Hackers de alquiler: la seguridad absoluta es imposible

hacker privacy password crack access security infringe spy 03
© Gorodenkoff / Shutterstock

Imaginaos entrar en un banco, romper la bóveda y saquear las cajas de seguridad, pero sin el riesgo de ir a la cárcel, solo para comprobar si el robo puede llevarse a cabo... Pues existen personas que hacen ese trabajo, y nosotros hemos hablado con una de ellas, más precisamente con un ex hacker de la NSA. El tema de nuestra entrevista ha sido la seguridad informática en 2019.

Dave Kennedy (@HackingDave) es el fundador y Consultor Principal Senior de Seguridad de TrustedSec, una compañía que otras grandes empresas contratan para piratear sus productos, redes y sistemas informáticos conectados. ¿Por qué? Para encontrar puntos débiles en sus sistemas de seguridad.

El hacker empresario llama a este servicio "consultoría de seguridad informática". Su equipo está lleno de hackers que han hecho de la intrusión en los sistemas informáticos una forma de arte. Para los clientes, las intrusiones de Dave y su equipo a través de su seguridad les permite anticiparse y protegerse mejor contra ataques reales.

Kennedy solía ser un hacker de la NSA. Durante sus días de estudiante, huyó de la educación tradicional, concentrándose en la programación, los ordenadores e intentando desentrañar su funcionamiento. En lugar de ir a la universidad, Dave optó por el Cuerpo de Marines de los Estados Unidos (USMC), que trabaja con la comunidad de inteligencia en operaciones cibernéticas.

dave kennedy trustedsec
Fundador y Principal Consultor de Seguridad de TrustedSec, David Kennedy. / © TrustedSec

Estuvo en el ejército durante cinco años y fue destinado a Irak dos veces, para trabajar en misiones relacionadas con la inteligencia, antes de abandonar el país y poner en marcha TrustedSec. Kennedy también ha testificado sobre ciberseguridad ante el Congreso.

Durante nuestra entrevista, hemos hablado con Dave Kennedy para escuchar su visión sobre los problemas de seguridad a los que se enfrentan algunas industrias en este 2019, a saber: smarthome, conducción autónoma y 5G.

Smarthome

En 2019, cuando parece que todo se está "conectando", un gran problema de seguridad es que muchas empresas son, primero, fabricantes y después empresas de IT.

"Nada es 100% seguro y siempre hay riesgos, especialmente en un mundo conectado", dice Kennedy, antes de explicar que la esperanza es reducir dichos riesgos por adelantado, aumentando la seguridad desde el principio. "Es mucho más difícil hacer frente a las amenazas cuando ya se está en la fase de producción o lanzamiento", afirma. "La práctica más común parece ser lanzar una tecnología lo más rápido posible y encargarse de las implicaciones más tarde."

Kennedy dice que las empresas necesitan hacer más para proteger su tecnología, especialmente en 2019, cuando todo lo que hacemos está directamente conectado a Internet.

samsung smart home
Casi todo en nuestros hogares se está volviendo "inteligente". / © Samsung

Conducción autónoma

Eso no significa que no haya empresas que trabajen al revés. Dave Kennedy, propietario de un Tesla, cita como ejemplo el nombre más grande de los vehículos eléctricos:

"Compañías como Tesla son, primero, una compañía de software, y luego un fabricante. Aunque en el pasado han tenido su propio historial con problemas de seguridad, su respuesta y su capacidad de hacer frente a las amenazas a medida que surgen siempre ha sido excepcionalmente rápida. Otros fabricantes no están listos para este tipo de problema, su reacción es lenta y carecen de procedimientos ágiles para resolver fallos".

La conducción autónoma es uno de los avances tecnológicos más interesantes para el equipo de TrustedSec. Según Kennedy, el aprovechamiento de big data, utilizando dichos datos para que las máquinas aprendan a llevarnos del punto A al punto B revolucionará la experiencia de la conducción.

Dave predice que dentro de 10 años, podremos llamar a un auto que no tiene conductor para que nos lleva a nuestro destino: "Imagínate que ni siquiera tienes un auto, te estás preparando para el trabajo... Presionas un botón en tu dispositivo inteligente y un auto sin chofer te recoge y te lleva al trabajo."

Tesla 3 car 09
Sentarse al volante podría ser cosa del pasado en sólo 10 años. / © NextPit

Sin embargo, hay una trampa: "Para que la conducción autónoma funcione, una cantidad inimaginable de datos tiene que estar en comunicación directa con los fabricantes de automóviles, o la infraestructura que admite esa conducción".

Esto es lo que se conoce como telemetría, como me explicó Dave, y dice que es algo en lo que todos se están centrando. "La capacidad de extraer grandes cantidades de datos y aprovecharlos para tomar decisiones o mejorar una tecnología", dice, es el objetivo. Pero viene con un gran riesgo.

"Estos datos y la protección a su alrededor es una gran preocupación. Si un hacker irrumpe en los servidores que controlan todos los coches autónomos, sería absolutamente posible poner en riesgo flotas masivas de vehículos y, por ejemplo, hacer que todos los coches se salgan de la carretera sin ninguna interacción del conductor".

Dave Kennedy dice que si bien la autonomía va a cambiar nuestra experiencia de conducción, si no protegemos estos sistemas de la manipulación, "va a ser un largo camino para todos".

5G

Los avances en 5G aumentarán la velocidad de descarga, reducirán la latencia y proporcionarán un mejor acceso a los consumidores normales, pero estos beneficios también estarán disponibles para aquellos con intenciones más oscuras. No hay duda de que la 5G permitirá a un hacker acceder a los sistemas más rápido y mantener dicho acceso durante más tiempo. Un problema considerable.

Dave Kennedy ha expresado su preocupación por Huawei y la influencia de la compañía china en las redes 5G, una historia que ha recibido bastante prensa tanto en los EE.UU. como en Europa, pero también ha hablado sobre los problemas de seguridad que se esperan cuando se actualiza una red.

"Siempre que hay un nuevo estándar, la seguridad suele quedar atrás. Espero que haya problemas de implementación con la 5G que expongan directamente las preocupaciones de seguridad o vulnerabilidades a medida que la tecnología se desarrolle".

Añadió que varias empresas están "apostando muchísimo por el 5G", una apuesta por una integración más rápida en los vehículos autónomos y los productos partenecientes a la internet de las cosas. "La mayoría de estas compañías son fabricantes primero, desarrolladores de software después, y generalmente carecen de los controles de seguridad necesarios."

IMG 20181204 092521
Muchas empresas apuestan a lo grande por el 5G. / © NextPit

Dave ve el 5G como una"gran superficie de ataque", en la que la capacidad de establecer comunicaciones rápidas y de largo alcance con dispositivos que tradicionalmente nunca han tenido este tipo de conexiones, creará una exposición significativa para los consumidores.

La informatización del 5G y nuestro creciente apetito por los productos conectados a la internet de las cosas crea más puntos de entrada para una posible invasión. El principio es exactamente el mismo que el de vigilar una habitación: cuantas más puertas y ventanas tenga, más difícil será mantener alejados a los intrusos.

Más sobre el atraco a los bancos

En una entrevista reciente con el podcast de The Guardian's Chips With Everything, la presentadora Jordan Erica Webber le preguntó a Dave Kennedy hasta dónde él y su compañía podían llegar al probar la seguridad de un cliente, y Kennedy le explicó cómo trabaja para algunas de las compañías más grandes del mundo, simulando intrusiones, robos y ataques.

Y cuando digo allanamientos, me refiero a allanamientos de verdad. Irrumpir en edificios, romper ventanas, bloquear puertas y forzar la entrada a lugares con una seguridad supuestamente alta.

TrustedSec y sus clientes acuerdan una serie de parámetros o reglas sobre hasta dónde pueden llegar los hackers. El equipo ha irrumpido en una bóveda de banco, forzando las cajas de seguridad y haciéndose con el contenido de las cajas. Desafortunadamente para ellos, siempre han tenido que devolver el dinero.

A mí me parece un trabajo muy interesante. ¿Qué opináis sobre la seguridad informática en 2019? Compartid vuestras inquietudes en los comentarios.

Artículo siguiente
Sin comentarios
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición