La biometría en un entorno operacional - HUGO SUÁREZ CORTÉS

Ingeniero de sistemas egresado de la universidad
piloto de Colombia, especialista en sistemas de información y
profesor de postgrado de la Universidad de la Sabana.
Actualmente se desempeña como gerente general de la empresa de
Tecnología Biométrica MSC Tech S.A. Con presencia en diferentes
países de la región y proveedor de diversos sectores de la economía
como el sector financiero, de la producción y de servicios.
Expositor en el evento nacional biometría 2006, expositor ante las
fuerzas militares de Colombia, expositor en el simposio de
criminalística para las entidades de seguridad del estado.

Muchas gracias por acompañarnos en esta tarea con la benevolencia de la Universidad Piloto de Colombia y con la
invitación en especial para nosotros y en el caso particular de
nuestra empresa y para mi como representante de ella del Club
Networking TIC. Espero poder contribuir en esta charla a
complementar sus conocimientos, porque veo que es un grupo
especializado en diferentes áreas, hay personas expertas en el tema
de seguridad informática, tecnologías de la información, redes,
representantes de empresas de telecomunicaciones, así que es un
auditorio donde espero complementar en diferentes puntos sobre el
tema de biometría.

Nosotros en la empresa hemos tenido la suerte de enfrentar diferentes problemas a la hora de implementar soluciones en
entornos operacionales. Así que el propósito de esta charla cubre
en general diferentes puntos con el propósito de homologar y
asegurar que todos estamos hablando el mismo idioma respecto al
concepto de biometría.

Una primera parte, se hará una pasada simplificada con respecto a la disponibilidad de la tecnología como tal. Qué tipo de
tecnologías y aplicaciones que se encuentran disponibles en el
mercado y que se está utilizando a nivel mundial. De paso vamos a
hacer una revisión al mercado, cómo es su comportamiento a nivel de
la tecnología biométrica en el mundo entero y cuales son las
preferencias de uso de tecnología biométrica igualmente. Luego
entraremos al concepto de seguridad biométrica, donde espero si
ustedes tienen una pregunta poderlas resolver en todos los casos. Y
procuraremos profundizar, si es solicitado por ustedes en algún
punto y espero poder acompañarlos con las respuestas adecuadas.
Luego, generaremos unas pequeñas conclusiones, muy modestas porque
el concepto de tecnología biométrica abarca un marco muy amplio de
aplicación. Así que estas conclusiones están más en un enfoque y un
contexto regional, que en un contexto internacional. Pero si les
puedo dar algunos tips y compartir algunas experiencias en algunos
puntos. Si nos encontramos con un tema que ustedes quieren tocar
aprovechamos y lo profundizamos. No se si alguien venga con alguna
inquietud ya o con la necesidad de resolver alguna pregunta en
particular.

En las generalidades de biometría, el concepto de biometría se refiere a un rasgo biológico único e irrepetible que se puede
medir, para reconocer o identificar la identidad de un individuo.
No se refiere solamente al concepto puro tecnológico, sino se
refiere a ese concepto de la medición de elementos biológicos como
tal.

El DNA es un concepto de biometría, el manejo de la información que está registrada sobre las huellas digitales, la geometría del
rostro como tal, que hacen unas mediciones a las áreas más
representativas en el rostro y esas mediciones son únicas para cada
individuo, la geometría de la mano, la dinámica del teclado, se
dice que existe una manera única de usar un teclado que permite
diferenciar o identificar una persona plenamente, el iris, la voz,
la firma, la retina y existen otro tipo de biometrías como el mapa
de las venas, el modo de caminar también es un diferencial
biométrico, las personas tiene un ritmo para caminar y una
frecuencia en el uso del paso que dan que permiten identificarlas y
diferenciarlas de otras.

¿Cuál es la mayor ventaja de hacer uso de soluciones biométricas?

La primera y más evidente ventaja es que en términos de seguridad, refiriéndonos al concepto de seguridad biométrica y
entornos, el tema de los passwords o contraseñas es algo que el
usuario final conoce y por lo tanto está expuesto a que esté
escrito en alguna parte, o que sea traspasado de una persona a
otra, las tarjetas inteligentes o los tokings o cualquier otro
dispositivo es un elemento que también tiene inconvenientes
respecto a la posibilidad de que cuando se les entregan
dispositivos a las personas para tener acceso a las redes
normalmente los dejan en los escritorios o dentro de los carros, es
un problema a la hora de implementar una solución de máxima
seguridad.

Cuando involucramos el concepto de tecnología biometría es algo que una persona es, en su característica biológica, primero lo
diferencia del grupo de personas que están involucradas en la misma
área de influencia y adicionalmente le da un elemento de manejar su
identidad por si mismo. Es una tecnología que permite especificar
al usuario y es independiente del usuario y del uso o manejo que le
dé, es una característica propia de cada persona.

Si habláramos de huella digital, pero en general en el concepto de biometría, es una solución conveniente, nunca se olvida, no se
puede perder, es fácil de implementar es reconocida globalmente, en
general todos los sistemas de información de personas a nivel de
estado utilizan la huella digital, como un medio de diferenciación
o de reconocimiento. De hecho ya lo hace el gobierno colombiano, y
aquí en Latino América ya todos lo países están utilizando
tecnología biométrica…

PREGUNTAS

Martín Rubio, ingeniero electrónico de Low Noise HG. Regresando en su presentación a la diapositiva donde se
encripta la huella. De lo que usted conoce de los aplicativos
actuales de autentificación biométrica cuando ya el usuario está
enrolado y ya está en funcionamiento el sistema ¿qué parte se
realiza en el cliente? es decir en el lector donde se pone la
huella y ¿que parte en donde están las bases de datos? ¿En que
parte de esa arquitectura está el tráfico en la red?

Hugo Suárez. Eso cambia de una plataforma tecnológica o de un proveedor a otro. También tiene que ver con
modo de implementación que se prefiera. Existen tecnologías
biométricas donde este templarte sale por el dispositivo, por el
cable, únicamente encriptado. Es decir que se hace el proceso y
sale a partir de este momento. Pero yo puedo interrumpir cada uno
de los procesos y lanzarlos a un servidor y es ver el esquema
operacional más conveniente para mi compañía haciendo validaciones
locales o centrales, es un tema que depende de la eficiencia
operacional o de la seguridad. Es todo un componente de definición
de esquemas operacionales.

Julian Casasbuenas, director de Colnodo una asociación que trabaja el tema de usos de nuevas tecnologías. Un
punto que nos llama mucho la atención y por el que trabajamos
bastante es el tema de accesibilidad. Yo he encontrado en este tipo
de soluciones algunos problemas de accesibilidad cuando la persona
tiene alguna herida en su dedo y estos sistemas fallan en algunos
casos. Por ejemplo, hace un tiempo una persona que tenía una de
esas agendas electrónicas que solo se pueden prender con este
sistema no pudo acceder a ella hasta que no estuvo otra vez bien su
dedo. En este tipo de soluciones ¿ustedes han trabajo algo
relacionado con accesibilidad?

Digamos, si una persona que no puede eventualmente utilizar el sistema tiene alternativas o no ¿el tema de accesibilidad se trata
también en este ámbito?

H.S. La respuesta es sí, en términos de tecnologías biométricas. Y ese punto es importante, lo que pasa es
que el tiempo no nos alcanzaba. Una de las problemáticas de
implementar una solución de este estilo es el estado de las
huellas. Todo el mundo tiene una huella, pero hay personas que por
el trabajo que desarrolla están expuestas a que sean borradas
permanentemente. Las personas que trabajan en construcción, que
están cogiendo ladrillos y tirándolos todo el día, pues obviamente
el dedo se inflama, inclusive genera que haya un nivel de
resequedad en los dedos. Hay tecnologías que son más especializadas
o que son más sensibles a la identificación de personas. Pero la
estadística en general, la estadística mundial habla que para que
yo coloque un dedo en un sensor y el sensor me rechace la huella
que yo tenga que volverlo a colocar una vez más es el 0.04 % de los
casos. Claro, cuando uno coloca la huella en un sensor pasa como
cuando uno la entinta. Si uno no la coloca bien cuando la enroló o
la registró por primera vez y luego no siguió ese patrón de uso
digamos hay una curva de aprendizaje en el uso de la tecnología
podría pensar cualquiera de los que esté aquí que eso no es cierto
por que yo he ido a soluciones biométricas pongo el dedo y no me
reconoce. Hay varias consideraciones en la implementación, pero en
general se habla que hay un 0.04% de huellas rechazadas y de ese
0.04% en ciertas tecnologías el 85% de esas, son reconocidas en la
segunda vez, depende de la plataforma tecnológica a utilizar, pero
uno tiene 10 opciones para registrar una huella, si una persona
tiene mal una tiene la opción de registrar otra y la información,
como yo puedo hacer tuning al motor puedo generar parámetros
individuales de evaluación de huellas para huellas de difícil
reconocimiento. Todas esas dificultades se pueden vencer. Cuando el
tema se cierra del todo, como por ejemplo con una persona que no
tiene una mano o ambas, entonces existen, como se sugieren aquí en
estos casos, utilizar otros factores de identificación que van
unidos y así cierra uno la posibilidad que haya una persona o un
grupo de personas en una compañía que no se hayan registrado. Pero
en general hemos trabajado con empresas de la producción, con la
banca con personas de la tercera edad, alguna vez se comentaba que
había unos dispositivos que tenían rechazo sobre personas de color
por alguna característica fisiológica, pero ese tema quedó
completamente resuelto. Pero es una tecnología en evolución y ya
está en un punto de implementación masiva, ya podría pensar que uno
llega a una compañía de 1.500 personas y hay dos que no tiene
huella, y ese es un indicador Colombia.

Jaime Blanco, egresado de seguridad informática del SENA. Me llamó mucho la atención el tema de privacidad, si de
pronto puede hacernos un pequeño comentario.

H.S. Me pregunta que ¿qué pasa con el tema de privacidad? Bueno, digamos que en nuestros países latinoamericanos,
en ese tema de la seguridad y privacidad, la legislación va mucho
más lento. Pero eso no quiere decir que cuando un concepto de
privacidad camine lento, no haya una legislación en el concepto de
privacidad.

En el concepto de habeas data el tema de la privacidad hace referencia a que la única condición que hay que tener en cuenta
como estrictamente necesaria, es que yo le debo pedir autorización
al que le voy a registrar su huella, para el uso de su huella. Lo
mismo que hace una cuenta habiente cuando abre una cuenta en una
entidad financiera, que autoriza para que consulten los
antecedentes. Si yo logro que el usuario, obviamente bajo unas
garantías de uso y de seguridad de datos, me firme y me autorice el
uso de la huella, yo puedo hacer uso de esa huella, en otro momento
no es absolutamente obligatorio. Nos pasó una vez en un edificio,
alguien nos dijo: “yo si no la voy a usar” y los dueños del
edificio le dijeron “aquí se definen las políticas de seguridad del
edificio, si usted no la va a usar, le toca que venda su oficina”
pero digamos que eso atropella un poco. En general si hay un alto
nivel de rechazo de este tipo de soluciones pero es más por
desconocimiento porque todo depende de cómo se ofrece la solución y
como yo garantizo el procedimiento.

Ciberseguridad - Acciones y Estrategias

ROBERTO DIAZGRANADOS DIAZ


Ingeniero electrónico de la universidad
Sanbuenaventura de Bogotá, con maestría en microelectrónica de la
RIMIT University, Melbourne Australia.
Maestría en computer and microelectronic engineering de Victoria
University, Australia.
Actualmente se desempeña como asesor de la comisión de regulación
de comunicaciones – CRC, en donde ha desarrollado proyectos en
temas de ciberseguridad como:
• Proyecto de “recomendaciones al gobierno nacional para la
implementación de una estrategia nacional de ciberseguridad”, con
el objeto de formular recomendaciones al gobierno, para la
consolidación de la estrategia nacional de seguridad
cibernética
• Proyecto para el desarrollo de directrices para la creación de un
CSIRT- centro de atención y respuesta a incidentes de
ciberseguridad de telecomunicaciones en Colombia.
• Primera encuesta CRT de seguridad informática en operadores de
telecomunicaciones 2008.
Actualmente se encuentra desarrollando un proyecto regulatorio
“Aspectos Regulatorios Asociados a la Ciberseguridad” en donde se
consideran las diferentes tendencias mundiales sobre la materia, el
estado actual de redes de telecomunicaciones en el país, las
teorías sobre amenazas, los servicios y mecanismos de seguridad que
son implementados en las redes de telecomunicaciones a nivel
nacional.

Desde marzo de 2007 es miembro del grupo interinstitucional sobre
delito cibernético para la creación del CSIRT colombia del
Ministerio de Relaciones Exteriores.

Contexto general de la ciberseguridad

 En el año 2002, se desarrolló la Resolución 57/239 de UN GA, (United Nations General Assembly),

 En el año 2003, se redacto la Resolución 58/199

Iniciativas internacionales

 La Unión Internacional de Telecomunicaciones. La UIT tiene una larga
trayectoria en lo que concierne a la seguridad y la TIC, y sigue
desempeñando un papel esencial en ese respecto. En la Conferencia
de Plenipotenciarios de la UIT (Marrakech, 2002) se adoptó la
Resolución 150. En 2001, el Consejo de la UIT decidió celebrar la
Cumbre Mundial sobre la Sociedad de la Información (CMSI). La
primera fase de dicha Cumbre tuvo lugar en diciembre de 2003.

 La Organización de Estados Americanos. La OEA mediante la resolución AG/RES. 2004 (XXXIV-O/04) adoptó la estrategia
interamericana para combatir las amenazas a la seguridad
cibernética. La estrategia tomó en cuenta el trabajo de la CITEL
sobre la creación de una cultura de ciberseguridad para proteger la
infraestructura de las telecomunicaciones y aumentar la conciencia
en el riesgo que afrontan los sistemas y redes de información y en
la necesidad de implementar medidas para hacer frente a los riesgos
de seguridad. Consideró también las recomendaciones de la REMJA en
materia de Delito Cibernético y de seguridad cibernética. Consideró
los planes del CICTE para la creación de una red hemisférica de
Equipos de Respuesta a Incidentes de Seguridad en Computadoras
(CSIRT)

Acciones adelantadas

 Año 2007

La CRT publicó para conocimiento del sector y del público en general, el documento titulado “Estudio para la implementación de una Estrategia
Nacional de Ciberseguridad”. El estudio describe los
principales requisitos de seguridad para redes de
telecomunicaciones. Además identificó acciones de carácter nacional
e internacional que se han venido realizando en el ámbito de la
seguridad de las redes de información y comunicación. El documento
refleja que utilización de las TIC debe ser fiable y segura para
generalizar su uso y lograr una mayor confianza de los usuarios.
Para ello, es necesario: proteger la confidencialidad de los datos
y los intereses de los consumidores; mejorar la calidad de las
regionales, así como mantener la interconexión y el
interfuncionamiento de las mismas; Analizar las amenazas (reales y
potenciales) que se ciernen en la seguridad de estas redes, sobre
todo en lo que respecta a la piratería y los virus informáticos en
Internet, y estudiar los métodos que permitan poner fin a los
mismos.

 Año 2008

La CRT publicó el documento “Recomendaciones al Gobierno Nacional para la implementación de una estrategia nacional de Ciberseguridad”.
Este documento identifica caminos para la disuasión del crimen
cibernético. Dentro de los citados elementos se incluye la
vigilancia, análisis y respuesta a estos incidentes.

Recomendaciones de desarrollo de la estrategia, tomando en cuenta las siguientes fases: persuadir a los dirigentes nacionales
en el gobierno, de la necesidad de la acción nacional para hacer
frente a las amenazas y las vulnerabilidades de la infraestructura
nacional a través de los debates a nivel político; establecer un
mecanismo nacional de respuesta a incidentes denominado (N-CSIRT);
establecer mecanismos de cooperación entre el gobierno y las
entidades del sector privado a nivel nacional.

Resultados preliminares - ¿Por qué implementar un CSIRT?

Proporciona elementos de referencia para identificar servicios, políticas y procedimientos apropiados de este tipo de centros que
son aplicables a cualquier sector en el ámbito nacional y en
particular al sector de telecomunicaciones. Es necesario tener a
disposición un equipo dedicado a la seguridad de las TI las 24
horas del día. El equipo ayuda a los usuarios a recuperarse de los
ataques recibidos, con conocimientos técnicos y a su vez, fomentar
la cooperación entre los clientes del grupo atendido.

Encuesta de seguridad

La CRC adelantó una encuesta con operadores de telecomunicaciones sobre el estado de la seguridad informática.
Además permitió examinar la importancia que se le asigna al tema y
cómo se refleja ésta, en los rubros de los presupuestos previstos
y/o ejecutados para la seguridad informática en las entidades
prestadoras de servicios de telecomunicaciones. La encuesta
permitió evidenciar lo siguiente:

 La inversión de los operadores en seguridad de la información está enfocada a la protección de la red y a la
protección de los datos críticos, pero dejan a un lado la
contratación de personal calificado y la realización de pruebas y
evaluaciones de seguridad con regularidad.

 Se deben crear y promover programas de educación formal como especializaciones o maestrías, o bien acceder a
certificaciones internacionales sobre tecnologías informáticas
utilizadas y exigidas a nivel mundial.

 Respecto del interés en el desarrollo de políticas de seguridad, debe incrementarse el interés de los
directivos en el tema y en general.

Tareas previstas - Proyecto Agenda 2009

Debido a que las normas regulatorias vigentes en materia de Seguridad Cibernética se encuentran establecidas de manera general,
se hizo necesario incluir dentro de la Agenda 2009 el proyecto
“Aspectos Regulatorios Asociados a la
Ciberseguridad” que identificara las potenciales
vulnerabilidades que afronta el sector, y a partir de éstas,
determinar tanto las responsabilidades de los agentes del sector en
el mantenimiento de la seguridad de la infraestructura y de los
procesos informáticos asociados a los servicios y a la transmisión
de la información.

El proyecto conocerá la tendencia mundial en normas de seguridad en redes de telecomunicaciones en temas de seguridad en las
telecomunicaciones, Marcos de arquitecturas de seguridad
protocolos, seguridad de gestión de redes, con el propósito de
elaborar recomendaciones para el ámbito nacional. Estudiará las
principales herramientas de seguridad en Internet. Identificará las
diferentes soluciones que proveedores de seguridad están
implantando en el país.

PREGUNTAS

Roberto Diazgranados. Como les comentaba en una de las diapositivas, no se está dando la asesoría o no se está
ayudando al usuario a que se reponga del ataque. En Sur América
todavía estamos atrasados en el tema. En Estados Unidos no sé. En
el campo financiero es bastante promisorio, desde los usuarios
hasta las entidades financieras pueden acceder e informar sobre
ataques y vulnerabilidades que hayan tenido. Por que obviamente, no
existe una regla sobre los ataques cada vez son nuevos y
diferentes. Entonces se necesita que el usuario que las entidades
de gobierno estén trabajando unidos para que se pueda generar un
CSIRT Colombia mucho más sólido.

Abraham Gómez. Al usted decir que a nivel de infraestructura, dependemos de los operadores privados, ¿ahí no
estaríamos cometiendo un error como gobierno? Dejar nuestra
infraestructura en mano de personas que tienen que ver primero una
ganancia económica…

R.D. Por tal motivo como le comentaba uno de los proyectos es Compartel. Compartel no es privado. Otro proyecto
del Ministerio, es el del satélite. No va a ser privado y va a
tener una cobertura del 100% del territorio nacional, también
tenemos que entender que si hay políticas, que son lentas pero que
están trabajando en el tema de apropiación. Que llevan tiempo, hay
que pensar que lanzar un satélite es costoso.

Julián Casas Buenas, de Colnodo. El enfoque del centro de respuestas a incidentes varía de país en país. Brasil es
el país más avanzado en América Latina, después sigue Argentina y
los enfoques son diferentes. Para el caso colombiano, ¿se piensa
posiblemente también llegar a atender y dar solución a estos
incidentes de seguridad sino de pronto atender ciudadano o llegar
también a proveer elementos?… …No vi en esta gran gráfica donde
aparece un gran círculo del ciudadano, el gobierno, etc. donde
puede estar las entidades judiciales que eventualmente puedan
utilizar información, que vengan a ayudar, resolver y atender de
alguna manera o dar respuesta a un incidente, no desde el punto de
vista de la seguridad del sistema sino ir mas allá de dar una
respuesta a la victima que puede ser un ciudadano, que puede ser
una empresa, que puede ser una organización. Yo me he visto en esa
situación, a veces sé perfectamente de donde viene un ataque, de
que país. Hasta este momento aquí el tema de jurisdicción no lo
hemos hablado, pero es algo que está latente en todos los foros
internacionales, en todos los espacios donde se habla de este tema
¿Cómo el país va abordar este tema en la jurisdicción? Si el ataque
viene de Turquía, de donde viene la gran mayoría de los ataques o
por lo menos hasta hace unos meses y ¿Cómo vamos a responder a este
tipo de situaciones?

R.D. Básicamente esta gráfica es para un CSIRT nacional. La nación debe tener varios CSIRT. Este es un ejemplo
para el CSIRT nacional, debe haber una unificación entre el
gobierno, la empresa y el sector académico. Dependiendo del ataque
que realicen, debería existir un CSIRT, dependiendo de la
infraestructura que se esté utilizando. Debe haber un CSIRT de
telecomunicaciones, en caso de tener un problema con una
transacción, o que le hayan robado un mensaje o información de su
celular debe haber un CSIRT que le de información qué debe hacer,
cómo se debe recuperar esa información. Y así para cada uno de los
sectores. Este es un CSIRT nacional, obviamente todos los CSIRT
deben estar interconectados, porque puede que uno de los ataque o
los accesos ilegales no se realicen por una vía únicamente, no sea
por telecomunicaciones, sino por el tipo financiero. Como les
comentaba se está desarrollando este CSIRT nacional, y se están
utilizando todas la s recomendaciones que existen a nivel mundial,
las de la UIT, de la OEA y la idea es que sea lo más solidó
posible. Pero normalmente si las entidades privadas o la academia
no apoyan seguramente se van a generar vacíos y dentro del mismo
gobierno si se descuida desde el punto de vista financiero pues no
se va a implementar nunca.

Pero la idea básicamente, es que desde el momento que se desarrolle el CSIRT va ayudar a los usuarios, va a dar información
y va dar lo más importante que es ayuda a restablecerse después del
ataque.

CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática

(samuraiblanco) ingeniero de sistemas de la
universidad EAN de Bogotá, cuenta con las especializaciones de
gerencia de proyectos de ingeniería y gerencia informática de la
misma universidad, así mismo es especialista en seguridad de redes
y especialista en seguridad de sistemas operativos de la
Universidad Ouberta de Catalunya, donde actualmente cursa la
maestría en seguridad informática. Trabaja desde 1993 en el
Ministerio de Defensa Nacional de Colombia donde se desempeña como
asesor en tecnología y seguridad.

Consultor en seguridad de la información, socio fundador y actual gerente de SentinelNet Limitada, moderador global en la
comunidad Dragonjar, ha sido representante de Colombia ante la
Organización de Estados Americanos - OEA en el taller sobre la
implementación de la red hemisférica de equipos de respuesta a
incidentes de seguridad cibernética; forma parte de las mesa de
trabajo gubernamental para la creación del cirtisi-colombia,
condecorado con la medalla militar “Ministerio de Defensa Nacional”
en la categoría única “Servicios Distinguidos”; se ha desempeñado
como instructor en diplomados de voip y seguridad e integración de
redes.

 

Hablando de la temática de seguridad es muy importante saber responder y responder en el tiempo adecuado ante las amenazas que
puedan existir en el campo cibernético y ojalá se pudiera ser tan
proactivos para responder antes de un ataque cibernético.

¿Qué es un CSIRT?

Equipo de Respuesta a incidentes de seguridad informática (Computer Security Incident Response Team).
Término acuñado a finales de los noventa.

Abreviaturas para el mismo tipo de equipos

 CERT o CERT/CC: equipo de respuesta a emergencias informáticas / Centro de Coordinación (Computer Emergency Response
Team). Término registrado en EE.UU.

 IRT: equipo de respuesta a incidentes (Incident Response Team).

 CIRT: equipo de respuesta a incidentes informáticos (Computer Incident Response Team).

 SERT: equipo de respuesta a emergencias de seguridad (Security Emergency Response Team).

Algo de historia

El 2 de noviembre de 1988 hizo su aparición el primer gusano (gusano informático) en Internet: Morris Worm. Durante unas horas,
aproximadamente el 10% de todas las máquinas de Internet se vieron
afectadas por ese gusano.” Tomado de Wikipedia.

El mundo se da cuenta de la necesidad de cooperación y coordinación entre administradores de sistemas y gestores de TI
para enfrentarse a este tipo de casos. Días después del caso Morris
la DARPA (Defence Advanced Research Projects Agency O Agencia de
Investigación de Proyectos Avanzados de Defensa) crea el primer
CSIRT: el CERT/CC ubicado en la Universidad de Carnegie Mellon, en
Pitsburgh (Pensilvania).

Tipos de CSIRT

Es importante saber cuál va a ser el entorno de actuación y cuales van a ser sus usuarios. Es por esto que se distinguen los
siguientes sectores:

 Del sector académico: prestan servicios a centros académicos y educativos, como universidades o
centros de investigación, y a sus campus virtuales. Grupo de
clientes atendido: personal y los estudiantes de esos centros.

 Comercial: prestan servicios comerciales a sus clientes. En el caso de un proveedor de servicios
de Internet, el CSIRT presta principalmente servicios relacionados
con el abuso a los clientes finales (conexión por marcación
telefónica, ADSL) y servicios de CSIRT a sus clientes
profesionales. Grupo de clientes atendido: por lo general prestan
sus servicios a un grupo de clientes que paga por ello.

 Del sector CIP/CIIP: se centran principalmente en la protección de la información vital (CIP) y de
la información y las infraestructuras vitales (CIIP). Por lo
general, estos CSIRT especializados colaboran estrechamente con un
departamento público de protección de la información y las
infraestructuras vitales. Estos CSIRT abarcan todos los sectores
vitales de las TI del país y protegen a los ciudadanos. Grupo de
clientes atendido: sector público; empresas de TI de importancia
fundamental; ciudadanos.

 Del sector público: presta servicios a agencias públicas y en algunos países, a los
ciudadanos. Grupo de clientes atendido: las administraciones y sus
agencias. En algunos países también prestan servicios de alerta a
los ciudadanos.

 CSIRT interno: únicamente prestan servicios a la organización a la que pertenecen, lo que
describe más su funcionamiento que su pertenencia a un sector. Por
regla general, estos CSIRT no mantienen sitios Web públicos. Grupo
de clientes atendido: personal y departamento de TI de la
organización a la que pertenece el CSIRT.

 Del sector militar: prestan servicios a organizaciones militares con responsabilidades en
infraestructuras de TI necesarias con fines de defensa. - Grupo de
clientes atendido: personal de instituciones militares y de
entidades estrechamente relacionadas con éstas.

 Del sector de la pequeña y mediana empresa (PYME): organizado por sí mismo que presta
servicios a las empresas del ramo o a un grupo de usuarios similar.
Grupo de clientes atendido: pueden ser las PYME y su personal o
grupos de interés especial.

 De soporte: se centran en productos específicos. Suelen tener por objetivo desarrollar y
facilitar soluciones para eliminar vulnerabilidades y mitigar
posibles efectos negativos. Grupo de clientes atendido:
propietarios de productos.

CSIRT nacional

Un CSIRT nacional se considera un punto de contacto de seguridad de un país. En algunos casos, el CSIRT del sector público también
actúa como punto de contacto nacional.Grupo de clientes atendido:
Este tipo de CSIRT no suele tener un grupo de clientes directo,
pues se limita a desempeñar un papel de intermediario para todo el
país. Desde otra perspectiva también puede servir como el “equipo
de respuesta de último recurso”:

“si es necesario informar un incidente de ciberseguridad y no es claro dónde reportarlo, el informe se puede presentar ante este
CSIRT, que lo remitirá al equipo de respuesta adecuado para su
manejo o suministrará algún nivel mínimo de apoyo.”

Herramientas de tratamiento de incidentes

Ahora aquí vamos a hablar de herramientas, porque hemos hablado de la organización, hemos hablado de que hace un CSIRT. Básicamente
hay unos 3 o 4 grupos de herramientas, grandes grupos utilizados en
los CERT o CSIRT

Hay la herramienta de tratamiento de incidentes, seguimiento y rastreo a los mismos, como ejemplo tenemos el de RTIR aquí tenemos
la dirección Web, (ver documento de presentación), que es gratuita
y de código abierto. Se requieren herramientas de CRM. Una
herramienta de CRM comercial es una tecnología supremamente
costosa, afortunadamente tenemos soluciones como Sugar Force o
Sugar CRM.

Hay otras herramientas para verificar información, el siguiente es un ejemplo. Esta es de carácter comercial y ésta es comercial y
gratuita (ver documento de presentación), ¿por que esto de
verificar información? es importante que cuando se presente o se
reporten los incidentes nosotros filtremos (ver en la presentación
cuando se habla del proceso de triage). Cuando se hacen los
reportes, muchos de esos pueden ser falsos. Por eso, una de las
primeras fases que se hacen es verificar la procedencia o los datos
de quien hace el reporte, verificar si el que está al frente del
correo si es quien dice ser, si tiene un historial o huella en
Internet de la persona o entidad que está haciendo el reporte.

Esto es importantísimo; toda la información que se trate contra otro o dentro de un mismo CSIRT debe ser cifrada o encriptada, aquí
tenemos algunos aplicativos que se pueden utilizar, este es
gratuito, este es la versión comercial (ver documento de
presentación). Aquí al final de la diapositiva se encuentran la
direcciones Web donde se encontrarán muchos más ejemplos. Para
búsqueda de información de contacto, tenemos estas direcciones Web
y estas herramientas que ya habíamos mencionado (ver documento de
presentación).

Etapas básicas para la creación de un CSIRT

La primera fase es cuando no sabemos absolutamente nada de nada.

Viene una primera etapa de educación. ¿Qué sucede? ¿Cómo funciona un CERT? ¿Cuál es su filosofía? Y todo ese tipo de cosas.
Le sigue la fase dos de planificación: ¿Qué servicios voy a
prestar? ¿Qué sector voy a cubrir? Después de la fase de
planificación viene la fase de implementación. Ya es cuando se hace
realidad lo que se ha diseñado en esta parte. Luego de la fase de
implementación es muy probable que se encuentren algunos errores o
algunas falencias en nuestro diseño, entonces se vuelve a hacer un
proceso de retroalimentación mediante educación y se pasa a
inmediatamente a la fase cuatro que es realmente la fase de
operación.

Es ahí cuando se pone en producción el CERT. La fase de colaboración es muy importante. Decíamos que hay diferentes CERT,
tanto CERT dentro de un país como CERT internacionales.

Cuando se ejerce un ataque pueden haber técnicas de puenting, es decir que se utilizan diferentes servidores ubicados en diferentes
situaciones geográficas y por ende pasando por diferentes
jurisprudencias, con diferentes actores judiciales, diferentes
gobiernos, y pues esto es un enredo. Entonces, se debe hablar el
mismo idioma, tener un sentido de cooperación para aunar esfuerzos
y dar solución a los ataques. Una cosa muy bonita de esto es que,
yo voy y pido ayuda y créanme que si, los otros CERT están
dispuestos a colaborar y a aportar. Pero también tengo la
obligación de realizar mi mejor esfuerzo en colaborar cuando ellos
lo requieren. Es así que cuando ya se ha madurado esta fase de
colaboración ya se pasa a una fase de expertice.

Ya ha madurado el CERT, y es cuando tiene diferentes relaciones con diferentes CERTS a nivel mundial.

Este es un mapa de los CERTs a nivel mundial. Estos CERT son los que están registrados ante el CERT de la Universidad de Carnegie
Mellon, de pronto pueden haber CERT que no están registrados y por
eso no aparecen en este mapa. Sin embargo, si colocáramos los de
Colombia, siguen siendo muy poquitos (ver documento de
presentación).

Ya para finalizar, me habría gustado mostrar cómo es la página Web de un CERT. Para mostrar cómo se presentan los servicios, qué
información se muestra, cuál es la funcionalidad. Dejaré unas
direcciones Web en la diapositiva, les recomiendo el CERT español,
son muy buenos sus servicios. Discrepo un poco en algo que se dijo
anteriormente, para mi los mejores CERT en Latinoamerica son el
argentino y el uruguayo. El uruguayo por el tamaño del país atiende
un espectro muy pequeño, sin embargo en algunas capacitaciones o
algunos encuentros que he tenido con gente del CERT de Uruguay, de
verdad que los ataques que tienen son bastante sofisticados.
Entonces digamos que no es interesante por lo grande del CERT sino
por la calidad y la sofisticación tanto en defensa que tiene, así
como por la calidad y sofisticación de los ataques que atienden. De
todas maneras, en Brasil hay dos, uno de gobierno y uno privado y
también son muy buenos.

Muchísimas gracias, ¿no sé si tengan preguntas?

PREGUNTAS

David Santana, Hay muchas herramientas de seguridad, como los antivirus, los anti spywares, ellos tiene sus bases de datos de
virus. De alguna forma ¿los CSIRT o CERTs se comunican con los
prestadores de estos servicios comerciales para que las incidencias
se manejen coordinadamente o cada uno trabaja por aparte?

Leonardo Huertas. La idea es que estas casas fabricantes, estas firmas, se apalanquen en los tipos de ataques
que hay para subsanar de acuerdo con su rango específico o en su
campo de acción y atender estas necesidades.

De hecho Symantec apoya mucho lo que es el CSIRT de España. Pero igualmente es una relación directa con los CERT. Sobre todo hay un
organismo como se veía en la diapositiva anterior con la que
finalicé mi presentación, la primera dirección era una que decía
FIRST (www.first.org).

El FISRT es una comunidad de CSIRT a nivel mundial. Es una convención donde se reúnen los CSIRT y las casas fabricantes una o
dos veces al año, y entre todas las cosas que hacen, una de las
áreas temáticas de las mesas de trabajo es la que precisamente
estás preguntando. De pronto algo que quería comentar y que se me
escapó durante la charla es que en Colombia tenemos CERT, ya casi
sacamos el de las fuerzas militares, ya casi sacamos el CSIRT
nacional. Hay algunos esfuerzos bastante interesantes, por ejemplo
en la Universidad Distrital existe el COLCSIRT dirigido por Zulima
Ortiz. Está, más en una fase de alertas, de comunicados, ayuda y
está en interacción con el CSIRT de Brasil y de España y cuando se
presentan algunos incidentes, son ellos los que dan el comunicado a
las entidades directamente afectadas. Existió el caso donde la
empresa X que estaba recibiendo ataques de una empresa Y en
Colombia, entonces lo que hicieron fue comunicarse con la empresa
Y. Desafortunadamente no recibieron el respaldo de la empresa, pero
recordemos que el espectro de un CSIRT académico son las entidades
académicas, los centros de investigación. Es ahí como nosotros como
estado tenemos que propender para que se les dé más fuerza a estas
iniciativas.

Jaime Blanco. El Ministerio de Educación o el Ministerio de Comunicación le dan charlas gratuitas al ciudadano
del común. Nosotros aquí tenemos conocimientos previos sobre el
tema y entendemos de qué nos están hablando. Pero la señora, la
viejita que manda por Internet una carta o chatea con la nieta,
¿esas personas ya tiene en Colombia la posibilidad de tener acceso
a aquella seguridad informática? No tanto a la CSIRT que es una
parte importante…

L.H. Yo trabajo concretamente en el Ministerio de la Defensa. En respuesta a tu pregunta puedo decirte que si hay
algunas campañas educativas, de pronto no con la fuerza que
nosotros queremos o pretendemos. Pero si existen iniciativas como
por ejemplo Internet Sano, y hay algunas campañas educativas que no
necesariamente son face to face, como por ejemplo el CAI virtual.
Afortunadamente la empresa privada también ejerce espacios para
eso, por ejemplo este es un espacio donde se apoya la capacitación
para seguridad.

De todas maneras con el CSIRT nacional, uno de sus servicios va a ser apoyar a los otros CERT y generar la cultura a nivel nacional
precisamente para eso. Por que es una de las grandes fortalezas, o
una de las grandes estructuras, o de las grandes bases para poder
generar un adecuado nivel de seguridad en el país.

José Julián Rojas. Me interesó mucho el tema. Me gustaría saber ¿ante quién se registra o quién avala a nivel
internacional o nacional los CSIRT?

L.H. En realidad tú puedes crear un CERT en tu casa. Pero obviamente necesitarás una infraestructura, necesitarás
prestar servicios, necesitarás que alguien te crea. Cuando se habla
del FIRST, se habla de una comunidad de CSIRT, y tiene una
membresía bastante costosa. Pero no se requiere que tú estés
afiliado al FIRST para hacer un CERT. Cuando se hablaba de la
universidad Carnegie Mellon se hablaba de la necesidad de solicitar
un permiso para utilizar la palabra CERT. La empresa privada no
requiere pedir permiso para crear un CERT. Por lo menos en Colombia
actualmente eso no se da. Dentro del diseño de la planeación que
estamos haciendo para la creación del CERT nacional hemos evaluado
concretamente ese punto. Es decir, ¿avalamos nosotros la creación
de otros CERTs?, lo que está claro es que vamos a apoyar a los que
se creen, pero vamos a ser nosotros los que digamos tiene la
autorización para crear un CERT ¿o no?.

De hecho la idea es que haya bastantes CERTs, porque a más fuerza, entonces mayor capacidad de respuesta. Pero en realidad no
necesitas permiso para crear un CERT, depende de la calidad y de la
efectividad, de la eficacia con la que ejerzas tus servicios y el
público al que atiendes.

¿Qué es en realidad un hacker - MARTÍN A. RUBIO C.

Términos más acertados son los de Black Hat y White Hat (sobrero negro y sobrero blanco). se considera la persona
que utiliza su conocimiento para obtener beneficios de forma ilegal
son consideradas Black Hat y el que hace investigación para
obtener mayor conocimiento sin hacer nada ilegal es un White Hat.
Hay que tener en cuenta que en el medio de estos dos existen muchos
tonos de grises.

Se dice que un hacker gana mucho dinero, pero eso del todo no es cierto porque no hay mucha forma de evidenciar si eres hacker o no.
Uno puede bajar archivos de Internet, encontrar la clave de correo
de la novia o de alguien más, pero eso no es ser un hacker.

Existen cientos de grupos y enlaces que resultan cuando se busca hackers en Colombia, y la verdad después de 15 años de experiencia
no reconozco a ninguno como tal.

El hacker en la historia

El hacking empezó por la pasión por el conocimiento de cómo funcionan las cosas. Originalmente el hacking existe hace mucho
tiempo y en Colombia precisamente por lo que somos un país
subdesarrollado como mecanismo de evolución todos los colombianos
somos muy recursivos y eso para nosotros es hacking. Hacking es
buscarle solución a los problemas, es encontrar una oportunidad y
aprovecharla. Obviamente hay una moral ligada a ello y si lo
utilizo consciente de que estoy perjudicando a otros no es lo mismo
que haga un descubriendo interesante que beneficie a todo el
mundo.

Ya en cuanto a tecnología, el hacking arrancó con el phreaking o hacking de los sistemas telefónicos en su momento fijos. Hoy en día existe phreaking en telefonía celular,
satelital, etc.. El más famoso es el Capitán Crunch, que hoy día
tiene como setenta y pico de años. Él descubrió que las centrales
telefónicas (que hoy en día son muy similares), en el fondo son un
computador grandísimo, podía manipularlas, administrarlas a través
del diseño de una interfaz por la cual uno podía desde un teléfono
por medio de tonos hablarle a la central. Esas centrales todavía
funcionan en algunos sitios como Colombia. Así vayan migrando a
versiones más nuevas sigue habiendo los mismos problemas. Hay más
seguridad en algunos campos, pero realmente la seguridad como tal
no existe. En esa época yo podía levantar el teléfono y oprimir
ciertos tonos específicos y la central sabía que yo le estaba
hablando a ella y podía solicitarle que hiciera cosas para mí.
Cuando uno está marcando un teléfono está dándole una orden tal
cuál, está diciendo márqueme a este número y ese número para ella
quiere decir comuníquese con tal central. Cuando por ejemplo marco
2111111 inmediatamente la central sabe que yo estoy tratando de
comunicarme con una central de taxis, me ubica la más cercana a
donde yo estoy ubicado y me envía el servicio, pero eso solamente
es en marcada, hay millones de funciones.

Hace mucho tiempo, no funciona ahora, las empresas internacionales mantenían enlaces muy grandes para interconectarse,
por ejemplo cuando ustedes llaman a Bélgica ¿Quién cobra la
llamada? A ustedes les cobra Telecom, ustedes están utilizando
circuitos y equipos de la telefónica de Bélgica pero ellos no les
cobran a ustedes y si su prima en Bélgica los llama desde Bélgica
pasa al revés, Telecom está prestando acá servicios pero no le está
cobrando nada por eso. Lo que hacen o hacían las empresas de cada
país eran acuerdos entre ellas diciendo: este canal que vamos a
aponer entre Colombia y Bélgica dando un ejemplo, lo pagamos entre
los dos, lo usamos entre los dos yo cobro lo que sale de aquí y
usted cobra lo que sale de allá. Y si de Colombia hay llaman 200
personas y de Bélgica una, pues de malas para telefónica de Bélgica
y viceversa ese era el acuerdo que ellos hacían y hacían estudios
para que fuera equitativo. ¿Que pasa con esa línea entre la central
de Colombia y la central de Bélgica? Es gratuita para ellos, la
central puede tomar la línea en cualquier momento. Si yo tengo el
control de la central le puedo decir présteme esa línea y yo voy a
marcar a Bélgica gratis y cuando ustedes veían en las películas que
un atacante llamaba a un país, bueno ahora se usa Internet, pero en
esa época hacían llamadas de un país a otro y de ese a otro y así
sucesivamente es a través de este método de phreaking telefónico se tomaba control de todas las
centrales. Por ejemplo tomo control de la central de aquí y marco a
Bélgica, tomo control de la central de Bélgica y llamo a Turquía,
tomo control de la central de Turquía así a 4, 5, 6 países, después
me llamo a mí mismo a otro teléfono y estoy hablando alrededor de
todo el mundo conmigo mismo. Esa gente hacia cosas curiosas para
aprender cómo funcionaba el sistema, hasta ahí nada era ilegal.

Después entraron los delincuentes informáticos a usar esto para su beneficio. Por ejemplo, montaban una línea caliente, iban a ETB
y les decía: señores ETB yo quiero una línea que si alguien me
llama por favor cóbrele $2500 + IVA por minuto, $2000 son para mi
$500 para ustedes y cada mes me pasa la factura. Entonces las
empresas colocaban la línea y al final de mes se pasaba un listado
de las llamadas recibidas y se hacia un balance: tanto es suyo,
tanto es mío.

Entonces esta gente montaba sus líneas y a través de centrales telefónicas por todo el mundo se llamaban a sus líneas calientes y
dejaban días completos conectados, entonces al final del mes ETB
decía tome su cheque por equis millones de pesos, esto es suyo esto
es mío y listo, gracias por sus servicios pero en realidad nadie
había llamado. Desde luego la compañía no se ponía a mirar de donde
eran las llamadas.

Después eso evoluciono al hacking de hardware con la revolución de tratar de convertir un servidor o convertir un equipo de cómputo
potente como el de las empresas en un equipo casero, ahí empezó el
famoso computer underground o’clock, ahí estaban Steve Wozniak,
Steve Jobs, Bill Gates, un montón de gente conocida y montón de
gente que parecería desconocida pero salió a fundar Atari, juegos
de maquinitas, Apple, y muchas empresas pequeñas de computo
salieron de ahí a desarrollar software como Microsoft y en realidad
solucionaron el problema. Quiero tener un computador en mi casa,
quiero hacer un computador en mi casa, así solo tenga tres switch
que prendan tres bombillos y no haga nada más. Esa curiosidad hizo
que la gente hackeara la tecnología de cómputo para así poder
tenerla en su casa.

Más adelante en los últimos 10 años se puso de moda la ingeniería social o social engineering. La persona más famosa es Kevin Mitnick. Él
tenía unas habilidades excepcionales para sacarle información a la
gente, cuando no lo estaban persiguiendo. La pasión de Mitnick era
la telefonía, pero como no tenía mucha habilidad técnica y quería
saber de telefonía, trataba de meterse a sitios de telefonía a
robarse programas e información. Y en una de esas incursiones se
encontró con quien no debía y lo empezaron a perseguir. Cuando lo
atraparon él llevaba muchos años escapando a punta de ingeniería
social. Por ejemplo un juez daba la orden de “chuzar” la línea del
padre de Kevin, para saber donde estaba cuando él llamara. Como
Mitnick tenía conocimiento del sistema telefónico y tenía la
capacidad de hacer ingeniería social, de conocer toda las
“jeringonsas” de los operarios del sistema telefónico, llamaba con
toda la propiedad y decía: “soy el operador de la central tal,
estamos en estado tal y necesito hacer un cambio en su central
porque nos llegó la orden de un juez y la orden estaba mal y aquí
tengo a tres personas del FBI, reclamando que cambie esa “chuzada”
y le respondían “si perfecto no hay problema”. Si le pedían las
claves, él ya las tenía. Pero finalmente lo que le metió en
problemas fue eso, que levanto la “chuzada” del teléfono de su
padre y se la puso al juez que había dado la orden inicial.

Eso es el hacking de personas, es vulnerar la confianza de una persona y eso es muy común. Hasta hace dos, tres años todos éramos
extremadamente vulnerables a que nos pidieran la clave de Internet
y uno la daba sin ningún problema.

¿Quién no es un hacker?

La gente que se hace pasar por hacker habla de lo que no conoce a fondo, enseña o tratar de enseñar o le gusta que le enseñen. En
la comunidad hacker uno nunca enseña ni pide que le enseñen, porque
las características de un hacker básicas son la disciplina y
dedicación, es importantísimo tener autosuficiencia y ser
autodidacta. Entonces nadie me va a enseñar lo que yo necesito
aprender. Me pueden guiar, me pueden decir léase esto o monte esto
y pruebe que pasa. Entonces uno mismo está aprendiendo, pero nadie
se va asentar de la mano a decirle mire haga estoy haga aquello. En
los 15 años que vengo trabajando seguridad informática creo que he
dictado más de cien cursos de diferentes temas, y si ahora cogemos
a todas las personas que han asistido y les pregunto todo lo que
hablábamos en los cursos, seguramente no recuerdan ni el 10%. Es
muy diferente que le “enseñen” a uno a que uno mismo se enseñe.

Tomar créditos por otros, ser creído y arrogante con el conocimiento, saber bajar herramientas de hacking de Internet y
hackear sitios no requiere mayor habilidad, saber programar no hace
a un hacker, es una característica importante y necesaria en
ciertos puntos para ser un hacker, pero no necesariamente. Tampoco
saber de sistemas operativos como Linux. Todas esas son cosas que
sumadas van aumentando la capacidad de ser hacker, pero no
necesariamente son requisitos y no lo hacen a uno un hacker.

¿Quién es un hacker?

Para nosotros un hacker es una persona que siente un pasión especial por un tema en particular, tanto que está dispuesto a
todos los días a aprender algo nuevo de ese tema, no necesariamente
tiene que ver con tecnología, puede ser un hacker en astronomía o
en arquitectura por ejemplo o en física por decir algo, es querer
saber más, es querer ver cómo funcionan las cosas hoy, y ver cómo
puedo ampliar ese conocimiento.

Que si hace un hacker:

Resuelve problemas y construye cosas sobre cualquier tema, para nosotros el mundo está lleno de problemas fascinantes para ser
resueltos. Ningún problema tendría que resolverse dos veces, él
ejemplo típico es: hace unos años intento ser vegetariano, a veces
como carne pero intento no comer carne y descubrí en Avianca (una
aerolínea colombiana) que si uno vuela y avisa que es vegetariano,
le tiene un menú especial. Pero yo lo descubrí de otra manera, yo
iba en un vuelo, no había avisado que era vegetariano y me dio la
curiosidad de decir que yo era vegetariano y preguntar que si
tenían un menú vegetariano. Bueno vamos a averiguar, fue la
respuesta. A todos nos habían dado, yo obviamente lo rechacé, un
sanduchito mínimo, con una tajadita de queso una tajadita de jamón
y una hoja de lechuga. Me pareció un poco pobre para un vuelo de 4
horas. Entonces pregunté por el vegetariano por si de pronto tenía
algo más, dos hojitas de lechuga, no sé... y me trajeron un plato
gigantesco con una ensalada de frutas, con una ensalada de
verduras, galletas integrales y otro montón de cosas. Obviamente
toda la gente que estaba sentada alrededor mío ya no me quería,
pero había descubierto cómo funcionaba el sistema, no era
equitativo para los no vegetarianos. Entonces de ahí en adelante
siempre pido vegetariano y termina uno comiendo más que lo que le
planeaban dar por el precio que uno pago.

Hacking es buscar soluciones a problemas sencillos del día a día. Ningún problema tendría que resolverse dos veces. Si yo estoy
implementando cualquier cosa, algo tecnológico o en mi casa tengo
que cambiar un bombillo y me toco diseñar una escalera diferente o
lo que sea, si yo lo soluciono, la idea es tratar de publicar los
resultados para que el que tenga el mismo problema mañana, lo
solucione en 5 segundos y se enfrente a la siguiente parte del
problema y cada vez tengamos más conocimiento.

Si yo me siento 6 días, 6 meses o 6 años a solucionar un problema y después alguien se encuentra con el mismo problema y
tiene que volver a hacer todo lo que yo hice, entonces no estamos
avanzando, estamos todos como la teoría del cangrejo colombiano. Si
dejamos un balde lleno de cangrejos del primer mundo, europeos o
gringos y nos vamos, van a tratar de escalar y a hacer pata de
gallina, cuando uno vuelve a la media hora el balde está vació. Si
está lleno de cangrejos colombianos, al primero que empiece a subir
los demás lo cogen de una pata y lo jalan y cuando uno vuelve a las
tres horas, está todo lleno porque ninguno deja salir a ninguno. La
idea es que todos nos colaboremos.

Si estás aburrido no tienes actitud de hacker. Un hacker siempre está pensando en algo. Yo tengo un problema en los ojos que es
estrabismo, uno de los músculos de mis ojos jala más, generalmente
para arriba. Entonces yo estoy o mirando para arriba o estoy
agachando la cabeza para miraros. Por ese problema la gente piensa
que cuando estoy mirando para arriba no estoy haciendo nada. Lo que
pasa es que yo desarrollé esa enfermedad desde muy pequeño desde
antes de tener dos años. Para mí es como si apagaran el monitor. Yo
estoy pensando a dentro en otra cosa. La idea es que uno tiene un
estado semicatatónico en el que si no está concentrado en el que
tiene al frente, está concentrado en algo más.

La idea es que si uno se considera hacker, todo el tiempo se debe estar tratando de resolver algún problema. Puede ser ¿cómo
pagar el recibo del agua o del teléfono?, pero es un problema que
necesita solución. Técnicamente, buscamos a toda costa la libertad
en todos los sentidos como el software libre y ese tipo de
cosas.

Requerimientos para considerarse un hacker

Primero se requiere aprender los conceptos básicos, es decir si yo quiero aprender a hacer un cohete, lo primero es aprender que
existe ya la formula y no empezar a solucionar el problema de cero.
Ya alguien tuvo que haber trabajado en eso. Entonces es necesario
aprender los conceptos que existen.

Segundo, entender el estado del arte, qué es lo más avanzado que hay afuera en este tema. Si ya sé hacer cohetes con agua, gas y
ahora quiero hacerlo con explosivos o algo así (no sé si sea legal
o no), siempre ver que es los más avanzado que hay afuera y a
partir de ahí desarrollar soluciones nuevas y si se logra un avance
interesante, tratar de publicarlo, eso es opcional porque hay temas
de los que no es fácil hablar. Pero la idea es tratar de publicar
todo lo que uno encuentre para ayudar a los que vienen atrás.

Y no considerarse un hacker, hasta que un verdadero hacker lo llame a uno así. No hay que autoproclamarse.

Certificaciones de hacker

Existen en el mercado un montón de certificaciones para ser hackers, que dicen si usted toma este curso, paga 400 dólares, se
sienta aquí dos horas y si pasa es un hacker. Obviamente después de
ver todo lo que les he hablado antes, para nosotros esto es una
cachetada, no estoy en contra de las certificaciones es muy
probable que a mí me toque tomar varias de estas porque para el
mercado son útiles, para una empresa no es lo mismo que le llegue
un pelado de bachillerato y diga “yo sé hackear porque leo el
correo de mi papá”. Yo les hago esa prueba de penetración cuando
llega una persona diciendo yo tengo esta certificación. Así por lo
menos se, dé que me está hablando cuando usted le dice hágame unas
pruebas sin negación de servicio. Esto le garantiza al mercado, por
lo menos a las empresas, que la persona que están contratando sabe
de qué le están hablando. No le certifica que sea un hackers, pero
por lo menos certifica que es alguien competente o medianamente
competente en el tema. Son útiles porque el mercado las va a
pedir.

Si uno quiere hackear ¿cómo puedo empezar?

Primero, identificar si realmente se tiene la vocación y dedicación necesarias. En LowNoise HG mucha gente se nos acercan y
nos dicen “yo quiero aprender a hachear” nuestra respuesta siempre
va a ser: proponga un tema de investigación que le parezca
interesante, nosotros le apoyamos con todos los recursos que
podamos, conocimiento, equipos etc. Y a partir de eso usted va a
producir nuevo conocimiento y nosotros vamos a ver qué ¡tan buen
hacker es! Mucha gente empieza y no llega ni a la mitad... las
excusas son múltiples “es que yo tengo mucho trabajo”, “es que no
pude”, “estuve ocupado”.

Yo presté servicio en la armada en Estados Unidos y un cuento que echo muchas veces y a todo el mundo cuando me dice que no tuve
tiempo es este: En la naval uno siempre llegaba a formación
temprano para inspección, uno debía estar bien afeitado, bien
vestido, con el uniforme, los zapatos. Yo estudié ingeniería
nuclear y teníamos unas horas absurdas de trabajo, entonces cuando
nos preguntaban ¿Por qué sus zapatos no están bien embolados? Y
respondíamos “No tuve tiempo, es que estudie hasta las tres de la
mañana”, ¿Usted durmió anoche? ¡Sí, sí señor! ¡Ah! entonces si tuvo
tiempo. Ese es el tipo de dedicación que se busca. Si uno realmente
quiere hacer esto, hay que estar apasionado.

Hay que tomar el tema de hacking como un hobby, todo el mundo que entra y me pregunta yo quiero ser hacking, es porque quieren en
el termino de 6 meses o 6 días, tener un trabajo en seguridad
informática y mucha gente que me dice yo quiero ser hacker, me está
diciendo en el fondo “déme trabajo”, no sé nada, enséñeme y déme
trabajo.

Hay que tomar esto como hobby. Por ejemplo, yo trabajo única y exclusivamente con sistemas operativos, redes, también hacking,
pero de eso nunca me verán hablar en una charla, mi día a día es
vulnerar equipos operativos, equipos de red, mostrarle a los
clientes que tan vulnerables son y qué problemas tienen, nunca me
verán hablar de eso en mis charlas, porque mis charlas están
limitadas a lo que hago a fuera de mi trabajo.

Si uno tiene la vocación uno le encuentra tiempo a todo, si uno dice quiero hacer una investigación con animales y la saca adelante
así sea con lo que toque, así haya planeado demorarse 2 meses y se
demore 6 pero la sacó adelante es un buen indicio, pero si dice que
se demora 6 meses y al mes y medio dice ¡no! no puedo pues es un
mal indicio. Uno mismo tiene que llegar a esa conclusión, nadie le
va a decir oiga usted no está rindiendo.

Evaluar las razones de por qué se quiere ser hacker

Si quiere ser hacker, porque quiere tener mucha plata, está empezando por el lado que no es.

Hay que adoptar la mentalidad de hackers, el mundo para todos nosotros es un universo que está lleno de problemas fascinantes que
resolver. Es tener la capacidad de buscar quien ya se ha enfrentado
al mismo problema y si lo soluciono tener la capacidad de
implementarlo y ver como complementarlo. No aburrirse, exigir y
ejercer libertad en todo aspecto.

Aprender a programar a lo menos un lenguaje de programación por lo menos los más comunes o los que se están usando ahora como C,
python, perl, ruby, lisp, es opcional pero recomendable,
obviamente estamos hablando de hacking de tecnología.

Aprender a utilizar a fondo software open source, especialmente sistemas operativos, esto hace 5 años era impensable
preguntar en una audiencia bueno ¿cuantos acá utilizan Linux en el
computador de su casa? ¡Nadie! Hoy en día ya por lo menos la gente
ha trabajado en Linux, en la universidad, en el trabajo, eso es un
gran paso.

Aprender por lo menos un idioma extranjero, recomendable inglés o chino. Inglés porque de nuestro lado del mundo es la comunidad un
poco más avanzada en estos temas, generalmente los problemas ya
resueltos están en inglés y chino ¿por qué? ¡Porque son más! Hay
mucho chino. Si uno busca la solución a un problema generalmente el
25% de páginas de respuestas esta en inglés y el 70% o más están en
chino. Así que si uno supiera chino encontraría más soluciones
ingeniosas.

¿Cómo avanzar?

Obtener respeto y con el tiempo hay que darse a conocer, para que más gente empiece a ser hacking, hoy en día ser hacker trae
consigo una reputación. Sin embargo, hay que saber como obtener
reputación y que la reputación obtenida sea realmente la que se
desea. Mucha gente que empezó a investigar hace mucho tiempo, creó
la reputación que no debía y están fuera del país o en la cárcel.
En realidad no son delincuentes informáticos, sino son hackers o
investigadores que no supieron manejar el enfoque de su
reputación.

¿Cómo se obtiene respeto?

No se obtiene dominando a otros o hackeando a otros. Ser apuesto o adinerado no funcionan, bueno a mi no me funcionan. Se gana
respeto única y exclusivamente entregando el tiempo, entregando
creatividad, resolviendo problemas de otros, no solamente los de
uno y obteniendo resultados de acuerdo a las habilidades,
reconociendo a qué nivel de problemas se va poder enfrentar. Entre
otras, también sirve ayudar a probar y mejorar software open
source, publicar información útil, no estar conforme con un
rango estrecho de habilidades, como les decía, ahora yo trato de
hackear muchas cosas que me apasionan, no solamente lo que hago en
mi trabajo, sino también otras líneas, sistemas electrónicos,
armas, entre otros.

La idea es descubrir cuáles son esas pasiones que se tienen y en todas empezar a hacer hacking. Se puede llegar a ganar dinero pero
no debe ser el objetivo. Como les decía, el hacking debe ser como
un hobby. No se me ha presentado la primera persona que me diga “yo
soy arquitecto o albañil o panadero o economista y quiero hackear
en mi tiempo libre, quiero seguir trabajando en mi profesión” y me
diga “no quiero vivir de esto, lo que quiero es aprender, aprender
a hachear”. Eso para mí sería muy chévere. Yo por eso enfoco mi
hacking que público y muestro a todo el mundo las cosas que no hago
nunca en mi trabajo.

Escribir correctamente el idioma nativo es muy importante. Poder hablar y tener una conversación inteligente y escribir
correctamente en su idioma para poder explicarles a otros sus
investigaciones y los logros alcanzados.

Leer ciencia ficción, entrenar artes marciales, estudiar alguna disciplina de meditación, desarrollar oído analítico para la
música, apreciar el sarcasmo y los juegos de palabras, este entre
otros aspectos que deben tenerse en cuenta para ser un verdadero y
buen hacker.

Mi mejor consejo para los que quieren empezar o avanzar en el tema de hacking es: nunca, pero nunca crea nada de lo que
encuentren en Internet, en libros, ni siquiera en esta charla, todo
lo que usted vea debe comprobarlo el 100% de lo que le llegue a sus
manos, solo así podrá tener las herramientas necesarias para
resolver ingeniosamente cualquier problema.