Hackers, Ā”bĆŗsquense!
Andaba yo corriendo por el Hotel Auditorium, cerca de Madrid, en 2014, para cubrir un congreso de drones cuando me parĆ©, a la puerta de una sala, a ver una mesa plagada de folletos y se me acercĆ³ un tipo sonriendo y me dijo: ĀæConoces RootedCON? Uno, que no tenĆa tiempo, mirĆ³ a ambos lados buscando escapatoriaā¦ pero fruto de la curiosidad periodĆstica no pude sino echarle un vistazo al primer programa que me daba en mano: āLos hackers son de Marte, los jueces son de Venusā, decĆa una ponencia que daba un tal Jorge BermĆŗdez, fiscal. āPues sĆ, me dijo un tal RomĆ”n: este es un congreso de hackers: Āæte apuntas?ā. Y ahĆ que me fui al dĆa siguiente.
Desde entonces y a las puertas ya de celebrarse su XV ediciĆ³n madrileƱa, conviene poner en valor que en Ć©l se han reportado algunas de las mĆ”s notables vulnerabilidades descubiertas por investigadores espaƱoles (hackers). Son muchas, y entre ellas figuran algunas muy fascinantes, como las descubiertas en Whatsapp por Pablo San Emeterio y Jaime SĆ”nchez ālas presentaron porque āllevamos dos aƱos comunicando errores a WhatsApp y no nos contestanāā, hasta āDirty Toothā, la mostrada por el equipo de āIdeas Locasā; de Chema Alonso, āpor entonces en Eleven Pathsā, que permitĆa almacenar los contactos y el registro de llamadas de un usuario de Apple iPhone, a travĆ©s de un fallo en la conexiĆ³n bluetooth; los posibles fallos en los contadores inteligentes de la red elĆ©ctrica, mostrados por investigadores de Tarlogic āque llegĆ³ a presentar una herramienta para auditar y hacer mĆ”s seguras estas redesā, o la Ćŗltima sonada: el fallo que podrĆa permitir el ataque a cierta parte de la infraestructura ferroviaria en EspaƱa, segĆŗn mostraron en 2024, David MelĆ©ndez y Gabriela GarcĆa. Pero se cuentan a decenas. Y todas tienen algo en comĆŗn: la responsabilidad de los ponentes para informar de ellas sin incrementar el riesgo y reportar a quien proceda para ponerle soluciĆ³n. LĆ³gico: se visibiliza para que se corrijan las cosas.
JosƩ Manuel Vera
Redactor
Revista SIC
Fruto de su sensibilidad por los hackers āy de congresos como RootedCONā, en Alemania se ha presentado un proyecto de Ley ānos hacemos eco en esta ediciĆ³nā, para proteger a los investigadores de ciberseguridad de ser procesados en caso de descubrir vulnerabilidades. Por lo mismo, en 2021, la ya ex directora la Agencia de Seguridad CibernĆ©tica y de Infraestructura (CISA) de EE.UU., Jen Easterly, destacĆ³ en una entrevista su apuesta porque āla comunidad de hackers privados desempeƱe un papel importante y ayude a fortalecer las iniciativas de ciberdefensa de Estados Unidosā.
Y es que dar a conocer vulnerabilidades, ya sea en congresos tĆ©cnicos, de forma directa a las empresas, a las Fuerzas y Cuerpos de Seguridad, al CCN... o a travĆ©s de los denominados āProgramas de Bug Bountyā āprogramas de recompensasā, se ha convertido en una imperiosa necesidad, mĆ”s si cabe con la acuciante ciberseguridad que demanda el uso intensivo que de la IA estĆ” haciendo el cibercrimen. Incluso la Fuerza AĆ©rea estadounidense organiza, desde 2017, un programa para este colectivo en el que āabreā sus servidores y sitios web, bajo el lema āHack the Air Forceā para comprobar que son seguros, de verdad.
En definitiva, ser maduro en este Ć”mbito, en lo corporativo, es tambiĆ©n entender āempezando por la alta direcciĆ³nā que siempre y cuando no haya mala fe y se colabore en pro de solventar el problema, los investigadores de ciberseguridad āaka hackersā, son mĆ”s necesarios que nunca. Al fin y al cabo, su trabajo y su curiosidad se tornan aĆŗn mĆ”s crĆticos ante el despliegue de cada vez mĆ”s normativas concernidas ādesde el ENS, hasta NIS2, DORA, CER, etc.ā y, sobre todo, la Ley Ciberresiliencia (CRA) que exigirĆ” en la UE implementar ciberprotecciĆ³n en el ciclo de vida de cualquier producto conectado, incluyendo la detecciĆ³n y soluciĆ³n de vulnerabilidades. Tener una lĆnea de comunicaciĆ³n con cualquier hacker que avise de un fallo, no conocido, supone trabajar en equipo frente a la industria que ya lo hace: la del cibercrimen, patrocinado, incluso, por estados. Dicen que la curiosidad matĆ³ al gato... esperemos que no ocurra igual con los hackers.
