Chema Alonso: una entrevista con el hacker español más famoso

No, no todos los hackers merodean las computadoras o servidores ajenos en busca de infligir algún daño o robar información, de hecho, muchos de ellos pasan buena parte de su vida defendiendo a los usuarios poco avezados en temas informáticos de esas amenazas. Uno de ellos es Chema Alonso, el hacker español más célebre. Fue en 1999, justo unos meses antes del colapso de la burbuja de las puntocom, que Alonso fundó Informatica 64, su consultora en temas de ciberseguridad, y desde entonces se ha dedicado a ayudar a organizaciones de todos los tamaños a protegerse de los riesgos que acechan en internet. En los últimos 18 años, Alonso se ha vuelto una figura clave dentro del mundo del hacking ético dentro de la iniciativa privada, como fundador de Informatica 64 y de Eleven Paths, una consultora que fue absorbida por Telefónica, donde actualmente se desempeña como Chief Data Officer y lidera los esfuerzos de la operadora en big data, publicidad y seguridad. Uno podría pensar que no podría haber más distancia entre los hackers y la Academia, pero Alonso refuta esa tesis: es doctor en Seguridad informática por la Universidad Rey Juan Carlos de Madrid, donde obtuvo su título en ingeniero en Sistemas, además de haber estudiado otra ingeniería en Ingeniería en Sistemas de TI en la Universidad Politécnica de Madrid, institución que lo nombró Embajador Honorario de su Escuela de Ciencias Informáticas. Lee también: ¿Estás conectado a internet?, dile adiós a tu intimidad Hace un par de semanas, Alonso visitó México para participar en el lanzamiento de Cyber Shield, un seguro anti hackeo para empresas creado en conjunto por Kio Networks, INTERprotección y Chubb. “A lo largo de mi experiencia, me he dedicado a la tecnología y los temas que hay alrededor de ella y he visto cómo afectan los ataques cibernéticos a las empresas en diferentes países. En el caso de México, al igual que sucede en la mayoría de los países, las empresas necesitan gestionar la seguridad de una manera madura, aprendiendo cuáles son los riesgos para su negocio y tomando las decisiones adecuadas en cada caso. A veces hay que aceptar el riesgo, otras veces hay que eliminar el riesgo, y otras buscar la colaboración externa para transferir el riesgo y estar preparados en el caso de que suceda”, dijo Alonso a Forbes México. El hacker añade que su visita a nuestro país formó parte su labor de concienciación en seguridad para ayudar a las empresas: “He sido invitado a venir a hablarles de esto a líderes empresariales en México aprovechando el lanzamiento de Cyber Shield, porque compartimos la visión de aplicar una protección holística y completa en la empresa para estar preparado ante cada riesgo, incluso cuando no se puede evitar.” Alonso respondió vía electrónica un cuestionario enviado por Forbes México, aquí las reproducimos, editadas por razones de claridad y espacio. Usualmente no relacionamos las facetas de “hacker” y empresario, ¿te sientes identificado con el término? Para nosotros la definición de hacker es la de investigador que trata de hacer cosas nuevas e imposibles (hasta la fecha) con la tecnología. Me gusta la definición que da el RFC del IETF en su glosario de usuarios de Internet, que comenzó en los años 80. En él, se define un hacker como: “hacker: Una persona que disfruta de tener una comprensión profunda del funcionamiento interno de un sistema, computadoras y redes de computadoras en particular. Él término se usa con frecuencia en un contexto peyorativo, donde “cracker” sería el término correcto.” Me gusta pensar que vivo con esa pasión y que dedico todos los días de mi vida a intentar hacer cosas nuevas con ellas. Además, es verdad que la innovación tecnológica y el emprendimiento van muy de la mano, y muchos hackers han creado grandes empresas tecnológicas con sus invenciones, sus hacks, o sus ideas locas. Los hackers más conocidos son los que trabajamos en seguridad, buscando las esquinas a la tecnología e intentando llevarla más allá. Encontrando los fallos de las tecnologías y aportando nuevas soluciones o nuevas tecnologías. Así avanza la ciencia y la tecnología tan rápido. Por desgracia, cuando alguien utiliza el descubrimiento de un hacker para cometer un delito por medio de tecnología, los medios de comunicación suelen usar el término hacker, cuando lo más apropiado sería usar cibercriminal. Luego están los hacktivistas, que son los que utilizan las técnicas hacking para reivindicar sus ideales sociales, políticos o ideológicos, y los crackers, que son capaces de hacer descubrimientos como los hackers pero que utilizan sus descubrimientos para aprovecharse de ellos de forma ilícita. En esta transición PC al móvil, ¿se ha vuelto más complicado o más sencillo cuidar a los usuarios? ¿Qué tal a las empresas? Suelo decir que los que creamos tecnologías de seguridad no lo hemos puesto fácil para los usuarios menos expertos. Hemos creado medidas de protección que necesitan de conocimientos, a menudo, avanzados. Debemos crear tecnologías de seguridad más sencillas de entender, más fáciles de usar y cuanto más configuradas por defecto, mejor que mejor. En cuanto a las empresas… la cosa es distinta. Yo suelo decir que si una empresa no ha hecho los deberes básicos no debería continuar pensando en meter más medidas de seguridad súper modernas. Es increíble ver cuántas empresas aún tienen sistemas de administración en los que los usuarios se autentican con un login y una contraseña sin tener un segundo factor de autenticación (seguramente la mayoría de los lectores), o encontrar que tienen problemas con el backup de los datos, los permisos básicos de las cuentas de sus equipos y son víctimas de ataques de ransomware. Fix The Basics. Esa es mi recomendación para las empresas. Y luego, pasemos al siguiente nivel. En esta conferencia lo explico en detalle:

¿Cuál es el principal desafío para las compañías en materia de seguridad? Gestionar bien la seguridad. Desde lo más básico, hasta lo más avanzando. Que tengan una buena política de gestión de los riesgos para decidir cuáles son las estrategias que deben aplicarse en cada uno de ellos. No siempre es fácil, no siempre es sencillo, pero si no tienes un equipo de gestión de seguridad que sea capaz de llevar la evolución de la seguridad año a año, atacando en cada ciclo un número de riesgos de seguridad, entonces te vas a convertir en una empresa que vive “Apagando fuegos”. Do the basics, identifica los riegos, y planifica a lo largo del tiempo. ¿Cuán cerca estamos de una ciberguerra mundial? Hace muchos años que hay un conflicto mundial latente fuera de los focos. Vemos las acusaciones que se lanzan unos a otros con normalidad, pero lo cierto que desde el incidente de Stuxnet, todo el mundo sabe que los gobiernos realizan operaciones encubiertas de ciberataque entre países de manera continua. Hace tiempo que ya no es noticia y que la gente lo asume. Es el mundo en el que estamos hoy en día. Es cierto que aún estamos en una época más de operaciones de ciberinteligencia que de ciberataque real, pero las operaciones son continuadas. ¿Podrías compartir algunos consejos para que los usuarios mejoren su seguridad?