Desde hace mucho tiempo -años quizá- quería incorporar en FT una sección dedicada a uno de los ejercicios que más disfruto del periodismo: las entrevistas.

Supongo que la razón para tardar tanto es que mi mente no lograba concebir el esquema que deseaba darle. Nunca me he considerado bueno en entrevistas personales, mientras que los grandes temas he preferido reservarlos a los medios donde trabajo. Pero… ¿y si mezclamos un poco de ambas?

Fue la multitud de bitácoras que visité tras el acuerdo Gobierno-Microsoft lo que me llevó a confirmar que esta comunidad llamada blogósfera se ha convertido en un increíble reducto no sólo de vivencias, sino también de conocimientos, ideas, debates y proyectos que son impulsados por ciudadanos tan comunes como extraordinarios — tanto como cualquiera de nosotros.

Allí es donde quería apuntar.

Así nace 7 Preguntas, un experimento que busca indagar en estos mundos y personajes que se esfuerzan por hacer la diferencia desde la red. Y quién mejor para inaugurarlo que Paulo Colomés, un joven aysenino que con sólo 24 años ya está dando que hablar en el área de la seguridad informática local.

¿Que quién es Paulo? Un estudiante de ingeniería informática de la Universidad de Temuco que además de dictar clases en la UFRO, Inacap y el CFT Andrés Bello, creó el sitio Seguridad-Informatica.cl, portal pionero en Chile por la alerta y seguimiento de las vulnerabilidades en importantes sitios nacionales… tarea que puede resultar bastante ácida, como ahora comprobarán.

1) Salvo la experiencia del CLCERT de la Universidad de Chile y la propuesta en la Agenda Digital 2.0 de crear un centro nacional de alertas, hasta donde tengo conocimiento Seguridad-Informática.cl es el único portal chileno dedicado a investigar y difundir fallos de seguridad en nuestro país.

¿Qué te llevó a crear este sitio Web? ¿Cómo ha sido la experiencia de mantenerlo?

Un día necesitaba encontrar información respecto a un tema muy específico para el diplomado en seguridad informática que relato en la UFRO y -por más que busqué- no hallé nada asociado a la realidad chilena. La mayoría de la información provenía de España y Argentina, o de sitios en inglés y alemán.

Entonces pensé que, asimismo como necesitaba esa información, debía haber muchas personas más en la misma situación, por lo que decidí crear yo mismo un portal de seguridad informática donde tratar el tema desde el punto de vista de nuestro país. Básicamente la idea fue ayudar.

Manter el sitio no ha sido fácil. En poco más de 3 meses ya cuenta con 20 mil visitas, lo que fue una gran sorpresa al darme cuenta del interés que había en el tema y -sobre todo- la necesidad de que esa información sea transparente.

2) Relacionado con lo anterior, sé que la labor de los portales de seguridad es ingrata pues, cuando descubren una vulnerabilidad, los afectados suelen acusarlos de fomentar que otros individuos aprovechen esos fallos al hacerlos públicos.

¿Qué pasos sigues cuando descubres o te informan de una vulnerabilidad? ¿Cómo suelen reaccionar las empresas en Chile?

Es lo más polémico que debo enfrentar diariamente. En lo personal no me guío por un “manual de las buenas prácticas” o por la “ética del hacker” cuando tengo que publicar una vulnerabilidad, sino que sólo sigo mis conocimientos y mi propio criterio.

Todos los días me siento en mi PC, programo mis softwares para que escaneen algunos servidores conocidos, redes o páginas web y que me devuelvan sus reportes. Cuando encuentro que hay algún problema que afecte la seguridad tomo uno de dos caminos:

1) Cuando la vulnerabilidad es realmente grave y el daño puede ser muy grande, no lo publico y me contacto con las personas encargadas para que corrijan el problema. Esto no es por ética como decía anteriormente, sino que simplemente se trata de que si llegaran a atacar ese servidor me sentiría cómplice por conocer el problema y no ayudar a prevenirlo. Nada más.

2) Cuando la vulnerabilidad encontrada es de bajo o medio riesgo, entonces lo publico por 2 razones:

A) Porque le servirá a los programadores, administradores y webmasters como ejemplo de lo que deben evitar.

B) Porque genera interés y atrae personas al sitio. A la gente le gusta estar informada respecto de estos problemas.

Ahora, en el 90% de los casos de todas formas alerto a los responsables con un correo, sin embargo a las personas no les gusta que sus sitios aparezcan con el título de VULNERABLES, más por un problema de prestigio que por interés en protección de la información.

Algunas personas arreglan el problema y no se dignan enviar de vuelta un correo de agradecimiento (como el Registro Civil o Telefónica del Sur) pero otras personas sí agradecen que se hagan públicos sus problemas para solucionarlos a la brevedad, como los desarrolladores del CMS Prontus (usado en Fonasa, el Senado y varios diarios nacionales), quienes sí me respondieron amablemente por ayudarles a proteger a sus clientes.

Esto demuestra que el hecho de hacer públicos los fallos genera de inmediato una reacción y -en el 100% de los casos- la gente se motiva para dar prioridad a resolverlos.

3) Mientras en la mayoría de los campos de la informática destaca la colaboración (el código abierto es una de las mejores muestras), tengo la sensación de que en el área de la seguridad se da mucho más la competencia, el recelo, e incluso un conflicto de egos.

¿Compartes esta impresión? ¿Será porque el investigador que publica primero un fallo se lleva la “gloria”?

Realmente es así. Muchas personas se sienten glorificadas por descubrir y publicar un fallo de seguridad, pero en general no se trata de profesionales, sino de personas del ámbito underground y hackers.

Sin embargo creo que la razón más importante para este recelo es que se trata de un buen negocio. Actualmente en Chile es rentable dedicarse a la seguridad porque pocas empresas lo hacen y no es poco lo que cobran. Algunas sienten que les estoy echando a perder el negocio y obviamente cualquiera saltaría si su nicho se ve amenazado, ¿no?

Pero también la seguridad informática es desconocida para la gran cantidad de usuarios de Internet en Chile, y son justamente ellos quienes terminan estafados, infectados con virus o hackeados. La idea de Seguridad-Informatica.cl es educar y para esto es necesario tomar ejemplos reales — no para fomentar hackeos, sino para que los usuarios experimenten y comprueben que las vulnerabilidades suelen ser muy peligrosas, aprendiendo de paso cómo evitarlas.

4) Hurgando en el blog de Liberación Digital, me topé con un comentario tuyo proponiendo recurrir al “hacktivismo” -en el sentido de atacar o intervenir sitios públicos importantes- como método de protesta… propuesta que, por cierto, no tuvo buena recepción.

¿Es el “hacktivismo” un método eficaz de presión política? ¿No crees que puede acabar siendo contraproducente?

Jajaja. Eso lo planteé medio en serio medio en broma.

Lo que pasa es que he sido testigo de cómo el Estado le da cero importancia a los datos personales de sus ciudadanos. Hurgando en servidores por ahí, he visto cómo las bases de datos con toda nuestra información anda suelta sin ningún control sobre quien puede o no tener nuestros datos.

En este momento tiendas o bancos de los que jamás he sido cliente poseen mis datos y me envían publicidad u ofertas de créditos. Eso me genera impotencia. No poder ejercer un control sobre la seguridad de mis datos y estar obligado a dejar mi privacidad en manos de un Ministro que dice “sí, vendámosle esto a Microsoft no más”, eso es lo que no me gusta.

Creo que el hacktivismo no es un método eficaz de presión política, pero sí que ayuda a generar controversia. Mira a los estudiantes que debieron generar un movimiento nacional sin precedentes para que el gobierno los tome en cuenta.

El sentido de ese mensaje iba por ese lado, de que en Chile tendríamos que lanzar ataques a servidores y sitios webs para que los responsables de gestionar la información diga: “oh, esta gente existe y quiere algo”.

5) En el mismo sentido, leí algunas páginas donde se te describe como “hacker”, aunque al parecer no te gusta ese calificativo.

¿Es porque el común de la gente relaciona a los hackers con actividades criminales? ¿Cuál es tu concepto de un hacker y cuál es su rol en la sociedad?

Siempre he dicho que no soy hacker y definitivamente es así. Hay una gran confusión respecto a las denominaciones, pero es algo inevitable. Si le preguntas a cualquier persona qué es un hacker, te va a decir que son personas que saben mucha informática y la aprovechan para cometer algún ilícito. Algo falso y -en parte- culpa de los grandes medios que publican en sus portadas que un “hacker le robó el MSN a la Quenita Larraín“.

Pero no es por esto que no me gusta que me traten de Hacker, sino que para mí los verdaderos hackers son los criptoanalistas, esas personas dedicadas a romper o revertir algoritmos matemáticos de cifrado de datos para buscarles vulnerabilidades y así mejorarlos.

Son como en las películas de la II Guerra Mundial cuando los yanquis tenían una sala llena de digitadores tratando de decodificar los mensajes en clave de los Nazi. Estos eran y son los verdaderos hackers. Yo no tengo el conocimiento ni la inteligencia para lograr eso. Soy un investigador de seguridad informática.

Por cierto, el término correcto es CIFRAR, no ENCRIPTAR. Se debe decir “cifrado de datos” y no “encriptación de datos”. Lo último es un anglicismo tomado de “to crypt” que en español hace referencia a poner algo dentro de una cripta… demasiado tétrico.

6) Centrándonos ahora en soluciones, existe hace tiempo un debate respecto de si son los usuarios quienes deben mantenerse instruidos en temas de seguridad o si son los sistemas informáticos los que deben mejorar para hacerse más seguros y automatizados.

El mismo Jakob Nielsen intervenía hace algunos años sugiriendo que las amenazas de seguridad están creciendo de tal forma en cantidad y complejidad, que es absurdo pretender que el común de la gente se mantendrá al tanto de los procedimientos para enfrentarlas, por lo que es labor de los especialistas crear mecanismos de protección transparentes que los protejan. ¿En qué lado de este debate te apuntas?

Ambos. Para un atacante toda la información que pueda recopilar es de mucha ayuda para sus propósitos. De la misma manera tenemos que actuar quienes nos preocupamos de la seguridad informática. Por un lado es vital hacer software y sistemas cada vez más seguros, pero también es muy importante que los usuarios tengan nociones de seguridad ya que son ellos quienes finalmente resultan engañados o estafados.

¿Qué sacamos con instalar 4 cortafuegos (firewalls) perimetrales, implementar VPNs súper seguras, ejecutar aplicaciones bajo HTTPS, cerrar todos los puertos de red innecesarios o cambiar claves automáticamente cada 2 días si al final Carlos de contabilidad (como el comercial de Movistar) va a darle su clave de acceso al sistema de gestión financiera de la empresa a un atacante que lo engañe por teléfono, haciéndose pasar por funcionario de soporte?

7) Por último, ¿qué consejos darías al usuario común y corriente para mantenerse lo más protegido posible ante las amenazas de seguridad?

1) No deje de leer Seguridad-Informatica.cl. Más que hacer promoción al sitio, trato de mantenerlo actualizado y en un lenguaje cercano al usuario que no sabe nada de informática. Por esto en el mismo sitio a veces me tratan de “lammer” por poner cosas muy básicas.

También es la razón por la cual los colores son claros y blancos en vez de negros y rojos. Así un usuario inexperto se sentirá más cómodo preguntando que en un sitio de puro lenguaje h4x0r.

2) La desconfianza absoluta. Desconfíe de todo lo que no pueda comprobar con sus propios ojos. Cuando uno se confía mucho es donde aparecen estos tipos de los celulares diciendo que nos ganamos un Jeep si les compramos una tarjeta de celular y les decimos el número.

3) Haga de la seguridad una prioridad. No deje de informarse o exigir seguridad sólo por dejación.

4) Si sabe nada o muy poco de seguridad informática, consulte con alguien que le guíe o haga una pequeña capacitación. Todos, absolutamente todos quienes trabajamos con PCs -por ese sólo hecho- ya nos vemos afectados por la seguridad informática.

Si usted es de las personas que consulta con frecuencia su estado de cuenta en el banco y usa una red inalámbrica, ¿sabía que no cuesta mucho intervenir esos datos y robarle las contraseñas, aunque vayan en HTTPS?

Ese es el tipo de cosas de las que no debe dejar de estar pendiente.