Organizadores de la cumbre de Hackers: “Si no hay alguien que te está controlando, nunca vas a mejorar tu seguridad”

¿Quienes asisten al 8.8?
F: En la conferencia, que se realizará el próximo 24 y 25 de octubre, te vas a encontrar con representantes de empresas financieras, de la bolsa de comercio, fuerzas armadas, policías y, tal vez, algunos cibercriminales. Todo el mundo va ir para ver las novedades y nuevas informaciones sobre cómo protegerse o atacar. La información actualmente es poder.

No testean a quienes van a la conferencia…
F: Tú crees que la Fidae hace testeo para saber quién va a comprar aviones o armas…

¿Cómo, entonces, diferencias a un hacker de un cibercriminal?
F: Es bien personal. Tú dices este gallo es raro, hay algo que no cuadra. Es un feeling especial con la persona.

¿Cuál es la tecnología vulnerable este año?
F: Lo que está de moda es la tarjeta NFC, todo lo que es pago sin contacto. O sea, tomo mi Mastercard, ella trae un chip y con ese chip puedo ir a pagar mi trago sin meter la clave ni nada.
J: Es como pagar con la Bip, tienes un monto limitado por día, ni siquiera tienes que pasar la tarjeta por la banda. Es como andar con monedas en el bolsillo.

¿Y cómo podrían cagarnos?
F: Lo que pasa es que se trata de un nuevo mercado para las empresas que producen la tarjeta. Te cobran por los intereses y el uso, pero te abre otro flanco. En el fondo te pueden clonar sin siquiera tocar tu tarjeta.
J: Se pueden acercar en el metro a la billetera de la persona y sacan tus datos. Los celulares que traen esa tecnología, identifican el lugar donde estás. Es el mismo sistema que se usa para las tarjetas de crédito y la BIP.

¿Son como lanzas informáticos?
F: Claro, suena mejor que cibercriminales.
j: Inventaste un nuevo concepto. Ja ja ja.

¿Quienes son los invitados este año?
F: Raoul Chiesa, un italiano que trabaja ahora para las Naciones Unidas y varios organismos en Europa. Es un experto a nivel internacional conocido porque el año 94 entró al banco de Italia. Es uno de los primeros hackers del mundo.

Ustedes también exponen…
J: Sí, hicimos una investigación que duró como dos años y que muestra las vulnerabilidades de la tarjeta BIP. Nos dimos cuenta que usa un chip muy frecuente en sistemas de pagos de transporte. En el fondo usan un algoritmo de encriptación que, cuando es vulnerado, cualquiera puede acceder. Te muestro. (Pone el celular sobre la tarjeta, aprieta unos botones y carga dinero)

Se ve simple…
J: Se ve simple pero estuve casi dos años trabajando en eso.
F: Esta es una parte de las investigaciones que hace la comunidad para ver cuales son los límites y dónde hay un problema. Si nadie hace eso el sistema no evoluciona. Por eso estamos en conversaciones con el metro.

¿Muchos sistemas de vulneración, entonces, incluyen el celular?
F: ahora los celulares son los nuevos computadores y no tienen ningún control. Si alguien te mete un troyano, nadie lo ve.
J: Antes, por ejemplo, el computador te alertaba o se ponía más lento. En el celular no te das ni cuenta.
F: Cuando bajas una aplicación, no sabes si entremedio te están sacando los contactos. Todo el mundo tiene su vida en el celular. Es una réplica del computador de la casa.

¿Puede transformarse en un buen kit de espionaje?
F: Existen aplicaciones que puedes instalarlar en el computador de tu socio o en el celular de tu esposa, y después tienes acceso a todo. Se vende en internet. Puedes acceder al chat, skype, las fotos.Todo.
J: Por ejemplo, en este momento, te mando un mensaje, habilito el micrófono y empiezo a escucharte lo que estamos hablando.

Especial para celópatas…
F: Sí, y para espionaje, Fuerzas Armadas, en fin. Todo el mundo piensa que sería bueno tener un hacker.

¿Cuánto se invierte en seguridad informática en Chile?
F: Se ve que está creciendo el nivel de inversión. Hay una industria donde se invierte más, son empresas que manejan dinero como los bancos, financieras y seguros. Ellos son bien conscientes que deben tener su seguridad controlada.

Bueno, y para eso existen ustedes…
F: Hace poco salió una nota en un diario hablando de hackers y en el fondo eran cibercriminales. El hacker es un investigador que está buscando vulnerabilidades para tratar de mejorar la seguridad de la información. Si no hay alguien que te está controlando, nunca vas a mejorar tu seguridad. Por eso es importante que exista una comunidad de hackers.

Cibercrimen
¿Les han ofrecido trabajos sucios?
F: Hay muchas personas que te hablan, son demasiados, gente con quien nunca quieres hablar. Hay de todo.

¿Quién quiere tener hackers?
F: La mafia, de hecho su negocio principal es el cibercrimen que hoy día mueve más que la droga. También las Fuerzas Armadas. Ellos se dieron cuenta que no les bastaba defender sus fronteras porque si te mandaban un troyano, cagaste.

Sale más barato que un misil…
F: Claro, el aumento de compras de ciberarmas ha sido exponencial.

Qué piensan de Snowden…
J: Snowden es la moda, él habló sobre la infraestructura enorme que había para la interceptación de tráfico y espionaje alrededor del mundo. Si Chile alega porque le están espiando los correos, qué le va a decir Estados Unidos. ¿Disculpa? Lo mismo sucedió en Brasil. A Dilma Rousseff le revisaron los correos, alegó y no pasó nada.

Las fronteras son bien difusas…
J: No hay fronteras, por eso no puedes hacer nada.

Es curioso hablar entonces de fronteras de seguridad si es que realmente no existen
F: Pero tú puedes medir perímetros. Cada empresa debería tener un perímetro controlado para asegurar que tus datos estén incorporados en una infraestructura donde sólo puedas entrar tú. Si no, perdiste.

¿Cuáles son las empresas o áreas más vulnerables en Chile?
J: Básicamente el sector público que es el que tiene menos recursos. En las páginas municipales de regiones, por ejemplo, puedes entrar a casi todas.

¿En serio?
J: Por supuesto, me lo contó un amigo. Ja ja ja.

¿Qué otros sectores?
F: Hicimos una investigación con la Asociación Chilena de la Salud, analizamos a algunas clínicas y hospitales para ver los resultados de exámenes. Ninguna estaba bien protegida. Era posible acceder a cualquier resultado de exámenes. Eso es bastante delicado.

¿Por qué?
F: No es sólo complejo a nivel personal. Si otro país accede a la ficha clínica del presidente, por ejemplo, puedes crear una crisis importante.
J: Lógico, puede ser alérgico mortalmente a alguna sustancia.

Información que puede facilitar atentados…
F: Por supuesto.
De hecho, Fabien me contó hace un par de años acerca de una central nuclear o hidroeléctrica en Suiza que funcionaba con Windows 98. Eso habla de la poca seguridad en temas tan delicados.
F:Lo que pasa es que la mayor parte de las empresas que manejan estos temas llegaron muy tarde al nivel de seguridad informática. Al inicio eran puros interruptores grandes con puros ingenieros eléctricos trabajando en centrales. No habían informáticos. Después llegó la automatización, les instalaron un computador y les dijeron que con eso podían controlar la central. Si el sistema se caía podía volver a la normalidad de manera manual. Después desapareció esa parte y quedó solo el computador. Entonces vino el corte y recién se dieron cuenta que el computador era el punto principal de la central.

Alguien lo suficientemente astuto, entonces, podría generar un blackout…
F:Sí, son blancos bastante fáciles e impactantes.

¿Y llegar a niveles tan siniestros como el año 2007 cuando los hackers paralizaron Estonia?
F: Fueron los bielorrusos que hicieron un ataque masivo al sistema financiero, internet, a todo. Apagaron el país. Estuvo cinco días bloqueado.
J: Ahora, por ejemplo, Norcorea ataca a Corea del Sur, generando pérdidas multimillonarias. Y lo hacen muy frecuentemente.

¿Qué piensan de que alguien o un grupo intente paralizar un país?
F: Es algo normal, lo que pasa es que entramos a otra era. Hace 100 años empezaron con los aviones y todo el mundo se preguntaba cómo protegerse. Ahora llega internet y los países tienen que desarrollar la misma habilidad. Es un nuevo concepto que hay que implementar. Por ahí va el futuro de la…

¿Ciberguerra?
F: Sí, si no estás preparado, protegido y si el gobierno manda sus datos a google, perdiste. Hay un paradigma que hay que cambiar.
Hace dos años trajeron a un experto que hablaba sobre la seguridad en los aviones…¿que otras cosas nuevas se vienen ahora?
F: La seguridad en los autos. Hay muchas investigaciones porque están empezando a poner pequeños computadores. Si logras acceder a él puedes tener el control del auto.

¿Lo puedes robar, por ejemplo?
J: Lo último que he visto es manejar un auto con el control del supernintendo. Si el auto tiene wi-fi, te dice donde está con un GPS, entonces puede estar alguien manejando y otro en el asiento de atrás frenando o acelerando.

Siempre van a tener pega, entonces…
F: Es probable que sí, que nuestra pega va a seguir creciendo.

Seguro que, de aquí a algunos años, podremos ver a unos hackers en alguna redacción periodística…
J: Yo creo que ya hay…

Una pregunta capciosa: ¿Qué función cumplirían?
F: entrevistas a distancia…ja ja ja