Este fin de semana se celebró la RootedCon (ES), el mayor evento de seguridad informática de España, y probablemente el evento donde un servidor mejor se lo pasa de todos los que históricamente se celebran año tras año.
En esta edición, la número 11 si los números no me bailan, veníamos además con todavía más ganas, habida cuenta de que en 2021, y por razones obvias, no pudo celebrarse evento presencial.
Así pues, para muchos esta fecha estaba marcada en el calendario como ese momento en el que volver a vernos las caras tras un par de años complicados (la edición del 2020 terminó dos días antes de que nos confinaran), y por allí me dejé caer para seguir aprendiendo de los profesionales del sector, y para compartir anécdotas y tarjetas con muchos viejos conocidos y otros nuevos contactos.
¡Comidas #hackers en #RootedCON que dan la vida!
— Pablo F. Iglesias 💻🛡 (@PYDotCom) March 12, 2022
Las charlas son increíbles, pero sinceramente @patowc @omarbv, lo que más ilusión hace es volver a veros a todos en persona tras estos años de mierda <3
CC @ESFERARED @TheXXLMAN @jmveraortiz y compañía#Rootedcon2022 @rootedcon pic.twitter.com/U0k4inHsEU
A nivel de charlas, como no, volvió a estar increíble. Da gusto pensar que en nuestro país exista un evento con un énfasis tan claro en la calidad, y que sea capaz de compaginar, a mi modo de ver a la perfección, la presencia necesaria de patrocinadores con el interés de la audiencia, eminentemente técnica y «friki», por descubrir nuevas investigaciones.
Y como otros años, no quería pasar la oportunidad para comentar, de todo lo vivido, un pequeño debate que tuvimos al hilo de una simple frase que nos dejó Alfonso Muñoz (ES) en su charla sobre la criptografía de Telegram.
A saber:
«Los NDAs han matado a la cultura hacker».
"Los NDAs han matado a la cultura hacker"
— Pablo F. Iglesias 💻🛡 (@PYDotCom) March 12, 2022
Joder, cuánta razón tiene el bueno de @mindcrypt con esta sentencia.
Cuánta información encapsulada por intereses unilaterales. Y cuánto daño hace a la evolución tecnológica de la sociedad#RootedCON #Rootedcon2022 @rootedcon pic.twitter.com/oxbmC5mJhk
Por supuesto, Muñoz se refería a cómo debido a esos contratos de confidencialidad muchos de los protocolos, y el propio funcionamiento de herramientas tan globales como puede ser un servicio de mensajería instantánea de la talla de Telegram, operaban bajo una suerte de confianza ciega en que sus creadores, en efecto, salvaguardaran la privacidad y seguridad de las comunicaciones.
Precisamente hace una semana le dedicaba una pieza a cómo el código fuente de uno de los programas de la Administración Pública que gestiona el acceso al bono social de España, pagado con dinero público, no era accesible por los ciudadanos, teniendo que fiarnos de que, en efecto, funciona como dicen sus creadores que funciona.
Que incluso ante proyectos de este tipo, liderado por un Pavel Durov completamente concienciado de la importancia que tiene el que la tecnología no esté al servicio de los intereses de un gobierno en particular (recordemos que Durov, el creador de VKontakte, el Facebook ruso, tuvo que vender su participación al gobierno y salir del país al negarse a pasar por el aro dictatorial del Kremlin, y que tejió la base de lo que es hoy en día Telegram desde Dubai, con una arquitectura relativamente descentralizada que intenta proteger los datos de sus usuarios), ha optado por la ya clásica estrategia de la opacidad informativa (que ha demostrado una y otra vez ser un fracaso), siendo hoy en día todo un misterio cómo gestiona realmente los datos su herramienta.
O, al menos, si no fuera por investigadores como Alfonso, que han dedicado semanas a intentar comprender si es cierto todo lo que a priori suponemos (por las pocas declaraciones oficiales que hay sobre el propio servicio) que Telegram es capaz de obtener y tratar de nuestro uso en la plataforma.
Por resumir muy mucho, que quien le interese saber tiene al bueno de @MindCrypt en Twitter para preguntarle, hay parte que es cierta, y otra parte que no tanto, habida cuenta de decisiones en cuanto a métodos criptográficos y distribución espacial de servidores (la mayor parte en Londres y en unas islas del caribe) que podrían no haber sido las más adecuadas.
Pero de todo ello, como decía, me quedo con ese pequeño debate que se esconde detrás del impacto que tienen las políticas de confidencialidad en la industria.
NDAs y cultura hacker
Empecemos por la base, y es que en CyberBrainers, como en el resto de empresas del sector de la seguridad, lo habitual es que cuando comenzamos a trabajar con un cliente, se firme un contrato de confidencialidad o NDA que nos prohibe hablar pública o privadamente sobre aquello que competa al trabajo que realizamos para el propio cliente.
Es por ello que, por esta página, muchas veces nos toca hablar de investigaciones en términos genéricos, sin dar nombres (un cliente nuestro, un caso que nos pasó recientemente…), y ser muy cuidadosos con lo que decimos y lo que no, para evitar que dicha información pueda ser de algún modo identificativa de la persona u organización a la que alude.
Precisamente en otra charla de la Rooted, la de Antonio Sanz, profesional de IR (Incident Response) sobre su trabajo en este sector de la seguridad, aludía a esos NDAs al poner de ejemplo lo absurdo que resultaba intentar hablar de casos reales sin incumplirlos.
———— estuvimos trabajando para ———-. Casi un mes encerrados en las oficinas de ———-, investigando los logs de ————, para darnos cuenta de que el trabajador del departamento de ————– había sido el causante de que el grupo de cibercrimen ————— les hubiera metido el ransomware hasta la cocina. Y gracias a nuestro trabajo, este grupo (—————-) ha acabado ————-.
Ante una incidencia:
— Pablo F. Iglesias 💻🛡 (@PYDotCom) March 12, 2022
-Nunca borrar o apagar.
Aunque sea lo que primero te viene a la mente.
-Pausar máquinas virtuales.
-Bloquear usuarios.
-Quitar cables.
Pero si apagamos o borramos quizás eliminamos las evidencias.@antoniosanzalc @cyberbrainers #Rootedcon2022 @rootedcon pic.twitter.com/bwoFY0fO1Q
Por supuesto, es totalmente entendible que a ojos del cliente, los NDAs sean totalmente obligatorios. A fin de cuentas, y más cuando tratamos temas tan complejos como son incidentes de seguridad o las crisis reputacionales, lo que menos quieres es que a esa consultora que has contratado para que te ayude, acabe divulgando públicamente información del trabajo para el que has pagado, potencialmente generándote una nueva crisis reputacional.
Pero desde la óptica de la cultura hacker, de esa forma de entender el conocimiento como algo de libre acceso que nos permita evolucionar como profesionales y como colectivo, lo cierto es que los NDAs, como pasa con los derechos de autor y las licencias copyright en la industria cultural en general, son más un problema que una solución.
A fin de cuentas, si aquellos que estamos en primera línea luchando contra los malos, no podemos explicar cómo lo hacemos (por eso de tener NDAs firmados con aquellos que nos contratan), ese conocimiento se encapsula, y hasta cierto punto favorece que los malos estén varios pasos por delante.
Y fíjate que hablo de ciberseguridad, pero también de gestión de la información (presencia digital, reputación online…), y en definitiva de cualquier labor informática.
Al sacar este tema en Twitter, muy acertadamente un usuario me decía que no teníamos que verlo como un impedimento, sino como una simple evolución de la histórica figura del hacker.
A día de hoy, afortunadamente, un experto en seguridad puede ganarse la vida haciendo lo que hace unas décadas le hubiera tocado hacer sí o sí únicamente por amor al arte.
Y es cierto, pero esto no encierra un círculo conversacional perverso al presuponer que la cultura hacker es incompatible con el negocio.
Llevo literalmente años diciendo que sueño con el momento en el que un servidor se quede sin trabajo. No porque sea masoca, claro, sino porque de ocurrir, significará que estamos viviendo en un mundo donde no será necesario contratar a una empresa como CyberBrainers para combatir una crisis reputacional, o para tener monitorizados nuestros activos informacionales expuestos en la red.
Quien escribe estas palabras es un buscavidas, así que de llegar ese momento, ten por seguro que encontraré la manera de seguir poniendo un mendrugo de pan tres veces al día en la mesa a mi familia.
Pero como sé que los malos van a seguir jodiéndonos (es su modelo de negocio, recordemos), y que los problemas reputacionales van a seguir ocurriendo, la única razón para que esto acabe por desaparecer en un hipotético mundo futuro es que, en efecto, que toda la industria podamos, de una u otra manera, compartir el expertise de cada uno de nosotros con el resto de la sociedad, competencia y malos incluidos.
Si, de pronto, el grueso de la sociedad-organizaciones supiesen gestionar de forma segura y privada los activos informacionales, el trabajo de los cibercriminales, y de aquellos que sin serlo quieren hacer daño al resto por el los intereses que sean, se complicaría enormemente.
Y en ese escenario, una empresa como CyberBrainers, el trabajo de profesionales como Alfonso Muñoz o Antonio Sanz, y por ende hasta un evento como el de la Rooted, no serían necesarios.
Por el simple hecho de que habríamos ganado como colectivo.
Por el simple hecho de que la cultura hacker ya sería mainstream.
De eso va precisamente lo de ser hacker. De querer compartir. No de pretender que porque nos encante nuestro trabajo, no queramos cobrar por ello.
Un debate que lamentablemente no tiene un corolario universal y halagüeño, ya que sea como fuere, nos va a tocar lidiar con la necesidad de los NDAs y las imprecisiones de aquí en adelante.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.