Chema Alonso, el hacker de Telefónica: “Los ataques informáticos más peligrosos no salen en los medios” [FW Entrevista]

por

10 posts

El hackerman más conocido de España nos contó sobre las corporaciones, ataques informáticos complejos, y sobre irse de vacaciones en la víspera del Wannacry.

José María “Chema” Alonso es un hombre sencillo. Fanático de los comics, informal, de pelo largo y respuestas directas. Nadie podría pensar que es el director y responsable de uno de los centros de ciberseguridad más grandes del mundo -ElevenPaths- y que abrió, de la mano de Telefónica, un Centro de Operaciones de Seguridad en Chile, capaz de proteger a cientos de pequeñas y medianas empresas en el tema de la seguridad informática.

El dato no es menor: más de 200 empresas ya estaban trabajando con Telefónica en materias de seguridad, principalmente en análisis de la información, detección de problemas altamente recurrentes en clientes como el phishing, y protección de datos sensibles de entidades bancarias, políticas, económicas y gubernamentales.

Para Chema esto es pan de cada día. El español es Ph.D en Seguridad Informática y lleva años en la lucha contra el malware desde la vereda de lo que se conoce como “white hat hackers“, o piratas que buscan hacer la internet más segura para todos. De hecho el mismo Chema trata de dejar afuera ese prejuicio del hacker como algo negativo, como nos contó personalmente.

FayerWayer: Tu fuiste hacker.

Chema Alonso: Sigo siendo hacker.

FW: Claro, pero desde una perspectiva más corporativa…

ChA: Para nosotros un hacker es un investigador de ciberseguridad. No tiene nada que ver con los cibercriminales. Los hackers son personas que investigan, que llevan la tecnología más allá de los límites para los que inicialmente se creó, y que publican. En mi caso yo llevo 15 años publicando mis trabajos en papers, conferencias, y esto no tiene nada que ver con los cibercriminales que utilizan técnicas incluso muy antiguas para conseguir sus objetivos.

FW: ¿Es entonces una buena carrera ser “el hacker corporativo”?

ChA: Los grandes hackers están trabajando en grandes empresas. Casi todos son perfiles muy demandados en el mundo corporativo: grandes hackers como Tavis Ormandy que es un exploiter -busca vulnerabilidades y hace exploits para sacar fallos de seguridad al software- está trabajando en Google. Charlie Miller, famoso por hackear por primera vez el iPhone y tomar control remotamente de un auto, es un Ph.D en Matemática y es el responsable de Uber. Moxie Marlinspike, que tiene su empresa -Whisper Systems- fue el responsable de seguridad de Twitter y hace el sistema de cifrado de Whatsapp para el equipo de Facebook. Es decir, no es raro encontrarse a los grandes hackers en las empresas tecnológicas, y además son muy demandados. Y cuando te gusta la tecnología, y te gusta llevarla a límites, lo que te gusta realmente es tener la oportunidad de hacerlo en el corazón, en el centro de la tecnología. Yo oía al principio [aquí en Telefónica] a gente de marketing que hablaba “tenemos que poner toboganes, como en Google, y a gente de talento para que la creatividad fluya”. Yo decía “mira, cuando un ingeniero llega a una empresa como Telefónica, que está en el corazón de internet, lo último que quiere es tirarse por un tobogán.” ¡Pues eso ya lo hice ocho años! Ahora lo que quiero es que me dejes los servidores, los routers, déjame estar dentro de la red que quiero crear tecnología.

FW: De un tiempo a esta parte, me imagino que has sentido que el panorama de la ciberseguridad ha ido cambiando. Pasamos de virus informáticos de una escala no tan peligrosa como gusanos, a ataques -como los ransomware- que ponen en jaque no sólo a usuarios base sino que a grandes corporaciones. ¿Sientes que quizá la ciberseguridad se ha vuelto más “peligrosa” o compleja a lo largo del tiempo?

ChA: Ha ido cambiando mucho la motivación por la que se producían estos ciberataques. Inicialmente hablábamos del ego, por la capacidad de resolver un problema, o por la posibilidad de hacerlo. Hemos ido viendo que se han ido profesionalizando a medida que aparecían ataques a nivel estatal -como el ciberespionaje- pero los más peligrosos son los que se producen contra las empresas por grupos cibercriminales muy organizados. Muy lejos de Wannacry, que no deja de ser un ataque de “poca calidad técnica”, porque estaban reutilizando dos piezas que eran conocidas antes y el software no era especialmente complicado: no tenía técnicas de ofuscación, no tenía técnicas de persistencia, etcétera. Y por ello no ha supuesto ningún beneficio al final para las personas que estaban detrás. Los que a nosotros nos preocupan de verdad son los que afectan a nuestras empresas y en ese caso no estamos hablando de casos que llegan a los medios de comunicación, estamos hablando de los famosos APT (Advanced Persistent Threat) donde los atacantes eligen muy bien cuál es su víctima. Estudian muy bien la empresa. Estudian muy bien el directorio. Saben exactamente quién es la persona que tiene la firma para hacer las transferencias bancarias. Saben exactamente quién es la secretaria de esa persona que tiene acceso a la aplicación. Saben exactamente si esa empresa tiene un segundo factor de autenticación en su sistema de gestión interna. Le roban la identidad a esa persona, se meten dentro de la red y durante algún tiempo están monitoreando, para una vez tener toda la información hacer daño o robarse dinero. Esos son los que realmente nos preocupan y no salen en los medios de comunicación. Y de esos, por desgracia, vemos muchísimos continuamente. Las empresas están tardando en promedio seis meses en darse cuenta que alguien ha conseguido estar dentro de la red y está monitoreando desde adentro. Y están en equipos que están sin controlar, están en el firmware de una impresora, en el software de una cámara, en cualquier sitio. Esos son los realmente importantes y que están incrementando el nivel de complejidad día a día. Cada día usan herramientas más avanzadas, más complejas y más difíciles de detectar, y es por eso que nuestros equipos están muy preocupados de esos ataques, y van a ir cada vez a más.

FW: El caso de WannaCry y el ataque a Telefónica fue muy mediático. Te encontró de vacaciones, y de hecho lo tuiteaste…

ChA: ¡Mis vacaciones salieron en un periódico de portada nacional! (risas)

FW: Bueno, sabemos que ataques como los APT son mucho más peligrosos, y bastante menos mediáticos. ¿Te ha tocado vivir alguno en Telefónica?

ChA: Desde nuestro Security Operations Center tenemos que lidiar con ataques muy complicados contra empresas periódicamente. Y cuando se produce un APT contra uno de nuestros clientes ahí si que tenemos que poner la máxima atención. Estos centros de operaciones tienen una “sala de crisis” y no por casualidad: la tienen porque en ese momento necesitas traer especialistas de red, de reversión de malware, incluso profesionales externos que sean capaces de explicar cosas, como por ejemplo si tienes un ataque a un software concreto y es uno que no conocemos, llamamos al fabricante de ese software, le ponemos un avión, le traemos a la sala de crisis para entender que es lo que puede estar haciendo uno de estos ataques. Y cuando se consigue detener y bloquear, por ejemplo, el robo de dinero, o saber quién lo estaba haciendo y echarlo, es uno de los éxitos que nos reconforta, porque hemos sido capaces de detectar un ataque de los peligrosos en nuestros clientes.

FW: Uno de los puntos que nosotros sentimos controversiales es el monitoreo de datos por parte de empresas, que es parte de los servicios de este centro. También, y a modo personal, el “hacktivism” es loable para mostrar las fallas de ciertas empresas, como en el caso del retail, o el mal servicio al cliente, o las demandas de sus trabajadores. ¿No es poco ético ponerle el ojo a estas iniciativas con tu software?

ChA: No, ni mucho menos. Nosotros proveemos herramientas de análisis de información masiva. Como tu bien has dicho, muchas empresas utilizan esa información para analizar las quejas de sus clientes. Imagina el retail: el responsable de las tiendas a nivel mundial no tiene consciencia de lo que está pasando en una pequeñita tienda en China o en otro sitio. Para ellos, analizar el sentimiento de las redes sociales y saber que están dando un pésimo servicio a un cliente en una determinada ubicación es una información muy valiosa. No necesita que haya un revuelo mediático para eso. Por desgracia en las redes sociales no sólo vemos movimientos ideológicos con un activismo positivo hacia mejorar las cosas que están mal, sino que vemos a gente que hace amenazas de muerte, gente que dice que va a poner una bomba, que está comprando nitroglicerina, que está pensando dónde se puede comprar armas en internet… el uso es masivo. Hemos visto a gente que ha matado -o se ha suicidado- en streaming en directo. El uso es ahora mismo un canal más que para las empresas se usa de manera positiva, no para atentar a la libertad de expresión.