De professió, hacker: com viure d'atacar empreses per ajudar-les a defensar-se
En calçotets i descalç, Xavi Márquez era a casa dels seus pares, suant davant l'ordinador de la seva habitació.
Era una tarda del mes de juny passat, amb una calor de rècord, i la llum del teclat retroil·luminat se li reflectia a les mans. Sobre una pantalla fosca, en Xavi va teclejar dhs.gov.
Estava a punt de hackejar la pàgina web del Departament de Seguretat Nacional dels Estats Units (DHS).
El DHS és la institució que ha de respondre a tots els ciberatacs que reben les infraestructures crítiques del país: xarxes elèctriques, centrals nuclears, preses d'aigua, agències governamentals... Aquell dia, el mateix DHS era l'objectiu de l'atac i qui l'atacava, des d'Igualada, era un noi de 25 anys.
En Xavi és hacker professional, o un furoner, tal com es coneix també en català un "apassionat per la informàtica" amb un "gran coneixement" i "interès per a explorar-ne les característiques i per a posar a prova les seves habilitats", segons el Termcat. Cal diferenciar-lo del pirata informàtic: un hacker no es dedica automàticament a activitats delictives.
De fet, en Xavi treballa lícitament en una empresa privada de consultoria en ciberseguretat i, abans, havia treballat a l'Agència de Ciberseguretat de Catalunya.
El terreny on se sent més còmode és el vessant ofensiu de la ciberseguretat: és especialista a utilitzar els seus coneixements tècnics per trobar les escletxes que permeten accedir a les parts restringides d'un sistema informàtic: les carpetes internes, amagades als ulls dels usuaris, on es guarden dades personals dels usuaris, credencials per iniciar sessió, usuaris amb permisos...
Aconseguir aquest accés permetria a qualsevol ciberdelinqüent robar informació delicada, fer que deixi de funcionar el servei o segrestar-ne les dades. Però el Xavi és un hacker ètic.
Aquell dia de juny, en Xavi buscava vulnerabilitats en una de les infraestructures més ben protegides del món, i en va trobar una de crucial, i perillosa. Un forat de seguretat crític que va deixar d'explorar a temps, quan va començar a veure que li permetia accedir a llocs prohibits i veure coses que el DHS volia mantenir secretes.
La seva feina ja estava feta: un cop detectat el problema, en va informar els responsables i aquests el van solucionar per impedir que cap ciberdelinqüent l'aprofités.
Hi ha una clara confusió: la gent etiqueta un hacker com una persona maliciosa, i un hacker és una persona que es dedica a buscar vulnerabilitats i reportar-les èticament. És un apassionat de la ciberseguretat.
La proesa tècnica va ser de les grosses i la seva feina va estalviar maldecaps molt greus als Estats Units. Aquest estiu, el Xavi va rebre una carta signada del DHS agraint-li que hagués avisat de la vulnerabilitat crítica que va descobrir a principis de juny.
Aquella carta forma part dels seus trofeus personals, un premi que li dona prestigi en un món on el reconeixement públic és especialment important.
Reconeixement públic per pagar un hacker
Detectar vulnerabilitats és una de les missions més habituals d'un hacker ètic (també conegut com a hacker de barret blanc o, simplement, hacker).
Ho poden fer a canvi de recompenses econòmiques (a través de crides públiques, com els Bug Bounty, o treballant dins d'empreses de ciberseguretat) o, simplement, a canvi de reconeixement (amb programes com els Vulnerability Disclosure Program).
Xavi Márquez acumula uns quants certificats i reconeixements públics per la seva contribució a la protecció d'empreses, organismes i entitats de gran reputació.
La carta que va rebre del Departament de Seguretat Nacional dels Estats Units considera que el hacker Xavi Márquez va ser "essencial per la defensa de la nació" i li agraeixen la seva "significativa contribució" en la protecció d'algunes de les "tecnologies més crítiques als EUA".
En Xavi també ha avisat d'importants problemes de seguretat pels quals ha estat reconegut per governs, com el de l'Índia, per la Unesco, per la Universitat de Nebraska, empreses com LG... i, més recentment, ha estat inclòs al "saló de la fama" d'un dels organismes de ciberseguretat més prestigiosos del món, el CERT europeu.
Els reconeixements que es fan públics, les cartes d'agraïment, els certificats... no sempre es tradueixen en import econòmic, però són símbols d'estatus, de reputació. Vesteixen el perfil de LinkedIn i asseguren un currículum atractiu perquè mai faltin ofertes laborals.
Què ha d'estudiar un furoner per accedir a una feina on se li pagui per posar a prova la ciberseguretat de les empreses amb les seves habilitats hacker?
El camí del hacker: de Habbo Hotel a la ciberseguretat
"Vaig iniciar-me entre els 13 i 14 anys, quan em van començar a cridar l'atenció els ordinadors". Com és habitual, el Xavi es va interessar pel món de la informàtica a través dels videojocs.
Els amics jugaven en línia, va demanar un ordinador al seu pare per unir-s'hi i va acabar descobrint Habbo Hotel. En aquest metavers nascut l'any 2000 i fet en estil píxel art, pots conèixer i interactuar amb persones, i els usuaris hi tenen una habitació que es pot decorar amb diners virtuals (crèdits Habbo) que es compren amb diners reals.
No tenia cap ingrés econòmic i no volia demanar-li al meu pare la seva targeta de crèdit. Vaig voler obtenir els crèdits de manera il·lícita.
Buscant fer trampes en el joc va trobar la motivació per descobrir, primer, un bug (un error de programació) per obtenir crèdits gratuïtament i, després, un mètode per accedir a les credencials d'algú amb molts crèdits per robar-li el compte.
Tot i no tenir molta facilitat en els estudis a l'institut, en Xavi es va obsessionar de tal manera que va dedicar uns tres mesos a aprendre el llenguatge de programació SQL per entendre com funcionava el backend (les bambolines del web) de Habbo Hotel.
Va trobar la manera: un forat de seguretat en el formulari de registre li va permetre accedir a les seves bases de dades.
La primera experiència hacker del Xavi el va convertir en un ciberdelinqüent.
En aquella època no tenia ni idea que es podia treballar en ciberseguretat o de hacker.
El sector que necessitava hackers
En Xavi va acabar l'ESO i estava completant altres estudis no relacionats amb la informàtica quan el seu pare li va enviar una notícia sobre com, a Espanya, feien falta molts professionals en el sector de la ciberseguretat.
"Rebem 580 milions d'atacs mensuals", ens explica Àlex Novella, de l'Agència de Ciberseguretat de Catalunya. Es refereix exclusivament als atacs que reben les institucions públiques que ells monitoren: empreses privades i usuaris personals en sumen molts milions més.
De feina n'hi ha cada dia més. En Xavi va veure-hi "una oportunitat" per dedicar-s'hi i es va proposar "dedicar-hi tot el temps possible per ser el millor".
Un parell de màsters en ciberseguretat el van ajudar a posar-se en marxa. Després, va tornar a apostar fort per la via autodidacta i es va dedicar a treure's "certificacions ofensives", documents que acrediten haver resolt exercicis avançats de hackeig i que concedeixen prestigioses empreses de ciberseguretat.
En Xavi està especialment orgullós del seu certificat CWEE, que expedeix l'acreditada acadèmia Hack The Box i que demostra que és capaç de trobar i explotar forats de seguretat en pràcticament qualsevol pàgina web, una habilitat indispensable per a ciberdelinqüents i molt atractiva per a experts en ciberseguretat.
Hackers que ataquen -i defensen- empreses
Hi ha molts hackers darrere la ciberseguretat d'empreses i institucions. Àlex Novella també és hacker, eminentment autodidacte, com tots. Ara és responsable de Detecció i Prevenció d'Amenaces de l'Agència de Ciberseguretat de Catalunya.
Per formar part de l'equip que defensa les institucions públiques de Catalunya, es busquen perfils similars al seu: "Busquem gent molt inquieta, que tingui uns coneixements informàtics profunds i moltes ganes de saber com atacar les coses, perquè al final, si tu saps com atacar, saps com defensar-te de tots els atacs".
Aquesta mateixa filosofia és la que apliquen en les tasques de prevenció. Divideixen els equips de ciberseguretat en dos grans blocs: l'equip de ciberdefensa ofensiva, i els equips passius, de defensa.
Els experts en el vessant ofensiu, els hackers del read teaming, simulen ser atacants: fan proves i ataquen diferents infraestructures per veure com responen les defenses i quines vulnerabilitats podrien aprofitar els ciberdelinqüents.
La gent que fa carrera en aquest àmbit està molt buscada.
Són els experts a fer "pentests", els "testeigs de penetració", proves per les quals les empreses poden arribar a pagar molts diners en el sector privat.
El blue teaming és l'equip de defensa. És el que està "vigilant les pantalles, establint regles de protecció, reaccionant quan salten les alertes".
Fins i tot nosaltres mateixos fem com guerres entre red team i blue team: el red team ataca i el blue team ha de descobrir què fa, com i què cal per frenar-lo.
A l'agència estan pendents de monitors amb "alertes de colors" 24 hores al dia, set dies a la setmana. Els milions de ciberatacs s'han de filtrar i prioritzar.
Poden ser lleus, com "un escaneig per intentar trobar forats de seguretat", o incidents greus, que impliquen segrest de dades, filtracions o disrupcions de serveis crítics. En gestionen "uns 125 de forma mensual".
Sovint, els hackers de barret blanc s'han de posar el barret negre per avançar-se a les tècniques i estratègies que utilitzaran els ciberdelinqüents en el pròxim atac.
