Sábado, 22 de Enero de 2022

Otras localidades

"Me gustaría que las empresas agradecieran nuestro trabajo en lugar de denunciarlo"

Entrevista al hacker Chema Alonso ante la inminente aprobación de la Estrategia Nacional de Ciberseguridad

"Me gustaría que las empresas agradecieran nuestro trabajo en lugar de denunciarlo"

Chema Alonso es un hacker bueno a pesar de que su inseparable gorro a rayas le da un toque de rebeldía antisistema. Es uno de los mejores expertos en ciberseguridad de nuestro país y desde hace medio año trabaja junto a Telefónica para desarrollar productos relacionados con éste área. No hay gadget, dispositivo o programa informático que se le resista. En todos encuentra vulnerabilidades por las que se pueden colar los malos y los publica en su blog El lado del mal. El jueves participó en el XIV ISMS Fórum, un encuentro organizado por la asociación que agrupa a 120 empresas y más de 800 profesionales relacionados con la ciberseguridad. La Cadena SER ha hablado con él sobre la actividad hacker y la inminente aprobación de la Estrategia Nacional de Ciberseguridad que, según el sector, criminaliza la labor de estos expertos.

La administración está insistiendo mucho en la conveniencia de mejorar la colaboración público-privada para hacer frente a las amenazas de Internet en un momento en el que hay cierta desconfianza por el escándalo de espionaje. ¿Cuál es la solución?

Hablan de la colaboración público-privada porque todo el mundo esta desbordado a la hora de tomar medidas de seguridad. Se habla del problema de intercambiar datos, de reconocer que se ha sufrido un ataque que no se hace por prestigio o porque puede suponer un impacto en el negocio... Por otro lado, la administración pública tampoco tiene fácil dar datos... Entonces, sabemos que es necesaria esa colaboración público-privada porque sino no vamos a poder sacar adelante un sistema seguro a nivel nacional. Por eso se habla tanto de ello.

¿Está España preparada para afrontar este tipo de ataques?

En España tenemos desde hace años iniciativas para avanzar en el tema de la seguridad. De hecho, España ha sido pionera en la ley de protección de datos, el DNI electrónico, la estrategia nacional de seguridad, los apoyos del ministerio de Industria a la certificación de seguridad en la empresa... Aparte de eso, tenemos equipos de ciberseguridad en los cuerpos y fuerzas de seguridad nacional.

No estamos mal, lo cierto es que la seguridad es muy cara y es un proceso continuo dónde necesitas seguir invirtiendo constantemente. En el momento que se levanta el pie del acelerador, te vas a quedar atrás. La seguridad es muy cara. Requiere profesionales constamente actualizados, nuevas herramientas, nuevas tecnologías. Cada vez hablamos de más datos, del "Big Data", así que necesitamos más recursos.

No estamos mal pero podríamos mejorar.

Hemos escuchado quejas de las Pymes a las que no alcanzan los planes nacionales de ciberseguridad. Dicen que parecen estar hechos para las grandes compañías. ¿Estás de acuerdo?

Sí. Además, siempre digo que el coste de la seguridad para las Pymes es demasiado alto y algunas no lo pueden asumir. Quizás no sólo por el coste de las herramientas o del software sino también es caro adquirir el conocimiento necesario para gestionar esas herramientas.

Por desgracia, la seguridad informática sigue estando para los especialistas, no está para todos los usuarios. Por ejemplo, para todos es muy fácil llegar a una red wifi y conectarse. Sin embargo, fortificar esa red para que sea segura requiere muchos conocimientos.

Hace falta apoyo económico para enseñar y educar y que las tecnologías relacionadas con la seguridad sean fáciles de manejar.

Es inminente la aprobación por parte del Gobierno de la Estrategia Nacional de Ciberdefensa. ¿Hay algo que te preocupe especialmente?

Lo que nos preocupa a todos. Quizás es demasiado generalista y a la hora de aplicarla será complicado. Se dicen muchas cosas de las que hay que preocuparse pero necesitamos recursos para aplicarlo.

Algunos compañeros tuyos, reconocidos hackers, se han quejado de lo que parece va a incluir el texto respecto a su actividad...

A los hackers nos ponen difícil desde hace tiempo realizar las investigaciones. Al final, somos personas que localizamos vulnerabilidades y reportamos fallos para que tú los corrijas. No estamos explotando fallos para luego hacer daño.

De hecho, los hackers no llegan a explotar la vulnerabilidad, sólo la detectan. Ya con el Código Penal del año 2010 ya se criminalizaba muchas de las acciones de los hackers y ahora se endurecen. En otros países europeos también se ha endurecido. A mi me gustaría que se mirara con otros ojos el tipo de investigación que hacemos y la finalidad de las mismas.

Nos lo han puesto difícil y tenemos que vivir con ello nos guste o no nos guste.

Pero hay hackers que, ciertamente, explotan esas vulnerabilidades...

Hay algunas cosas que tienen cierto sentido. Nosotros reportamos los fallos que encontramos, avisamos a la empresa. Pero "los malos" no van a hacer eso, los malos van a explotarlo, te van a poner malware, te van a hacer daño.

A mi me gustaría que se hiciera de otra forma pero lo cierto es que la ley está así y nos lo pone complicado y difícil. Los que llevamos más tiempo y trabajamos con los cuerpos y fuerzas de seguridad, conocen nuestro historial, lo tenemos más fácil para reportar esas vulnerabilidades. La gente que empieza quizás se encuentre con más trabas. A mi me gustaría que lo suavizaran un poquito. De hecho, propuse una iniciativa como crear un fichero en el que le digan a los hackers que no les importa que me reportes vulnerabilidades.

Me gustaría que esa fuera una tendencia del mundo empresarial, recibir de buen grado nuestro trabajo. Que lo agradecieran en lugar de denunciarlo.

¿Cómo es posible que grandes empresas multinacionales como para la que trabajas hayan diversificado negocio y descuidado al mismo tiempo algo tan importante como la seguridad de las redes wifi de sus clientes?

Yo no me dedico a eso directamente en Telefónica pero sí conozco a gente y se está trabajando mucho en eso. El caso de los wifis -redes inhalámbricas WPS- fue un sistema que se puso de moda y todos los operadores lo adoptaron.

Sin embargo, fue hace poco cuando un hacker se dio cuenta que estas redes no tenían ningún tipo de protección contra ataques de fuerza bruta y en ese momento, ya se habían desplegado todos los routers con ese sistema.

A día de hoy, al menos en Telefónica, se hacen unos test de seguridad muchísimo más estrictos de los que se hacían antes con los routers. Estamos yendo más allá en las pruebas de lo que ha hecho el fabricante para conseguir la certificación de seguridad.

"Los ciberataques nos deben preocupar a todos"

Avance de 'Punto de Fuga': Hackers al poder

Cargando

Escucha la radio en directo

Cadena SER
Directo

Tu contenido empezará después la publicidad

Programación

A continuación

    Último boletín

    Emisoras

    Elige una emisora

    Cadena SER

    Compartir

    Tu contenido empezará después de la publicidad

    Cadena SER

    ¿Quieres recibir notificaciones con las noticias más importantes?