La opinión pública se está preguntando en estos días ¿Es necesario crear en España un registro de hackers?. ¿Funcionaria de igual manera que el de personas con licencia de armas?. El tema ha levantado una gran polvareda. Al respecto ya se conoce que el ministerio del Interior podría incluirlo en el nuevo Reglamento de Ley de Seguridad Privada. En este tema, aún no hay nada decidido. Sin embargo, ya hay opiniones contrarias en esta comunidad cibernética. Por esa razón, hablamos con el presidente de la RootedCON, el congreso de hackers más importante de España, Román Ramírez y pulsamos su opinión.

Todo lo que se sabe hasta ahora es que el ministerio de Interior trabaja en desarrollar el nuevo Reglamento de la Ley de Seguridad Privada. Este podría ser aprobado a finales de año o principios de 2016. En dicho reglamente podría incluirse la obligación para todos los hackers y empresas dedicadas a ciberseguridad de tener que registrarse. Asimismo estarian obligados a cumplir unos requisitos para poder ejercer profesionalmente. 

La consideración se entiende si se acepta que los programas que usan estos hackers profesionales para realizar auditorías de seguridad informática pueden ser consideradas ciberarmas. Así como una pistola o fusil causan daño en el mundo real, los programas también confieren tal posibilidad. 

Para aclarar la situación actual del asunto y cuál es la posición de la comunidad de los hackers españoles, One Magazine ha hablado con Román Ramírez. Román es considerado una de las mayores referencias de esta comunidad. Ramírez es también el responsable del mayor congreso de hackers, el RootedCON que se celebrará en Valencia entre el 11 y 12 de septiembre. A continuación compartimos su visión del tema.

¿Qué es exactamente un hacker?

En opinión de Román, el significado del término hacker sigue estando aún en discusiones. Sin embargo, se atreve a aportar su visión, sabiendo que no coincide con la de mucha gente. Para él, los hackers son personas con una serie de habilidades de pensamiento lateral y de capacidad de pensamiento disruptivo. Prosigue diciendo que ellos saben cómo salir de los protocolos estándares o de normas que podrían limitarlo en distintos caminos.

Por eso, un hacker, hace hincapié en su opinión, no es necesariamente un informático. Afirmo rotundamente que los hay en el espectro financiero, en el jurídico, la ingeniería o en el arte. Remata diciendo que es alguien que ha descubierto una manera de retorcer las cosas. Al aplicar los cambios, hace las cosas de una manera diferente a como estaban pensadas.

Concluye Ramírez con su propia definición. Los hackers son cualquiera que sea capaz de crear nuevas ideas retorciendo normas, reglas, protocolos o mecanismos. De esta manera logra que se hagan las cosas de formas distintas a aquellas para las cuales fueron diseñados.

¿Cómo contribuyen los hackers españoles a nuestra Seguridad Nacional?

En este aspecto Ramírez afirma sin dudar, “con muchísima investigación, con herramientas”. También organizando eventos como RootedCON y colaborando con los cuerpos de seguridad. Considera Román que se deben denunciar las situaciones consideradas peligrosas. Asimismo subrayó que hay que mostrar al mundo el nivel de talento con el que contamos.

Seguidamente fue consultado sobre la actual situación de los expertos en ciberseguridad en España. Al respecto respondió que “No existe ninguna titulación específica”. Pero, además, las universidades no forman hackers, sino profesionales. El espectro de profesionales de la seguridad es y, muchos de esos conocimientos, se obtiene por la vía académica. Pero hay una serie de conocimientos especializados que tienen más que ver con la actitud. Tiene que ver más con las y no puedes aprender eso en una universidad, ni en un centro de formación al uso.

¿Hace falta crear un registro de hackers en España?

En relación a esta pregunta, Román aseveró “la pregunta es difícil de responder”. Argumento que siendo él un hacker no le haría gracia tener que que someterse a un registro. Se preguntó además, ¿Porque pagar unas tasas para trabajar en lo que llevo más de veinte años haciendo?.

Afirmó que entiende que mucha gente compare ciertos programas informáticos con armas reales, las llamadas ciberarmas. No obstante, asegura que esta comparación puede alcanzar a prácticamente cualquier herramienta de seguridad, o de redes. Se extendió más allá al afirmar que “ incluso algunas herramientas de desarrollo (los debuggers, entre otra) pueden considerarse «armas». Luego concluye ¿Es ese suficiente motivo como para forzar a todo un colectivo a registrarse en una base de datos?

Al ser requerida su opinión sobre  los que defienden crear un registro de todos los hackers,  expresó que no los entendía. “El argumento, a menudo, es que, mediante ordenadores, se pueden cometer delitos serios. Aparentemente es la razón para que soliciten controlar a las personas que puedan tener herramientas o conocimientos especializados. Sin embargo el razonamiento tiene sus “bemoles”.

En su opinión, estos solicitantes, curiosamente, no utilizan el mismo discurso para hablar de pintores o de escritores. Por el contrario, hacen una paralelismo entre la leyes para las actividades artísticas y las actividades cibernéticas. En el arte son comunes los desnudos y escenas que algunos podrían considerar sexuales. Sin embargo nadie solicita la elaboración de un registro de pintores y dibujantes.  

De similar manera, no se ha escuchado a nadie que exija un registro de pintores y dibujantes. Tampoco de escritores, y ni siquiera de escritores de artículos en blogs. De manera tal que carné de hacker, puede ser visto como una lista de potenciales criminales. 

El riesgo de las ciberarmas

Cuando se le preguntó acerca de este tema afirmó que existen además de las ciberarmas, las cibermuniciones. Enfatizó que comprendía la preocupación que existía en relación a ambas. De hecho, comentó que le gustaba destacar la definición que hizo de estas Raúl Siles. En ese sentido, este experto de la seguridad mundial dijo que “las ciberarmas son los hackers que crean cibermuniciones»   

En este aspecto manifestó que entiende que deba existir algún tipo de control, pero el camino no es culpabilizar a un colectivo. Por otro lado, plantea muchos interrogantes. Por ejemplo, ¿qué ocurre con la innovación y los estudiantes o, simplemente, con las personas aficionadas?. ¿Quiere decir esto que un joven de trece años que use herramientas de seguridad tendrá que pagar una tasa e ir a registrarse?. Peor aun, debe estar en una base de datos porque a alguien en las administraciones le ha entrado pánico? Finalizó su comentario diciendo “no puedo estar de acuerdo; así que no hace falta; ni en España, ni en ninguna otra parte”. 

¿Que tiene de positivo y negativo un registro hacker?

En opinión de Román, hay varios motivos legítimos y alguno que calificaría como turbio. En el renglón de los legítimos ubica a todos los mencionados por él anteriormente. Confirma su acuerdo en que hay verdadera preocupación con el tema de las armas cibernéticas. Para comprobar esto, solo hay que ver el informe que publica todos los años el World Economic Forum. Allí ubican a las ciberamenazas como un riesgo para la humanidad, por encima de las hambrunas. 

De hecho, acepta que un joven con la herramienta cibernética adecuada y desde su casa puede hacer tanto daño como un comando de élite en una operación. Eso lleva al al concepto de asimetría hasta unas dimensiones alarmantes. De manera que, en lo personal, Ramírez entiende y acepta que pueda existir esa preocupación. No obstante, esta preocupación no puede estar por encima de los derechos fundamentales de las personas.

Recalcó Román Ramírez que existe una cosa que se llama Carta Magna de Derechos Fundamentales en la que, en resumen, existe la la presunción de inocencia. Esto quiere decir que no puede existir la discriminación por motivo alguno. En tanto que el carné de hacker es una clara vulneración de la presunción de inocencia y, es también, un hecho discriminatorio. Román cerró el asunto preguntándose el porqué no se implementa un carné para controlar a otros especialistas.

En cuanto a los motivos ilegítimos señaló que veía dos principalmente, que al final se resumen en uno: las presiones de los lobbies. Señaló que conoce de la existencia de lobbies de intereses económicos. Se refirió principalmente a los de la propiedad intelectual, cuyos intereses se ven dañados por multitud de investigaciones de seguridad. 

¿Quién debe tener más poder en una empresa,  el responsable de seguridad física o el de seguridad informática?

En el caso concreto de la seguridad de la información, hay presiones con el borrador de Reglamento de la Ley de Seguridad Privada. Se busca a través de esta ley supeditar a los expertos tecnológicos a los de la seguridad tradicional. En este sentido, Ramírez hace sus reflexiones y manifiesta su desacuerdo.

“Un reputado y experimentado informático no puede estar bajo el control de personas cuyo rango de conocimientos difiere sensiblemente”, argumenta. “Es irracional pensar que el sector de la tecnología pueda sujetarse a normas ad hoc diseñadas para la seguridad privada”. “Eso no va a funcionar. Nunca”, sentenció categóricamente.

En su opinión, en todo caso, deben crearse capacidades claves que, los que quieran optar a cargos de responsabilidad, deban acreditar con exámenes o formaciones. Estos serían adicionalmente a los contenidos de seguridad física. Esos capacidades claves que algunos expertos de la parte física ahora mismo no tienen, pueden ser: redes, OSINT y exploiting. Asimismo, deben estudiar reversing, crimen organizado cibernético y arquitectura de seguridad. “Es deber de todas las empresas impulsar la formación de grupos de conocimientos con capacidades en seguridad informática y en seguridad física”, concluyó Ramírez.

¿Según los expertos, quién debe “mandar” más?

En esta materia, el experto de RootedCON afirmó que tenía una opinión “políticamente incorrecta”. Completó la idea diciendo que “es compartida por mucha gente… aunque pocos lo reconocen en público. Seguidamente suelta la idea: “Es mucho más fácil para mí gestionar a un profesional de la seguridad privada que viceversa”. 

El basamento de esta afirmación lo ubica en el volumen de conocimientos que debería adquirir esta persona de seguridad física es muy extenso. Por otro lado, la comprensión de estos conceptos requiere de mucho tiempo. Sería absurdo pretender que puedan gestionar con éxito toda la parte ciber. El beneficio económico o político que puedan lograr unos pocos, no puede ser la justificación para leyes de este tipo. Especialmente si tienen un elevado componente, que puedan dañar la innovación y el talento en nuestro país.

En ese sentido considera que la clave para que lo que se decida en el Reglamento sea positivo para la seguridad es el uso de una estrategia racional. Esta debe incorporar a todos los actores involucrados (y no sólo a los de la seguridad privada). Desarrollado de esta manera, podría ser un motor de nuevas capacidades o posibilidades en el sector de la seguridad. “Si se cuenta con todos los actores involucrados, esta es una buena oportunidad” remata Román Ramírez.

Lo que sí está claro es que no todo el mundo puede gestionar cualquier cosa. Por ejemplo, dice Ramírez, “yo mismo no gestiono hospitales porque no tengo ni idea de hospitales. ”Para gestionar temas ciber, uno debe conocer muy bien todo lo que implica el ciber” completa la idea. “No se trata solamente de dominar la parte de seguridad física (y ojo, tampoco exclusivamente la parte de seguridad lógica)”sentencia el especialista.

Cómo debería ser el exámen para obtener el ‘carnet hacker’ en España

Al respecto, nuestro especialista declaró “Si tuviera que hacer una propuesta, crearía un examen para obtener una licencia que fuera al estilo de los abogados en EEUU”. “Todo aquel que pasara el examen, automáticamente quedaría acreditado”. “No tendría necesidad de tener que pasar cursos caros, ni tener un perfil forzosamente de FCSE o militar. 

En relación el exámen, este tendría “multitud de preguntas sobre seguridad física, seguridad patrimonial, investigación criminal, informática y ciberguerra. Habría también una sección para los temas de cibercrimen, seguridad de la información, geopolítica y seguridad ambiental”. Eso, en mi opinión sería lo justo y equitativo”. Solo así se evita discriminar a alguien o favorecer  los intereses de pequeños grupos de profesionales o empresas.

¿Qué es lo que más preocupa ante los actuales ciberataque?

Es un hecho cierto que, en el mundo en el que vivimos, cualquiera puede ser víctima de un ciberataque. Al margen de buenas o malas prácticas, pretender que puedan existir fortalezas inexpugnables cuando cada día aparecen nuevos ataques, es de ingenuos. La clave para que no se hunda tu empresa o tu vida es el tipo de respuesta. La diferencia está siempre en esa respuesta y en cuánta responsabilidad demuestras de cara hacia tus clientes. 

Hay organizaciones que optan por ignorar el incidente, como la empresa Target, en EEUU. Otras, como Fireeye, responden denunciando al investigador de Seguridad (lo cual no es recomendable). Finalmente existen otras que trabajan para evitar que la amenaza pueda extenderse a sus clientes.

El riesgo existe, esto es un hecho innegable. No obstante, hay que aprender a vivir con ese hecho. Los especialistas cibernéticos deben siempre trabajar en una buena arquitectura y unos buenos procesos de seguridad. Sobre todo, deben tener unas muy altas capacidades de detección y de respuesta.

Cuáles serán las novedades de la RootedCON de 2016

Nuestro especialista entrevistado nos dijo que una de las novedades más importantes es que se está organizando RootedCON HONG KONG. Con este nuevo evento se quiere mostrar el talento español y Hong Kong parece un destino interesante para este fin. Especialmente cuando en EEUU el mercado de este tipo de eventos está absolutamente monopolizado.

Por otro lado, en Valencia se han entablado conversaciones sobre la LECrim y la Reforma del Código Penal con Jorge Bermúdez. “Nuestro apreciadisimo amigo y muy conocido Chema Alonso también ha mostrado «cosillas que se pueden hacer con Android». De igual modo se ha contado con los alucinantes José y David de Layakk, quienes hablarán de cómo hackear 3G. Como se ha dicho, “en España se tiene un nivel de talento en ciberseguridad excepcional”.

Al cierre, un consejo para vivir ciberseguro

El consejo es, ante todo, no vivir con miedo, pero tampoco vivir en el país de los unicornios. No dejarse engañar por vendedores de elixires mágicos. Sobre todo, emplear siempre el sentido común. La regla de oro es que cuando algo no parece bueno o muy bien elaborado, tiene cierta posibilidad de ser malo o dañino. Siempre se debe tomar precauciones antes de hacer click sobre un enlace o de rellenar datos en una web.

Dejar respuesta

Please enter your comment!
Please enter your name here