‘Seguridad no implica ocultar información'

Pavol Luptak, ingeniero computacional con especialidad en seguridad, es un ciudadano del mundo. Viaja por el planeta y no permanece más de seis meses en cada país para evitar pagar impuestos. Es un ser de lo más liberal con el que se pueda uno topar. Es uno de los hackers éticos más solicitados del mercado. Acostumbrado a pagar sus cuentas en bitcoines u otra criptomoneda. En su billetera no hay más que $5, todo lo paga con monedas electrónicas. Es como una tarjeta de crédito con la que también puede retirar efectivo. Es un as manejando teléfonos, computadoras o cualquier aparato que tenga data. Lo más importante para él es la libertad de expresión y la libertad económica. Por eso le asfixian las regulaciones europeas. Pavol visitó Panamá y habló con La Estrella de Panamá .

¿CÓMO SE HIZO ‘HACKER'?

‘HACKER' ÉTICO

Es uno de los ‘hacker' más solicitados en el mundo cibernético

Nombre: Pavol Luptak

Lugar de nacimiento: Praga, República Checa (antigua Checoslovaquia).

Ocupación: Consultor en sistemas de seguridad

Resumen de su carrera: Obtuvo su BSc. en la FEI-STU en Bratislava y una maestría en Ciencias de la Computación en la Universidad Técnica Checa con una tesis de maestría centrada en sistemas ultraseguros. Posee numerosas certificaciones de seguridad de prestigio como CISSP y CEH. Líder del capítulo eslovaco de OWASP, cofundador de las organizaciones Progressbar y SOIT, donde es responsable de la seguridad de TI. Orador frecuente en conferencias de seguridad en todo el mundo. En el pasado, demostró vulnerabilidades en los tiques SMS de transporte público en las principales ciudades de Europa, junto con su colega Norbert Szetei prácticamente demostró vulnerabilidades en las tarjetas RFID Mifare Classic. Tiene catorce años de experiencia en seguridad de TI, pruebas de penetración y auditoría de seguridad, incluida ingeniería social y análisis forense digital. Es coautor de OWASP Testing Guide v3, tiene un amplio conocimiento de OSSTMM, ISO17799/27001.

La primera vez que toqué Unix System estaba fascinado, y desde ese momento nació mi interés en las vulnerabilidades de los sistemas. Estaba impresionado con ese sistema y me puse a revisar qué tan inseguro era. Esto gracias a años de estudio, libros leídos y mucha experiencia. Entendí cómo funciona la seguridad informática y en pocos meses me contrató una de las empresas más reconocidas en el ramo, en Checoslovaquia. Siete años después, fundé mi propia compañía que le precedía a una primera que nació en 2006, empresa que es como un uber para hackers. Es decir, la empresa firma un contrato con una compañía interesada en conocer las debilidades de su portal de Internet. De esta forma, ellos mismos proponen el monto que tendrá el contrato, o más bien, lo que están dispuestos a pagar a quien identifique estas vulnerabilidades. Por ejemplo, el cliente está dispuesto a pagar $100 mil a quien sea capaz de duplicar su página o a quien cambie o altere información, a quien le robe la identidad o que filtre información, etc. Es un negocio completamente ético.

¿ALGUNA VEZ CONSIDERÓ SER UN ‘HACKER' DE SOMBRERO NEGRO?

Para muchos hackers no hay motivación para cambiarse al otro lado a pesar de que ellos ganan mucho dinero. Un sombrero negro significa que estás robando dinero o información de alguien. No obstante, algunos hackers éticos no tienen ningún problema en filtrar información de gobiernos autoritarios como Corea del Norte, o como los neonazis.

ESO NO DEJA DE SER UN ROBO...

Sí, pero si puedes salvar muchas vidas es ético. A veces somos contactados por muchas personas que nos piden hackear a gente que utiliza pornografía infantil. Lo puedes hacer, quien nos contacta por lo general es víctima o gente que los conoce. Pero yo no hago eso, tampoco trabajo para gobiernos ni para agencias de inteligencia. Tenemos reglas éticas muy estrictas y creemos que los gobiernos son corruptos. Una de nuestras reglas es no trabajar para el gobierno. Muchos otros colegas sí trabajan para ellos, pero a mí no me gustan los gobiernos porque he visto cosas muy feas en ellos, usan a los hackers para su propio interés, no estoy de acuerdo en hackear a alguien solo por el interés de un político.

¿CUÁLES SON LOS RIESGOS MÁS IMPORTANTES DE LOS QUE UNA EMPRESA DEBERÍA ESTAR AL TANTO?

Usualmente, la debilidad más grande en las empresas está en el personal. Es por eso que son tan efectivos los programas que sirven para engañar o burlar al personal de la empresa.

¿TIENE UNA IDEA DE CUÁNTOS ATAQUES SE COMETEN AL DÍA POR ‘HACKERS' DE SOMBRERO NEGRO O BLANCO?

No existen estadísticas de cuántos ataques pueden producirse diariamente, la mayoría no son públicos, y por lo general ninguna compañía está dispuesta a admitir este tipo de situaciones para no dañar su reputación.

¿CÓMO SE DISTINGUE A UN ‘HACKER' BUENO DE UNO MALO?

Hay hackers éticos que se les llama de sombrero blanco, pero también existen los opuestos, de sombrero negro, que roban y filtran información, y también los hay con sombrero color gris. Estos últimos generalmente hacen hacking blanco pero a veces cosas no tan éticas. Ser ético y ser legal son dos cosas distintas. Esto en el negocio es muy importante, porque hay que cumplir ambas.

¿CUÁLES SON LAS CONSECUENCIAS DE UN ATAQUE CIBERNÉTICO EN NUESTROS DÍAS?

Los más agresivos son los llamados Denegación de Servicio Distribuido (DdoS, por su sigla en inglés) que pueden apagar o paralizar incluso países enteros. Algo así como lo que ocurrió en Estonia en el pasado. Estas vulnerabilidades son explotadas usualmente al hackear las cámaras de circuito cerrado de las ciudades o empresas, el sistema de Internet inalámbrico, los routers , etc.

¿CÓMO HACEN NEGOCIOS USTEDES?

Necesitamos una confirmación del cliente en la que acepta que nosotros vamos a hackear su página. Necesitamos firmar varios documentos antes de empezar; si no, no hay trato. Mucha gente nos contacta para pedirnos que violemos la privacidad del celular de sus parejas porque sospechan que tienen amantes. Nosotros no hacemos eso. Una de las cosas más importantes en este negocio es la reputación, nosotros escogemos a nuestros clientes, tampoco tomamos a aquellos que han sido acusados por corrupción.

¿QUÉ TANTA DEMANDA EXISTE?

Es una buena carrera, los hackers más avanzados, de los mejor calificados, hay muy pocos en el mundo. Hacerse un hacker te puede tomar 10 años, tienes que especializarte en algo. Por ejemplo, hay hackers especializados en marcas, para teléfonos Samsung o de iPhone, o ciertas computadoras. Las compañías piden que se examinen sus aparatos antes de lanzarlos al mercado, por eso es que ellos se perfeccionan en estos sistemas. Algunos son muy complejos, por ejemplo, en Checoslovaquia, un país de 15 millones de habitantes, no existe un hacker capaz de penetrar el sistema SAP de computadoras. El problema más grande en este negocio es encontrar la persona que conozca cómo encontrar las debilidades. Tiene que ser alguien que, además de los conocimientos, tenga una mente hacker ; es decir, que sepa identificar estos problemas y cómo atacarlos. Hacking significa que tienes un gran conocimiento de un tema y que eres capaz de cambiar cosas de forma innovadora encontrando sus debilidades.

¿CUÁL ES SU CONCEPTO DE SEGURIDAD CIBERNÉTICA?

Muchas personas y muchos gobiernos piensan que tener seguridad es ocultar algo de todos para que nadie sepa o tenga acceso a ello. Top secret , este concepto se conoce como seguridad por oscuridad. Es la confianza en el secreto del diseño o la implementación como el método principal para proporcionar seguridad para un sistema o componente de un sistema. La seguridad de Estado debe ser publicada para proveer a todos los profesionales del ramo la posibilidad de auditarla, si es secreta nadie puede decirte en qué estás fallando. En la seguridad informática los sistemas más infalibles son abiertos, como el Bitcoin, todo es abierto. Todos conocen cómo funciona el sistema, pero nadie ha sido capaz de hackearlo .

¿ES FÁCIL ‘HACKEAR' UN IPHONE?

Dependiendo de la versión que tengas de actualización. Esa es la razón por la que siempre tienes que actualizar el sistema de tu teléfono, las versiones más antiguas son más vulnerables. Pero a pesar de que bajes la última versión, se enfrenta lo que se conoce como Zero-day. Es una herramienta especial, los exploits , para hallar las vulnerabilidades del teléfono. Una vulnerabilidad de día cero (también conocida como 0 días) es una debilidad del software desconocida para aquellos que estarían interesados en mitigar la vulnerabilidad (incluido el proveedor del software de destino). Existen las Zero day, debilidades que no son públicas y solo personas específicas conocen de ellas, y estas venden esta información al gobierno a precios exorbitantes, por ejemplo un millón de dólares. Existen algunas empresas que se dedican a pagar dinero a los hackers alrededor del mundo que compran la información y se la venden a gobiernos dictatoriales, por ejemplo, Irán, Corea del Norte, Pakistán, etc. Esta empresa emplea a muchos hackers que cuando encuentran este Zero day vulnerabilidad, lo venden a la empresa que lo compra y ésta a su vez lo revende a los gobiernos. Son empresas legalmente establecidas, la mayor parte de sus clientes son gobiernos, así que jamás podrían estar catalogadas como ilegales, a pesar de que venden información a ciertos g Gobiernos que una vez cuentan con esa información pueden hackear tu teléfono, tu computadora, sin que puedas hacer nada. Te lo congelan prácticamente. Por tanto, tiene un valor muy alto. En los países dictatoriales utilizan este sistema para espiar a periodistas, adversarios políticos, etc., sin que estos se percaten.