"Las mafias me han ofrecido cheques en blanco"

A sus 25 años, Rubén Santamarta es un buen ejemplo del alto nivel español en seguridad informática. Cumple todos los tópicos: autodidacta porque se aburría en la Universidad, a los 10 años entró el primer ordenador en su casa y a los 19 ya era un experto en descubrir vulnerabilidades en programas. Hoy importantes empresas como iDefense y ZDI le pagan por ello.

"Una parte fundamental de mi trabajo consiste en hacer ingeniería inversa a sistemas operativos y software de terceros con el fin de descubrir vulnerabilidades que podrían poner en riesgo la seguridad de sus usuarios", explica. Entre sus descubrimientos destacan diversos agujeros en productos Microsoft, incluido el kernel de Windows.

Santamarta sabe que en su trabajo "hay que ser ético". El mercado negro de códigos maliciosos que atacan estos agujeros es goloso: "Me han ofrecido más de 20.000 dólares para cosas normalitas y, para otras, más del triple. Las empresas legales pagan una décima parte de lo que las mafias ofrecen. En una ocasión, ni siquiera pusieron límite. Por supuesto, ni me digno en contestarles".

Hoy, explica, "acceder a la web se ha convertido en una actividad de riesgo". Las empresas viven un peligro añadido: "Los ataques personalizados a sus empleados, para espionaje industrial o robar sus bases de datos". Los bancos, asegura, "tienen pérdidas billonarias debido al phishing". Y los gobiernos "se enfrentan a amenazas a la seguridad de infraestructuras críticas, como las centrales de suministro de energía, debido a que muchos de sus sistemas son obsoletos".

En este escenario, que califica de "inquietante y sin visos de solucionarse a corto plazo", el futuro es "la detección proactiva de estas amenazas, pensando de una forma multidisciplinar y aplicando conceptos de la neurobiología, la genética, la estadística y otras disciplinas". Predica con el ejemplo: en su último trabajo, un detector de ataques de phishing, usa técnicas de visión artificial habituales en robótica, medicina y control industrial, pero nuevas en seguridad informática.