Si miras al ‘hacker’, no ves el agujero

El mercado de vulnerabilidades (exploits, zero-days, puertas traseras, agujeros que permiten entrar sin consentimiento en un sistema operativo, aplicación o red comercial) no hace más que crecer. Los más peligrosos son los que permiten entrar en los sistemas comerciales de control industrial, como los que fabrican Siemens y Schneider Electric. Pero también son los más difíciles. Los más cotizados son aquellos que permiten entrar en los principales sistemas operativos comerciales (Android, iOS, Microsoft) de forma global, invisible y remota, sin acceso físico al dispositivo. Por eso, la mayor ambición de un adolescente aficionado a la seguridad informática ya no es salir en los periódicos o fichar por Google, Oracle o el Ministerio de Defensa. Es encontrar una puerta trasera a los Android o iPhone para vendérsela por un millón de dólares al NSO Group. La culpa la tienen las autoridades. Explico brevemente por qué.

Históricamente, el incentivo principal de los hackers había sido el prestigio que ganaban encontrando y señalando vulnerabilidades, para verlas parcheadas en lugar de ser explotadas silenciosamente durante años por espías, Estados rivales y ciberdelincuentes de verdad. En un mundo perfecto, los hackers son una capa importante del sistema inmunológico de la Red. Es humillante para las empresas, administraciones y multinacionales cuyos agujeros se destapan, pero las obliga a proteger mejor sus servicios y es más barato que pagar una auditoría de seguridad. Al final, todo el mundo gana. En nuestro ecosistema, sin embargo, el acceso no autorizado a un sistema informático ha sido perseguido como delito, independientemente de su intención.

La escena hacker española es rica en persecuciones y demandas a hackers, perseguidos por denunciar vulnerabilidades. Hay casos emblemáticos como el de Alberto García Illera, demandado en 2012 por denunciar fallos en las máquinas expendedoras de billetes de Metro de Madrid y Renfe, que terminan en absolución, pero después de un proceso disuasorio que contagia al resto de la escena. Tenían que surgir alternativas al martirio y surgieron varias. Por un lado, están los programas de recompensas (bug bounties) que ofrecen empresas como Google, Microsoft, Facebook o Apple por encontrar un agujero de seguridad. Los premios son variables y el proceso requiere entregar el “botín” sin garantía de recibir recompensa. Si rechazan el “producto”, es imposible saber si el agujero fue parcheado o no. Pero al menos sabes que el agujero no caerá en malas manos y que la empresa no tomará medidas legales contra ti. La otra opción es un oscuro mercado de brókers donde se subastan las vulnerabilidades al mejor postor.

El segundo paga más, pero tiene grandes desventajas. Es peligroso, te pueden trincar. Y, si tienes un mínimo de conciencia, nunca sabes si tu botín servirá para que un Gobierno totalitario acose activistas a través de la plataforma Pegasus o para que un grupo organizado de ciberdelincuentes extorsione hospitales durante una pandemia. Pero aún más: no lo puedes contar. El precio de forrarte es que nadie puede saber lo genio que eres y de lo que eres capaz.

La primera regla del mercado de vulnerabilidades es que no se habla del mercado de vulnerabilidades. Un bróker llamado The Grugq dio una entrevista en Forbes contando cómo funcionaba el mercado y presumiendo de ganar un millón al año. Al día siguiente su negocio se esfumó. Hay marcos que trascienden a esa regla. Las empresas como NSO mandan scouts a ciertos congresos de hackers donde se exponen exploits conocidos con la esperanza de vender los más frescos al mejor postor. Pero sabemos que Alcasec, el “ciberdelincuente más buscado de España”, había hackeado a la Policía Nacional, a Bicimad, Burger King y que tenía una base de datos robados de millones de personas porque contaba sus hazañas en el podcast Club 113. La noticia no es que la policía haya detenido a un sofisticado genio del crimen. La noticia es lo frágil que es el servidor donde se guardan todas las causas del Consejo General del Poder Judicial.

Dicen que, cuando señalas, los tontos te miran el dedo. La retórica del “peligroso ciberdelincuente” nos distrae de lo débil que sigue siendo la protección de los datos administrativos en España. En 2017, el Ministerio de Justicia denunció al hacker que había descubierto y denunciado un fallo en la configuración de LexNET, el servicio online del organismo para compartir documentos de los procesos penales. El agujero era tan grave que dejaba todos los ficheros de la administración de la justicia española al descubierto, permitiendo modificaciones, además de acceso a la información. Si seguimos centrándonos en el hacker, en lugar de invertir tiempo, recursos y energía en garantizar la seguridad de las plataformas que recogen nuestros datos, estamos expuestos a peligros mayores que un amigo del Pequeño Nicolás.