Newsletter

Recibe nuestro Newsletter con lo mejor de El Estímulo en tu inbox a primera hora cada día.

SÍGUENOS

Hacking e inseguridad virtual de Venezuela

hackers
04/05/2017
|
COMPOSICIÓN FOTOGRÁFICA: PEXELS

Los hackers están más cerca de lo que uno cree. No son seres especiales —o espaciales— sino gente común y corriente que rastrea, identifica vulnerabilidades en red y, en el peor de los casos, roba información. No importa cuánto se proteja el usuario, al navegar nada de lo que se haga es totalmente privado

Salta la pregunta: ¿son los pasillos virtuales tan inseguros como las calles de asfalto? Si se entiende que, en los países menos violentos, navegar en Internet equivale a caminar desnudo entregando toda la información de tu vida a cuanta persona te cruces, la respuesta parece obvia: sí, los senderos virtuales de Venezuela son peligrosos. A las vulnerabilidades típicas de la red se suman dos factores: la poca educación de los usuarios y las dificultades económicas para actualizarse.

En la edición para Venezuela de 2017 del Infosecurity, se congregaron en el Renaissance diferentes expertos en seguridad informática. Expusieron las técnicas que conviene aplicar para reducir riesgos. Entre los ponentes se respiraba un aire de reunión de exalumnos. A falta de más profesionales en el área, en casi todas las ediciones los rostros son los mismos. Según El País, la “Comisión Europea estima que en 2020 habrá un déficit de 825 mil profesionales en el ámbito de la tecnología de la información en la Unión Europea”. En Venezuela el futuro podría pintarse más desolador.

Aunque la RAE define hacker como “pirata informático”, la apreciación está deformada. El periodista Luis Carlos, que en su bio de Twittter pone que está “hackeando el periodismo en Venezuela”, explica que el hacking tiene que ver con encontrar vulnerabilidades para solucionarlas. Identificar fallas, corregirlas. En un principio, el hacker era visto como el bueno de la película, mientras que el “cracker” era el delincuente. Después, todo se mezcló. Ahora hasta se alude a sombreros de colores para identificar cómo usa cada uno sus habilidades. Los “hackers de sombrero blanco” son los “éticos”, los que se apegan a la acepción original de la palabra. Los de “sombrero negro” son los delincuentes: roban y trafican información. Y los de “sombrero gris” son un punto medio entre ambos: violan la ley, usualmente, en pro de lo que ellos entienden que son causas nobles. Sostienen el cliché de que “el fin justifica los medios”.

Cita-6-hackers

En otros países, un profesional de esa área puede ganar entre 5 y 12 mil dólares mensuales. En Venezuela, cobra en bolívares. La migración ha sido una consecuencia lógica. “A mí me ha costado conseguir buenos hackers éticos para mi empresa”, afirma Rafal Núñez, quien también lo fue y se hizo famoso, entre otras cosas, por sus pillerías adolescentes —vulneró, en 2001, DISA, un sistema vinculado al Pentágono—, hoy día se dedica a la gestión de Más Que Digital (MQD). Los servicios que ofrece tienen que ver con mercadeo, reputación, branding, seguridad, etc.

Jonathan Madero, por su parte, aspira a formar hackers éticos desde Intelicorps. Por ejemplo, uno de los que trabaja con él apenas tiene 16 años, lo que no le impide hacer gala de “unos conocimientos impresionantes”. Para conseguir más chamos por el estilo, Intelicorps realizará el primer reto hacker en Venezuela. Una competencia para descubrir al talento local.

La motivación de Jonathan por formar a otros podría tener que ver con su propia historia. Empezó a “hackear” a los 11 años. Junto a otros amigos, hallaba fallas de seguridad en los sitios web para luego publicar toda la información recogida en un blog creado por ellos. “Una persona en el extranjero leyó la información que copiamos. Se hizo partner y quiso hacerse sponsor. Nos costearon todos los viajes, las capacitaciones. Desde ese día hasta el sol de hoy seguimos trabajando todos los años: vamos y dictamos conferencias en el extranjero”, afirma quien es padre de un niño que sigue sus pasos: “Ha aprendido muchas cosas a través de Internet que yo las he aprendido de él. Es increíble lo qué puede descubrir un niño de 11 años”. Si se estima que para el 2020 habrá más 50 mil millones de dispositivos conectados a Internet, más vale ir formando cada vez más y mejores profesionales en el área.

Cita-5-hackers

Mundo hacking

Luis Carlos habla del mundo hacking en Venezuela: “Primero, es muy disperso. No hay un medio donde tú puedas enterarte de todo lo que ocurre. Hay, por ejemplo, ataques bancarios y esto es bastante grande. El fraude bancario es un fenómeno acá en Venezuela. Luego están los que hacen fraudes estilo puntos de venta, clonación, usurpación de identidad… Luego tienes a los que se dedican al tema gubernamental: hacen deface, que es cuando tú sustituyes una página por otra. Quienes hacen esto son más bien chamos que están buscando trofeos. Trofeos es que puedas marcarle un gol al poder porque tomaste la página de la Fuerza Armada, de la Aviación, de lo que sea que esté por ahí con mala seguridad, y entonces sustituyes la página principal por otra donde tengas tus mensajes. Luego tienes a esta cosa rara que son los mercenarios gubernamentales. A ellos les pagan para emplear sus habilidades contra objetivos señalados. Esos vamos a decir que son los paramilitares. Y luego está todo el tema oficial, que es la plata que usa el gobierno para espiar a ciudadanos en el nombre de la seguridad de la nación”.

Aunque en el resto del mundo el tema se trata sin tabúes, en Venezuela se le dedica poco espacio. Quizá eso ha contribuido a la poca consciencia de las personas respecto a lo inseguro que puede ser navegar. Rafa Núñez explica: “La ingeniería social sigue siendo un valor importante, que es el arte de engañar a la gente haciéndose pasar por publicidad, por un banco, etc. Obviamente, ya ahorita hay herramientas más sofisticadas, más sigilosas, robots, inteligencia artificial; pero básicamente la gente cae por el engaño, por la falta de educación. Ahora tengo una unidad de negocios en esa área y ahí sí tengo muchos hacker éticos, que son ingenieros que están preparados con todas las herramientas de cómo defenderse y cómo atacar a un sistema informático y a la mente humana, que es la cadena más débil del eslabón. Porque ya el hacker de sombrero negro se da cuenta de que es muy difícil entrar a un banco, porque tiene corta fuegos, detector de intrusos, antivirus, etc. Entonces, él no va al banco per sé, va al tarjetahabiente. ¿Cómo? Le manda fishing, que son vulgarmente caza bobos: programas que piden que actualices tus datos, que des tus coordenadas. Hasta llaman al usuario por teléfono y se hacen pasar por el banco”.

Cita-4-hackers

Alexis Rodríguez es uno de los expertos en seguridad que contrató Rafa para su empresa. Graduado de la Universidad Simón Bolívar (USB), tiene experiencia en investigaciones policiales y en la banca pública y privada. “En Venezuela hay un problema que es el cambio de personal. Mucha gente se está yendo del país. Los proyectos no se llevan a cabo completamente. Esto hace que se formen profesionales dentro de las instituciones y, luego, por la paga o porque se van del país, esta gente se lleva passwords. También debido a que no hay posibilidades de inversión tecnológica, todos los equipos son estandarizados. Hay lo que se consiga: así sea nuevo, así sea viejo. Entonces, hay una suerte de equipos funcionando con configuraciones de fábrica. Todo eso facilita que una persona pueda escalar privilegios, que es lo primero que buscan los hackers: encontrar sistemas con configuraciones preestablecidas para escalar privilegios, es decir, convertirse en administrador o dueño del sistema. Parece mentira, pero todavía en grandes bancos he encontrado configuraciones en servidores o dispositivos de comunicaciones que tenían un password de admin12345”, se impresiona.

Cita-3-hackers

Por eso, sostiene que “hackear” un Twitter, un Facebook, es muy difícil: son sistemas muy seguros. Lo que existe son fallas a nivel de educación de las personas. Un ejemplo: “Una vez hackearon varios sitios del gobierno porque el administrador de red, de un sistema de CANTV, tenía un cuaderno con un poco de passwords y un primo se lo agarró. Dijo que era el súper hacker y realmente solo tenía los usuarios y claves de todos. Estos hackeos que les han hecho a los periodistas han sido por tener passwords muy sencillos. Una periodista en particular la hackearon porque la contraseña de su WiFi era el mismo nombre de la quinta donde vivía. A partir de allí, nada más con esa vulnerabilidad entraron al sistema y empezaron a escanear todas las comunicaciones. De encontrar el password de un correo sencillo se dieron cuenta de que era el mismo con el que se dio de alta en todas las redes sociales”.

Países vanguardistas

Lo dice Luis Carlos: “Venezuela no ha sido objeto de ciberterrorismo: ataques a la industria petrolera, al Guri, al Metro, etc. Sin embargo, hay que estar pendientes”. La razón de esto pudiera ser la que ofrece Alexis: “No somos objetivos de otros hacker a nivel internacional, porque ellos buscan transacciones en dólares”. Comedido, se limita a agregar que las cosas que se publican sobre espionaje y ciberguerra son verídicas. Lo normal es que un gobierno espíe. En ese sentido, Rafa Núñez dice que los mejores hackers del mundo están vestidos de verde: la milicia de China y Rusia es impresionante. En Latinoamérica, mientras tanto, la movida más activa está en Brasil. Allá se realiza el ROADSEC, el evento de hacking más grande e importante del subcontinente.

En el país existen empresas que prestan servicios de seguridad. Igualmente, los cuerpos de policías cuentan con sus unidades de investigación. Aunque en esta área también aplica la archiconocida estadística de que más del 90% de los crímenes del país quedan impunes. “Acá realmente el tema de la seguridad informática es algo como intermedio. Hay algunos especialistas y personas muy capaces, pero otra cosa es que existan instituciones que los aprovechen de una buena forma. Generalmente, no se les toma en serio hasta que atacan algo, un sitio web o un página. Creo que hay muchas páginas gubernamentales con muy pocas restricciones de seguridad o con procedimientos mínimos garantizados. Si SUSCERTE, que es la institución que certifica la seguridad de las mismas, no interviene, ellas quedan allí esperando a ser atacadas. Y no es necesario ser un gran hacker para haber tumbado alguna de ellas. Igualmente, el aspecto de seguridad acá ha funcionado más que todo para exámenes forenses, después de que la vaina ya pasó”, explica un programador anónimo.

En el 2013, BBC difundió las conclusiones de un estudio de McAfee, que indicaba que Finlandia, Israel, Suecia, Dinamarca, Estonia, Alemania, Estados Unidos, Países Bajos, España y Reino Unido, eran las naciones mejor preparadas para contener ciberataques. Dejando esas cuestiones lado —junto a las revelaciones de WikiLeaks y de Edward Snowden—, la pregunta más importante para los ciudadanos comunes es cómo estar medianamente protegidos en un entorno inseguro por naturaleza, en el que se producen noticias como las de que 32 millones de cuentas de Twitter fueron hackeadas y puestas en venta. Un escándalo que, al parecer, tuvo que ver con engaños a las víctimas.

Cita-2-hackers

Normas de seguridad

“Ahorita te toman la foto en un restaurant, cuando uno coloca el número telefónico en el recibito de compra. Como la cédula es fácilmente falsificable, la imprimen y luego la plastifican. Queda igualita. Van a una operadora y dicen: mira, extravié mi SIM. Les dan un SIM nuevo y tú pierdes la conexión. Ahorita ya las operadoras están haciendo preguntas de seguridad, porque hubo una vulnerabilidad en ese sentido muy fuerte”, comenta Alexis.

Entre sus recomendaciones de seguridad está mantener activo el doble factor de identificación en redes. “Que para cada cambio que vayas a hacer en tu correo, por ejemplo, te manden un sms con una clave de uso único”. A su vez, cree conveniente tener un teléfono que sea “un perolito” sin acceso a Internet, cuyo número no se comparta con nadie y, de ser posible, ni siquiera esté a nombre del usuario. Ese sería el aparato ideal para asociar al doble factor de identificación.

Asegura que es importante separar el correo profesional del personal y tener presencia en redes: “Si no tienes presencia, siempre alguien se va a hacer pasar por ti y, en algún momento, te puede extorsionar”. Además, hay que estar pendiente de lo que se publica. Subir la foto de tu hijo con el uniforme del colegio es una forma de decirle a un delincuente dónde encontrarlo si lo planea secuestrar.

Rafa opina que es importante tener contraseñas que sean fáciles de recordar y difíciles de adivinar. Y estar muy atentos con las páginas que piden datos privados. Verificar siempre que donde se van a introducir contraseñas sean efectivamente webs oficiales. Y evitar conectarse a cualquier red de WiFi, más si es libre y se desconoce su origen.

Cita-1-hackers

Quizá lo más importante a tener en cuenta es que al navegar nada de lo que se haga es totalmente privado. Nada. Y todo puede ser rastreado o recuperado, así el usuario haya borrado una foto diez años atrás. Tener consciencia de eso y actuar en consecuencia es acaso la principal recomendación de seguridad.