un seguimiento, «si monitorizo las fotos del perfil que algunos usuarios cambian con mucha frecuencia, el estado y la última hora en la que estuvo en línea se puede inferir una gran información de la vida de las personas».
Aunque lo parezca, no hay tal magia en el hacking, asegura Dipu. Lo que hay son fallos de seguridad. «Si se consigue entrar es porque hay un fallo en una aplicación, en un sistema operativo, en un navegador o incluso un fallo en el propio usuario que ha utilizado una contraseña débil», explica.
Este ingeniero informático canario, de origen hindú para más señas, empezó cacharreando con los módem fax y las incipientes redes BBS que proliferaron entre los años 80 y los 90 en las habitaciones de muchos chavales, «siempre tuve esta afición». Pasó por la universidad y trabajó en el sector de las TIC en Tenerife hasta que se hizo con una de las 20 plazas para hacker que en el año 2013 convocó el Instituto Nacional de Ciberseguridad (Incibe), un trabajo que acaba de dejar para regresar a su tierra natal.
hacerse entender. Dipu no es un hacker al uso, «los estereotipos están para romperlos», proclama. Prefiere el traje de chaqueta y la corbata a la camiseta negra y disfruta tratando de traducir a lenguaje llano lo que se habla en el entorno de la comunidad informática.
Su publicación Hackeando al vecino que me roba la wifi, en la que Dipu relata cómo llegó a averiguar e identificar a una pareja de abogados, vecinos suyos, que estaban usando su red wifi sin permiso, fue su estreno en la escena mediática. «Podría haberles hecho alguna trastada, pero me limité a enviarles un correo informándoles de que estaba al corriente de lo que habían hecho, dándoles detalles que les mostraran que tenía conocimiento de sus sesiones de navegación, y advertirles de los peligros que corrían al utilizar servicios de correo electrónico, redes sociales, o banca electrónica desde una conexión robada». A raíz de esta historia le hicieron sus primeras entrevistas y hoy es colaborador habitual de los medios de comunicación.
Televisiones, emisoras de radio y publicaciones demandan cada vez más las presencia de estos expertos en hacking; otros aspectos de la informática quizás no interesen, pero la ciberseguridad y la privacidad sí. «Cada día hay más incidentes, ahí está la filtración de Ashley Madison, y la gente necesita que alguien se los explique», argumenta Dipu para quien es un privilegio aunar sus dos pasiones, el hacking y la divulgación.