De profesión: Hacker

De profesión: Hacker

Últimamente el termino hacker está muy en boga en los medios de comunicación; que si un hacker procesa los correos de Urdargarin, que si los hackers lanzan el "mayor ataque a internet", amén del ruído habitual: hackers acceden al teléfono móvil de un famoso, hackers lanzan virus...

Últimamente el termino hacker está muy en boga en los medios de comunicación; que si un hacker procesa los correos de Urdargarín, que si los hackers lanzan el "mayor ataque a internet", amén del ruido habitual: hackers acceden al teléfono móvil de un famoso, hackers lanzan virus...

Claro que Hollywood tampoco ha hecho demasiado por desmitificar todos los tópicos habituales que se asocian a una persona que se dedique a la seguridad informática: accesos a bases de datos gubernamentales en cuestión de segundos, virus malvados que antes de ejecutar sus acciones muestran un dibujo riéndose, y en general una colección de estereotipos que han arraigado mucho en la sociedad.

Hemos llegado a un punto en el que realidad y ficción se mezclan de forma que resulta complejo aislar la parte profesional de la parte underground.

Empezemos por lo básico: la palabra Hacker es bastante antigua y en su acepción original iba referida a la gente que desarrollaba los primitivos sistemas Unix de los 70. Creo que es una batalla perdida intentar que la gente use la acepción correctamente, así que me centraré en la parte profesional.

De entrada, me permito cambiar el nombre al concepto y voy a hablar de profesional de la seguridad informática, que resulta más acorde al concepto que me gustaría definir.

Un profesional de la seguridad informática suele trabajar para una empresa, tiene un contrato laboral y paga la seguridad social y su correspondiente IRPF. Esto, que puede sonar demasiado obvio, seguro que rompe con los esquemas peliculeros en los que dos personas se reunen en un tugurio, negocian algo y se realiza un pago en B (preferiblemente en un maletín).

Las personas que se dedican a la seguridad informática suelen ser personas con grandes inquietudes y en un constante afán por aprender más y reciclarse. Un concepto que se aplica idénticamente a otras muchas profesiones. Por ejemplo, los médicos organizan congresos donde explican avances y presentan investigaciones. En el mundo de la seguridad informática pasa exactamente lo mismo; existen múltiples congresos donde los profesionales se reúnen y hablan de nuevas técnicas, amenazas o defensas. Rootedcon y NcN son los dos congresos más importantes a nivel nacional. A nivel internacional podemos hablar de BlackHat o Ekoparty.

Estos congresos no se realizan en ubicaciones secretas, ni se requiere una contraseña para entrar. Son congresos públicos y tan bien organizados como los que organizan los arquitectos o los abogados.

Los ponentes no se identifican con nicks e incluso muchas de las ponencias quedan grabadas y puestas a disposición de cualquiera que quiera verlas.

Respecto al tipo de trabajos que realiza un profesional de la seguridad informática, es verdad que se realizan ataques, pero son ataques controlados y que obedecen a un plan de auditoría contratado por una una empresa para evaluar la seguridad de su infraestructura. Se emplean herramientas de todo tipo e incluso un buen número de ellas son comerciales, con licencia, y pertenecen a empresas que viven de venderlas y cuentan con su web, su equipo de márketing y también pagan sus impuestos.

Otro trabajo de los muchos que puede realizar un profesional de la seguridad son los análisis forenses: un equipo ha sido comprometido y hay que averiguar el vector de entrada, su repercusión, crear una línea temporal y presentar un informe. Esta parte sí puede tener algo de misticismo, aunque en realidad se trata de leer ficheros de logs, analizar datos y más datos. Supongo que tiene un componente similar al de un auditor financiero revisando las cuentas de una gran corporación, leyendo facturas, analizando balances. Al final todo es constancia y experiencia.

En definitiva, la seguridad informática es una profesión como otra cualquiera, con sus partes buenas (que las tiene, y muchas) y sus partes aburridas, llenas de reuniones, documentación y hasta jefes incompetentes.

Para terminar, me gustaría recomendar una novela que tuve el honor de prologar y que habla sobre seguridad informática escrita por alguien que se dedica a ello: Hacker épico, de Alejandro Ramos y Rodrigo Yepes, es una novela que tiene su componente de ciencia ficción pero en la que todo lo que hace el personaje protagonista es real, las herramientas son reales, los ataques son reales e incluso en el libro se publicaron por primera vez varias vulnerabilidades reales. Todo ello escrito en un lenguaje asequible a cualquier persona.