Chema Alonso es un experto de seguridad informática reconocido en todo
el mundo. Este reconocimiento ha traspasado las barraras del mundillo de
la Informática gracias a las múltiples conferencias que a todos los niveles
imparte sobre seguridad, y posiblemente a un gorro a rayas que nunca le
abandona.
Hace 14 años fundó Informática 64,
la semilla de ElevenPaths,
con el objetivo de prestar servicios de consultoría y auditoría de seguridad.
En Informática 64 se crearon muchas herramientas reconocidas en el mundo de la
seguridad, como FOCA o Metashield, que son usadas por profesionales por todo el
mundo.
Chema escribe
diariamente en el blog “Un
informático en el lado del mal”, comentando temas de actualidad
sobre hacking y seguridad. Desde 2010 es el Director del Master de Seguridad de
la Universidad Europea de Madrid (UEM), y profesor del Master de Seguridad de
la Universidad Oberta de Catalunya (UOC). En su labor de concienciación, además
de presentar su experiencia por todo el mundo, participa también de forma
habitual en la radio, televisión y periódicos, aconsejando y comentando
aspectos relacionados con la seguridad en la tecnología.
Ayudé
a hacer un poco más ajetreada su ya ajetreada vida solicitándole esta
entrevista que no dudó en concederme (Go ahead!).
1. Para unos un gurú de la seguridad
informática para otros, permíteme, un desconocido. ¿Quién es Chema Alonso?
Pues nada más que un informático que disfruta con la seguridad
informática y ha volcado su vida en el hacking. Soy una persona muy activa que
disfruta escribiendo en mi blog, escribiendo libros, participando en la radio,
cuidando de Cálico Electrónico,
dando conferencias de hacking y dando clases a los más jóvenes.
2.
Da la sensación de que te pases las 24 horas del día tras una pantalla de
ordenador. ¿Qué sueles hacer cuando apagas el ordenador? ¿Cuáles son tus
aficiones?
Es
cierto que me paso casi 24 horas pegado a la pantalla. De hecho suelo decir que
para dedicarse a seguridad informática hay que dedicarle 26 horas al día.
Cuando no estoy detrás de la pantalla me gusta dibujar, leer y ver alguna
película. Por suerte – o por desgracia – mi hobby es mi trabajo y eso hace que
casi no haya diferencia entre cuando estoy trabajando o cuando estoy
disfrutando.
3.
Me preocupa la seguridad de empresas y organismos oficiales. ¿Podemos estar
tranquilos?
En
seguridad informática no se puede bajar la guardia. Creo que lo bueno es que se
está empezando a tomar conciencia de esta necesidad, pero por desgracia –
personalmente – creo que aún nos queda mucho camino por recorrer. Hemos visto
que el mundo ha cambiado en los últimos años hacia un escenario mucho más
beligerante en términos de ciberespionaje, ciberguerra o e-crime, y por lo
tanto las medidas de seguridad que proporcionaba un gobierno a sus ciudadanos
hace 30 años se han visto superadas. Hay que evolucionar los sistemas de
seguridad al mismo tiempo que cambia el espacio de amenazas.
4.
Todos somos iguales ante la ley incluidos vosotros los hackers éticos. ¿Qué
haces si por ejemplo descubres una brecha de seguridad en la web de Hacienda?
Dará cosilla informar, ¿no? ¿Dificultan las leyes cada vez más restrictivas
vuestro trabajo?
Yo
dije tiempo ha que las webs deberían tener un fichero hackers.txt al estilo de
robots.txt que informara sobre cuál va a ser la reacción de una empresa cuando
alguien le reporte una vulnerabilidad para saber si va a haber problemas o no.
Hace tiempo conté la historia en mi blog de The Sur, un hacker y amigo que con
el objetivo de conseguir una beca de prácticas en una empresa le hizo una
pequeña auditoría de seguridad y le reportó una vulnerabilidad de seguridad. Al
final acabó denunciado y detenido.
Por
suerte, hoy en día, existen canales para comunicar los descubrimientos vía
fuerzas de seguridad del estado que garantizan el anonimato del informante. No
obstante, si cuando se reporta una vulnerabilidad de seguridad se toman
acciones legales en contra del que lo ha hecho, al final los fallos seguirán
ahí y quien los acabará por descubrir serán los “malos”. Mejor tratar bien al
que te dice que tienes un fallo.
5.
Ya tengo mi webcam tapada, mi antivirus instalado, mi contraseña tiene 26
caracteres… y ahora me entero del error de seguridad de OpenSSL (heartbleed)
que ha permitido desvelar información sensible y descifrarla. Lo más seguro es
no usar Internet, ¿no crees?
No creo. Internet es un regalo para nuestra sociedad que debemos
disfrutar y cuidar. Es como decir que no usas tarjetas de crédito porque hay
quién las clona o que no cruzas la calle por los pasos de peatones porque hay
series de coches con frenos defectuosos. Lo que debemos hacer es tomar
precauciones porque sabemos que hay fallos de seguridad que existen y
existirán, así que al igual que procuras tener cuidado con lo que se hace con
tu tarjeta de crédito, usas tarjetas Chip&PIN o miras a ver si el coche
decelera cuando vas a pasar por un paso de peatones, en Internet debes tomar
medidas constantemente. En este caso cambiar la contraseña y si puedes, en
lugar de usar contraseñas de 26 dígitos poner un segundo factor de
autenticación como Latch. Al final, un PIN de 4 números más un segundo
factor de autenticación como Latch es más seguro que una única contraseña de 26
dígitos.
6.
Windows XP dejó de recibir actualizaciones por parte de Microsoft el pasado 8
de abril, noticia que ha creado un gran revuelo mediático. ¿Te parece más una
estrategia de marketing de Microsoft y sus partners o un problema real de
seguridad para los usuarios de este sistema operativo?
Me
parece un problema real de seguridad. No se puede seguir con un sistema que
tiene más de una década. Al final Microsoft dijo que iba a dar soporte muchos
menos años, y ha extendido el soporte hasta ahora. Incluso después del 8 de
Abril ha publicado un parche de seguridad para un serio bug de Internet
Explorer y ha consentido en extender un año el soporte del sistema para
organismos públicos y grandes empresas bajo contratos especiales de soporte.
Las amenazas cambian y necesitamos mejores medidas de seguridad. En el mundo
Apple, mientras que Microsoft ha dado soporte a Windows XP, la compañía de la
manzana mordida ha abandonado 5 o 6 sistemas operativos. La longevidad de XP,
para ser un sistema operativo de propósito general ha sido excesivamente
excesiva.
7.
Cuando te invitan a prestigiosos eventos de seguridad informática por todo el
mundo. ¿No tiene la sensación de que algunos de los presentes estarán en el
“lado oscuro de la fuerza”? ¿Saca uno el teléfono y felizmente mira su WhatsApp
o el correo electrónico delante de otros hackers? ¿De qué se habla en el
“coffee break”?
En
esos eventos internacionales hay de todo. Ciber espías, fabricantes de
software, cuerpos de seguridad del estado, algunos ciber criminales,
investigadores de seguridad, hackers y hacktivistas. De todo he visto en los
últimos 8 años que he pasado dando vueltas por el mundo de conferencia en
conferencia. En todos esos eventos, como he dicho más de una vez, todos van con
papel y lápiz que usar el smartphone o el ordenador en esos eventos es
peligroso. En la DefCON hay ataques de todo tipo esperando a pillar a las
víctimas. Desde Rogue AP, pasando por Rogue BTS, ataques a las redes oficiales,
hacking de todas las redes WiFi de los hoteles que son atacadas, ataques
bluetooth, ataques de Evil Grade o de JuiceJacking, etcétera. Mejor relájate y
disfruta viendo las charlas y tomando cervezas con el primero que te encuentres
en el bar, que seguro que tiene historias interesantes que contar. ¿De lo que
se habla? De todo y de nada que te pueda contar por aquí, casi todas son
charlas privadas.
8.
Siendo informático como tú a ratos tengo la sensación de ser menos vulnerable a
ataques y robos que el resto de los usuarios. Pero en otros momentos rozo la
paranoia. ¿Cómo llevas tu protección a nivel personal/profesional? Debe ser más
chulo entrarle en el ordenador a Chema Alonso que a la vecina del quinto.
Llevas
toda la razón. Vivo pensando que yo voy a ser el siguiente en ser hackeado. Al
final, cuando estás en el campo de batalla te llueven las balas así que mejor
haz lo que puedas para esquivarlas. Yo procuro tomar todas las medidas de
seguridad que me son posibles e intentar evitar la paranoia….
9.
Siendo tan fácil contactar contigo recibirás peticiones de lo más variopinto.
¿Me cuentas alguna anécdota curiosa? ¿No entran ganas a veces de convertirse en
una especie de Robin Hood e incluso saltarse las normas para defender a pobres
y oprimidos?
He
recibido peticiones de todo tipo, y las suelo ir publicando en mi blog o en
charlas. Desde hace poco he decidido poner en la zona de contacto de mi blog
una alerta diciendo que no hago cosas ilegales nunca y por suerte han bajado un
poco las peticiones. Yo no puedo ser juez de nadie y aunque intento ayudar a la
gente, siempre les dejo claro que hay una línea legal que no se debe cruzar.
10.
¿Qué pregunta te hubiese gustado responder? ¿me la respondes?
La
pregunta que me hubiera gustado responder es “¿Cuánto peso puede llevar una
paloma en el pico?” y la respuesta es “¿La paloma de Europa o de Asia?”
Fuente.