“Cada vez resulta más fácil hacerse ‘hacker”

RYAN FLORES | experto en nuevas ciberamenazas

Comenzó como uno más entre los cientos de informáticos, sentado en su pequeño puesto separado por paneles, analizando uno a uno emails dudosos. Ahora Ryan Flores (Manila, 1982) es director de Investigación de Amenazas de Trend Micro para Asia y Pacífico, y lidera un grupo internacional de expertos en ciberseguridad. Están ubicados en distintas partes del globo, como una red de alerta que avisa de cualquier movimiento extraño en el flujo de datos mundial.

“Lo primero es que tenemos que tener muy buena reputación en el equipo”, afirma con convicción. “Piense que con mucha gente no trabajo cara a cara, a más de la mitad de mi equipo casi nunca los veo, pero tengo que creer que hacen lo correcto”. Y es que la ciberguerra, en el lado de los buenos, debe librarse en buena lid. Son muchas las prácticas que, aunque eficaces, están vetadas: todas las acciones que decida tomar deben considerarse defensivas. “Por ejemplo, si el hacker ha dejado abierto el servidor, podemos conocer los contenidos, pero eso lo hacemos porque ha dejado el sistema abierto y sin protección. En cambio, nunca usamos ataques de fuerza bruta [la forma de recuperar una clave probando todas las posibles] cuando investigamos. De hecho, contamos con el respaldo de un equipo legal que verifica si lo que hacemos se considera algo defensivo u ofensivo”.

Qué mejor hacker que el que se ha arrepentido y desea pasarse al lado luminoso del cibermundo, ¿no?

No (sonríe), no lo aceptaríamos en nuestro grupo.

Pero serían muy útiles…

Algunos hackers se han convertido y son muy útiles, sí. Por ejemplo, Malware must die, que es un colectivo de antiguos piratas informáticos que ahora se dedican a la investigación de seguridad. Publican los resultados, los hallazgos, y ofrecen buena información.

Lo primero para identificar a un ‘hacker’ es fijarte en los errores que comete”

¿Se llega a pagar a veces a cibercriminales para que ayuden?

Nuestra política es que no se paga jamás a un cibercriminal. Intentamos tenderles trampas, (ríe), pero nunca pagamos. Intentamos contactar con ellos, disuadirlos…

¿De qué forma cambiarán las ciberamenazas en el futuro?

Sufriremos amenazas cada vez más regionales. Estamos empezando a ver algunas muy, muy locales, que se dirigen a objetivos igualmente locales y afectan solo a gente muy concreta. La tecnología que se usa, sin embargo, no es nueva.

¿Y por qué aumenta el interés en estos objetivos específicos?

Porque el hacker conoce los mecanismos de seguridad de ese país concreto, de un banco específico, y sabe cómo vencerlo.

¿Cómo consigue una empresa global detectar ataques tan específicos?

Muchas veces, por el [aumento del] tráfico de datos. Por eso tenemos expertos en big data en el equipo. Necesitamos gente que sea capaz de trabajar con un volumen grande de datos, que encuentre la aguja en el pajar. Tenemos algunos mapas de calor que muestran las zonas donde está transfiriéndose un volumen sospechoso de datos y hacia allá apuntamos.

Igual que hablamos de paraísos fiscales para el dinero, ¿hay países donde se almacenan datos de manera masiva fuera de las regulaciones y de la supervisión internacional?

Sabemos que hay algunos proveedores de servicios, que llamamos bulletproof hosting [alojamiento a prueba de balas], que son conscientes de que los clientes los usan para cometer cibercrímenes, como almacenar credenciales e identidades robadas, pero hacen la vista gorda. Algunos de estos proveedores que están dedicados solo a eso.

A pesar de esa creciente localización, ¿sigue habiendo áreas del mundo especialmente peligrosas?

Sí, usamos un término para referirnos a esos países. Los llamamos ruscranianos: para Rusia y los países [cuyos gentilicios en inglés] acaban en -ians.

Pero ¿no sigue siendo la tarea de atribuir un ataque algo muy difícil de conseguir? ¿No se imitan unos grupos de hackers a otros?

Sí, y para identificarlos necesitas tiempo. Lo primero es fijarte en los errores que cometen, que resultan lo más característico. También nos fijamos en cómo varían, a veces para confundirnos y a veces porque están experimentando. Se da el caso de equipos que colaboran con otros en un ataque concreto.

 ¿Tienen ustedes bases de datos secretas de hackers?

Sí, tenemos perfiles en nuestras bases de datos.

¿Y no las comparten?

A veces, si nos las requieren, con Interpol. En casos muy particulares, avisamos nosotros y les decimos: “Esto es algo en lo que pueden trabajar ustedes, puede interesarles”.

¿Y con compañías de la competencia?

A veces sí. Intercambiamos favores.

¿Es una comunidad formal?

No, pero a veces creamos un grupo especial con quien compartimos nuestros hallazgos.

¿Puede ponernos un ejemplo?

Sí, el caso del ransomware de la Policía. Colaboramos con otras compañías. También en el caso de CriptoWall 3.0. 

He visto a operadores [‘hackers’], realmente estúpidos, que no saben nada de la técnica, y que le tienen que preguntar al tipo de soporte: “Oye, ¿cómo uso esta herramienta? ¿A qué botones les tengo que dar?”

¿Es cierto que la imagen del hacker como persona extremadamente inteligente es exagerada? Quiero decir, ¿está de acuerdo que en el mundo solo hay unos cuantos cientos de hackers que crean herramientas, el software malicioso, y que hay miles los que las explotan, ensamblando piezas ya existentes?

Es verdad. Hay solo unos cuantos programadores, que son los que crean las herramientas que luego venden a los operadores, que generan el malware y lo distribuyen a las víctimas. He visto a operadores, realmente estúpidos, que no saben nada de la técnica, y que le tienen que preguntar al tipo de soporte: “Oye, ¿cómo uso esta herramienta? ¿A qué botones les tengo que dar?”. Es coste de entrada en este mundo es muy bajo.

¿Y eso es una nueva tendencia?

Empezó hace 3 o 4 años, pero cada vez resulta más fácil hacerse hacker

Hispanista revivido.