«De vez en cuando ‘viene bien’ un Wannacry»

Entusiasta de los ordenadores desde los ocho años. Interesado por la seguridad IT a los 14. Hacker a los 17. Este gallego de 36 años reivindica el lado más romántico de la figura del pirata informático, calificándose así mismo como un tecnólogo renacentista. «Siempre te dicen que te tienes que especializar en algo muy concreto para ser el mejor de lo mejor. A mí nunca me ha gustado encasillarme, prefiero saber de todo y estudiar de todo. Aparte de la informática, disfruto aprendiendo ciencias y matemáticas porque esto te da una visión más amplia de la vida, viendo cosas que otra gente no ve, porque no sale de su mundo pequeño y cerrado», indica Antonio Fernandes.

Un tecnólogo renacentista acuñado como el arte, o quizás la capacidad, de aplicar a un área de especialización aspectos de otras materias para lograr innovar, hacer las cosas de otra manera.

Esta acepción, aplicada concretamente a la seguridad informática, parece dejar a un lado la cara más técnica de esta materia, fuera del alcance de la mayoría de los mortales. No en vano, Antonio Fernandes recuerda con añoranza sus comienzos en el mundo hacker, allá por el año 95, donde la seguridad aún no se había democratizado en España (el comienzo del fin de la libertad) y la aparición de ciertas herramientas de open source ponían al alcance de cualquiera con un mínimo de conocimientos e interés por el tema retos como el de vulnerar sistemas.

«En las salas de chat, (tan populares en los años 90), nos empezábamos a reunir personas más o menos de la misma edad y con intereses comunes para compartir información sobre seguridad. En aquellos tiempos lo hacíamos por diversión, era todo muy diferente a lo de ahora. No buscábamos fama ni dinero sino superación personal, éramos adolescentes. Las acciones que realizábamos consistían en ver cómo adquirir permisos de administrador sin serlo, conseguir claves por internet, etc… la intención no era destruir sino divertirnos».

El hacktivismo

El movimiento activista conocido como hacktivismo es igual de antiguo que la seguridad informática y los primeros ataques web. Aunque hoy en día este tipo de actividades son más conocidas por los grupos que las protagonizan, como Anonymous o Wikileaks, lo cierto es que sus motivaciones apenas han cambiado a lo largo de los años.

«En España recuerdo acciones como la vulneración a la web del Congreso de los Diputados o al Diario Gara, tras un atentado de ETA. Había gente que quería reivindicar determinados derechos sociales y lo del Diario Gara fue un claro ejemplo de hacktivismo, se quería dejar claro la oposición al terrorismo a través de un medio afín».

Sin embargo, no todas las acciones realizadas por estos grupos tienen tanto apoyo social. Hace unas semanas, con motivo del referéndum de Cataluña se produjo una oleada de ataques de denegación de servicio o DDoS, dentro de la denominada #OpCatalunya, organizada por el entorno de Anonymous.

«Yo respeto lo que hacen y cómo lo hacen pero no pertenezco a ningún grupo hacktivista«, indica Fernándes. Su interés por la comunidad va por otros derroteros, por ejemplo, organizando eventos como Hack and beers, con el objetivo de hacer networking e intercambio de información entre profesionales con los mismos intereses. «Se trata de hacer un evento cada tres meses en diferentes ciudades, estructurado en varias charlas de media hora y luego quedar para hacer cosas juntos como tomar una cerveza. Aquí han surgido oportunidades de negocio, está abierto a todo el mundo y es gratis».

El término hacker

Opuesto a esta idea romántica y de superación que mencionábamos antes, el término de pirata informático ha estado siempre rodeado de connotaciones negativas. Fernandes nos recuerda que, hace unos días, tras años de reivindicaciones por parte del sector de profesionales de la seguridad, la RAE añadía una nueva acepción al término «hacker», mucho más positiva:

«Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora».

Entonces, ¿cómo denominar a aquellos que, haciendo uso de sus conocimientos informáticos, se dedican a robar datos o hacer daño on-line? «El hacker no es un delincuente sino un entusiasta de la seguridad. Alguien, en su momento, quiso poner etiquetas, pero quienes roban y hacen daño no son hackers, son delincuentes». Fernandes matiza que, además, los profesionales de la seguridad se diferencian de los ciberdelincuentes en que su trabajo tiene dos caras, es decir, no solo se dedican a entrar en sistemas sino también a impedir que otros entren.

«La parte de la defensa de la seguridad es bastante sacrificada, ya que tienes que estar muy atento para cubrir los agujeros que haya en un sistema. Mientras que el atacante con descubrir uno de ellos ya te la ha liado y te hace quedar mal a ti, aunque hayas trabajado duro para tapar todas las entradas». «La seguridad no es comprar aparatos caros, es una mentalidad y es necesario en las empresas enseñen a la gente cómo debe comportarse«. Fernandes advierte que los cibercriminales están muy bien preparados y documentados antes de comenzar un ataque, saben a quiénes pueden hacer más daño, por eso es vital que las empresas formen a sus empleados en técnicas básicas de buenas prácticas on-line.

Después de que, en el año 2000, se corporativizara la profesión, «se perdió todo ese ‘buen rollismo’ de quedar y compartir, aunque actualmente se está volviendo un poco a incentivar esto. Aunque suene mal, de vez en cuando, un Wannacry ‘viene bien’ para que la gente se tome en serio el asunto de la seguridad».

«Se tiende a pensar: es que yo no voy a ser objetivo de ataques, quién me va a atacar a ti… Bien, pues sí que van a ir a por todo lo que comprometa a las personas, por lo que hay que tomárselo en serio, aunque hemos notado que ha mejorado un poco la concienciación de las empresas, en este sentido. Incluso a nivel de la administración, el Gobierno se plantea hacer una ciber-reserva, es decir, seleccionar a profesionales del sector que quieran trabajar para el ejército en temas de seguridad IT y hacer un grupo especial. Yo creo que le han visto las orejas al lobo».

Nos despedimos de Antonio Fernándes recordando su extenso currículum: experto en Seguridad de la Información y Redes por la ENISA, profesional nivel Verde en Ciberseguridad Industrial, mentor de la AMCES (Asociación Española de Mentoring y Consultoría del Emprendimiento, Starups y Economía Social y perito judicial en ASPERTIC, entre otras.