Un ingeniero en sistemas especializado en seguridad informática cuenta ciertos detalles sobre el rubro que capitaliza la constitución misma de las empresas en el siglo XXI. La delicadeza del asunto, la larga experiencia en empresas multinacionales, la vulnerabilidad de la información en la era de su acopio, procesamiento y posventa hacen creer al entrevistado, con firmes motivos digitales, que lo mejor es permanecer anónimo. Desde la escasa formación de los soldados en las trincheras contra hackers hasta la sustracción invisible de los videos privados de quienes llevan con ingenuidad sus computadores a un service, estas son algunas de las confesiones de un cazador de hackers.
I
En general los «encargados de seguridad informática» en las organizaciones no poseen conocimientos ni preparación para llevar a cabo las tareas de prevención, detección, corrección y adecuación de los múltiples sistemas que (hoy en día) cualquier organización medianamente informatizada tiene.
II
En su momento, un ex-empleado de una entidad bancaria (hace muchos años) aprovechó la fiesta de fin de año de la firma para realizar transacciones fraudulentas y enriquecerse rápidamente. Por lo general, las estafas en las organizaciones son realizadas por los mismos integrantes, que conocen los «puntos flojos» de las mismas. Esto no quiere decir que muchas de ellas sufran ataques externos, pero no suelen ser publicitados dado que no hay legislación al respecto y, mucho menos, capacidad de imponerla si la hubiese.
III
Si se conociera la identidad del «hacker» más respetable de la Argentina sería por una de dos razones: a) Está preso b) No está preso, pero delató a sus «conocidos» y ellos sí lo están. Por lo pronto en la Argentina no hay una actividad masiva o «pesada» al respecto, y no se compara a la escena de Brasil o México O sea, si «de-facear» el INDEC es hackear… es porque no hay hackers.
IV
En lo general, no conozco empresas que tengan en sus Gerencias de SI personal capacitado, en particular en la industria financiera se juega a la avestruz. Se esconde la cabeza a los problemas potenciales, se pagan los problemas puntuales y se ignoran los problemas futuros. Un ejemplo, las vulnerabilidades en los ATM son conocidas, pero las entidades prefieren pagar a los damnificados que solucionarlas. En el caso de robo de identidad, no hay líneas para denunciarlas las 24 hs., o sea que si te roban información crediticia, no hay oportunidad de denunciarlo o hacer nada hasta el día siguiente. Finalmente, le transfieren a los usuarios/clientes la responsabilidad de la seguridad, a través de tarjetas de coordenadas y otras medidas de autenticación bastante prehistóricas.
V
El riesgo que corre alguien que logre vulnerar (o sea, acceder) a un «lugar importante»… supongo que podría ser encarcelado, según la legislación vigente, pero la verdad es que no se conocen casos al respecto. Tal vez, como hacen países un poco más evolucionados, es usar el conocimiento de la persona para su propio beneficio, a cambio de imputarle una causa penal por violación de sistemas informáticos. De cualquier manera, si el trabajo está bien hecho y definido, las probabilidades de hacer un análisis forense son muy reducidas, no por falta de pericia de los Forenses (que tienen mucha, a mi entender) sino porque probablemente un ataque de ese estilo no se haga público y, por ende, las posibles evidencias desaparezcan.
VI
Yo creo que no hay más que una voluntad para que los videos se «filtren» y, haciendo un poco de historia, Pamela Anderson lo hizo hace más de 10 años atrás, la publicidad es buena y no es ningún crimen… así que todos ganan. En general, las personas que «pierden» los videos son «profesionales» que saben que están siendo grabadas y para qué… con lo cual, no vale la actitud de «no sabía» o «me lo robaron del celular»… Sobre cómo sacarlo, no requiere mucha pericia, dado que el trabajo en informática no está profesionalizado (cualquier persona que usa Windows puede ser Jefe de Sistemas en este país) no hay que hacerse responsable por nada de lo que pase en un sistema de terceros, y mucho menos lo relacionado con la información. Sería el equivalente a un script kiddie pero «arreglando» la computadora de un tercero.