Hemos contactado con él por Telegram. Nos cuenta que en estas semanas está investigando un ataque que ha sufrido un productor musical a través de sus redes sociales, aunque “la mayor parte del tiempo estoy trabajando en un anteproyecto para instalar energías renovables y domótica en un edificio que se va a reformar completo en la ciudad donde vivo”. Fuera de España, por dar más pistas. O menos.
Pero, demos un salto atrás. Nos situamos en el kilómetro cero del internet para usuarios donde lo digital se reducía a las míticas Hispavista o Terra.
En esa época tu nickname era muy conocido y, digamos, que te dedicabas a investigar la trastienda de las páginas web, ¿así se empezaba en ciberseguridad?
No había mucha cosa que hacer, pero era un mundo nuevo y espectacular. Me gustaba ver el entramado de las páginas web, los metadatos; y eso era muy interesante si tenías ese tipo de inquietudes. Me fui un poco por el lado oscuro… Fui un poco trasto. Iba a descubrir. En esa época empezaron a crearse grupos de personas que estaban en cosas similares, cada uno tenía un nickname y nos íbamos haciendo medio conocidos. Aunque ni los bancos tenían web y realmente apenas había empresas presentes en internet, cada vez iba apareciendo más seguridad y nos íbamos poniendo retos. Pero era todo muy inocente en realidad. Se empezaba a hablar de hackers y en mi caso, por mi ‘nick’ era conocido, pero hacíamos niñerías comparado con lo que se hace ahora.
¿Te refieres a distinguir entre hackers buenos y malos?
Hoy son delincuentes, aunque el término correcto para los hackers delincuentes es cracker. He vivido la evolución de esa figura desde cero y la esencia de cómo lo vivíamos entonces no tiene nada que ver a cómo se plantea hoy. Lo que te puedo decir de esa época es que teníamos pasión por saber, eran noches y noches juntándonos y trabajando para saber más y más. Ahora tienes hackers éticos (white hackers), que tienen conocimientos y se dedican a contrarrestar a los black hackers (los malos) y, luego están los que no saben absolutamente de nada y son los que más daño hacen.
¿Qué ha sido de la gente que empezasteis en ese mundo?
Nombre reales no te puedo dar… En los foros donde nos encontrábamos, cada uno teníamos nuestro nick, pero a lo largo de los años han ido “pillando” a gente que ha acabado teniendo los mejores trabajos. Habrás oído alguna vez que los mayores hackers que hay en Estados Unidos o Rusia trabajan para gobiernos o para la CIA; eso es completamente real.
En mi caso, la gente me conoce por mi nick, pero no sabe mi nombre. Yo he intentado tirar por lo que más me apasionaba que era la física, pero realmente nunca dejas lo otro. Al principio monté una asesoría sobre seguridad informática en la ciudad donde que crie, pero nos limitábamos a temas muy básicos, como instalar antivirus o configurar redes. Eso era realmente lo que se necesitaba. Ni siquiera existía una carrera relacionada con la ingeniería informática cuando yo estudié Físicas. Aprendí mucho de informática porque también programábamos robots y empecé a saber más de lenguajes de programación, de chips y ese tipo de cosas; así que los físicos éramos los que más controlábamos.
Por eso de que “en casa del herrero, cuchillo de palo”, ¿te han ciberatacado alguna vez?
Perdí la cuenta hace 20 años cuando llevaba miles de ataques. Así se aprendía en los tiempos antiguos. Siempre hay un dilema en el mundo hacker: ¿Quién es mejor? Y ese es el reto del propio hacker, saber quién es mejor que el otro porque forma parte del aprendizaje, así que nos retábamos entre nosotros. Vas resolviendo la duda a medida que te vas encontrando (y retando) con otros hackers y te vas especializando porque en programación hay mil caminos que tomar. En esa época si querías atacar a alguien, hacías ingeniería social, investigabas un poco quién era, averiguabas su correo e intentabas colarte “a mano”.
En la actualidad, en esta barbarie en la que estamos, recibo entre 5 a 6 ciberataques al mes teniendo en cuenta que mis entornos están totalmente protegidos y que para mí son bastante burdos. Principalmente son phishing y spoofing. Estos son de los más habituales, se hacen masivamente a miles de e-mails por segundo y son fácilmente solucionables y evitables si te fijas un poco, pero los ciberdelincuentes cuentan con que, de esas tantas personas que los reciben, alguna cae.
¿Quién hay detrás de esos envíos masivos?
La diferencia de estas prácticas en mi tiempo es que esto solo lo podía hacer alguien que sabía mucho. Y luego cuando la gente empezó a saber más sobre cómo programar estos ciberataques, los “malos” dedicaron sus conocimientos a inventar cómo robar. Por ejemplo, la clásica técnica de robar 1 céntimo a cada cliente y conseguir millones porque los usuarios no se han dado cuenta de que su saldo ha bajado esa cantidad tan pequeña.
Hoy en día el problema es otro y es de envergadura. Tienes a tu disposición todas las herramientas que quieras para que alguien que no sabe ni encender un ordenador pueda hackear. Cualquiera. Te metes en la Deep Web, coges un programa gratis para hacer spoofing, otro para que no te pillen, te vas a un cibercafé y listo; empiezas a ganar mucho dinero al día siguiente.
Por eso, llamar hacker a alguien que hace esto, me cuesta; al final es un ciberdelincuente de poca monta. Es como el ejemplo de que puedes organizar un gran atraco, bien planificado, sofisticado, etc., o ser el clásico maleante que coge una navaja y asalta al primero que pilla por la calle.
Hablando de la Deep Web (que solo nombrarla impone bastante), ¿es fácil entrar?
Solo necesitas 30 segundos para acceder. Tan sencillo como que, en lugar de abrir el navegador que tengas, te instales Tor, y a navegar. Otra cosa son los conocimientos que debes tener para bucear por ahí.
Para que te hagas una idea, en mi colaboración con el programa ‘Cazadores de trolls’ di una charla de unas tres horas al equipo de periodistas porque es uno de los colectivos habituales de la Deep Web. Y debíamos hacerlo por dos razones. Primero, para enseñarles a preservar su anonimato porque, evidentemente, para determinadas búsquedas es contraproducente que te señales con tu propia IP. La segunda, para entender cómo navegar por la información que necesitas. La Deep Web es 9 veces más grande que el mundo web que conocemos y todos los hackers prácticamente viven ahí. Es como saber que estás entrando a una habitación oscura con unos cuantos asesinos dentro; te puede pasar algo o no, pero lo que está claro es que hay que prepararse antes de abrir la puerta, porque ellos están esperando a ver quién entra. Y de ahí la importancia de entrenar al equipo del programa.
La Deep Web tiene 7 niveles. El primero es el más genérico y a medida que vas bajando, encuentras temas cada vez más peligrosos y aberrantes. Y es aberrante de verdad, porque puedes ver cosas horribles en televisión, pero no te puedes hacer una idea de lo que son capaces de hacer algunas personas. Cuando me piden un consejo para navegar por la Deep Web siempre doy el mismo: no entres. Como máximo navega en Tor como lo harías en Google, Safari o el que uses, para hacerlo desde el anonimato, pero para nada más.
En uno de los últimos informes del Centro Criptológico Nacional (CCN) sobre seguridad digital, se menciona que España sufre una media diaria de tres ciberataques de peligrosidad crítica o muy alta. En cuestión de países, ¿hay algún nexo entre ellos para protegerse de ataques a sectores o empresas tácticas? Seguro que vosotros podéis ayudar mucho en estas cuestiones, ¿hay activismo en el mundo hacker?
Existe un consenso a nivel internacional, sobre todo contra Rusia y China, para afrontar el tema de la desestabilización de países. En cuestión de ciberterrorismo también hay una comisión en la Unión Europea que lidera Naciones Unidas para vigilar de cerca las amenazas. Por otra parte, hay ciertos peligros reales que pueden afectar a las estructuras críticas (tipo centrales nucleares, red eléctrica, etc.). En este sentido, dentro de los gobiernos se crean comisiones particulares para defender sus infraestructuras e intereses. España, por ejemplo, contrata a muy buenos hackers como ayuda a la protección de infraestructuras críticas.
Al final es una pelea continua porque cuando tú montas un sistema de defensa lo que busca el hacker es tumbarlo y al final nunca va a haber seguridad 100 %. Por ejemplo, hace unos meses, Estados Unidos recibió un ataque a sus oleoductos y a raíz de eso creó una comisión de investigación específica.
Sobre la segunda pregunta, dentro de la Deep Web hay varios foros donde nos movemos actualmente. En los foros “malos” es donde salen algunos diciendo “he conseguido vulnerar la página equis” o “he hecho un programita para meter un virus en la red eléctrica de un país cualquiera”, Exploit.in es uno de estos foros. “Exploit” es la acción de averiguar el punto débil de un sistema protegido para poder meterte, de ahí el nombre del foro.
Y luego están los foros buenos que, por cierto, no te metas porque vemos rápidamente quien entra para cotillear (risas). Uno de los que más me gusta es el Damage Lab donde hay mucho hacktivismo. Es donde están los white hacks rondando los foros “malos” precisamente para rastrear qué están tramando y comentarlo en nuestros espacios. Hacer este tipo de activismo no es de dominio público, es decir, el hacktivismo existe, pero es algo que hacemos entre nosotros. Cuando se detectan temas, no escribimos a gobiernos porque un gobierno contrata agencias expertas en ciberseguridad, así que contactamos con esas agencias. No somos un grupo ordenado, organizado o jerárquico, lo hacemos por valores, simplemente. Aunque ahora no estoy muy metido en ello.
Cuando un hacker te dice que es hacker y que hackea, no le hagas caso. Después de 25 años en el tema yo me junto con la gente con la que comparto mi manera de hacer las cosas, vemos el panorama y entre todos tomamos decisiones. Así va esto.
¿Cuál puede ser el ciberataque de mayor impacto que un país puede vivir?
Los ataques más gordos son precisamente de los que no vamos a escuchar ni saber nada. Una de las peores situaciones es poner en peligro la red eléctrica de un país, o los hospitales, pero es muy complicado que llegue a pasar porque está muy protegido.
Un tema un poco menos peligroso, más fácil de ejecutar pero muy importante y que ocurre constantemente, son las fake news. Por ejemplo, en Rusia o China hay grupos de los mejores hackers del mundo que trabajan para los gobiernos y se dedican a desestabilizar países. Y está muy comprobado. En España ha afectado en procesos de elecciones y es un problema que preocupa especialmente en Latinoamérica.
¿Cuánto cobra un hacker?
Depende… Por ponerte ejemplos ejemplos extremos. Imagina un hacker que han pillado y le dan a elegir “o te vas 20 años a la cárcel o trabajas para el gobierno”. Puede cobrar 1.500 euros (con suerte) y además de una multa millonaria, también le pueden pedir horas de trabajo para la comunidad.
En las empresas medianas, que suelen ser las más atacadas, este perfil de experto en seguridad puede cobrar entre 3.000 y 4.000 euros al mes. En las grandes empresas alrededor de 6.000 euros. Y corporaciones como IBM y similares pueden ofrecer fácilmente 1 millón al año.
Y para acabar, ¿qué consejo fuera de los comunes nos podrías dar para protegernos?
En cuestión de seguridad digital los dispositivos no son el problema. El problema está en las personas, es pedagógico. Yo creo que debemos ir por la vía de la formación y de la ingeniería social. Y el mayor consejo siempre es aplicar sentido común.
En las redes sociales, por ejemplo, el tema preocupante es cuánta visibilidad damos. Siempre animo a la gente a comprobarlo: cógete las redes sociales de un amigo y mira cuánta información puedes sacar. En Instagram tienes la ubicación, en Facebook las fotos de tu barrio, si te vas de vacaciones a Cádiz o a un hotel de lujo en Cancún.
Hay una anécdota muy buena de Bill Gates. Él siempre se mueve en un entorno de secretismo sobre todo lo que hace y resulta que en una ocasión los periodistas lo pillaron en un viaje. El tema es que sus hijos iban publicando en redes sociales los sitios por los que pasaban. Es así de sencillo.
Y muy complicado hacer entender a la gente que compartirlo todo es un riesgo. Como te decía, hay mucho hacker que no tiene tanta formación en informática pero que se basa en la ingeniería social y puede saber todo sobre ti a partir de las redes sociales. Y ¿qué puede pasar a partir de esto? Bueno, pues el delincuente puede pensar que la mejor opción es coger una foto subida de tono y hacer un chantaje a esa persona, o incluso ir a la puerta de su casa y secuestrarla.
En la vida todo lo bueno tiene aparejada la parte mala. Ahí es donde debemos incidir en la gente (jóvenes y mayores) y hacer pedagogía a lo grande. Hace muchos años pienso que deberíamos tener una asignatura para la etapa escolar.