Reto a los piratas informáticos españoles
De 6.000 'hackers,' sólo 50 han pasado todas las pruebas del torneo organizado por el Instituto para la Seguridad en InternetDe 6.000 'hackers,' sólo 50 han pasado todas las pruebas del torneo organizado por el Instituto para la Seguridad en Internet
'¡Atacadme si sois capaces!'. Ése fue el reto que el Instituto de Seguridad en Internet lanzó a los piratas informáticos de España, también conocidos como hackers: mentes inquietas que se dedican a descubrir vulnerabilidades en los sistemas y a saltarse barreras informáticas. Se trata del primer concurso en España de hackers sobre seguridad en la red. Desde que hace unas semanas se puso en marcha son ya más de 6.000, pero sólo 50 han conseguido pasar las 10 pruebas. Ya hay, por tanto, un ganador: el primero que superó todas las barreras y que se hizo con el título de Boina Negra, que alude a los blackhats americanos, piratas informáticos que se diferencian de los whitehats, o hackers de la Administración: policías, auditores, administradores.
Mandingo es su nombre virtual, un internauta empedernido que pasa la mayor parte de su ocio frente al ordenador o leyendo revistas especializadas. Alguien que no ha ido a una clase de informática en su vida, pero cuya sed de conocimiento le ha convertido en experto en seguridad cibernética. Un chico que recuerda emocionado el día en que sus padres, a los 10 años, le regalaron su objeto más anhelado: un Spectrum. 'En lugar de ponerme a jugar, me tragué el manual de intrucciones y me puse a elaborar los programas', cuenta.
Alberto Moro es el nombre que aparece en su DNI. Tiene 26 años, es ingeniero técnico de Telecomunicaciones y cursa el último ciclo de su especialidad para obtener el título superior en Santander, su ciudad natal. 'La verdad es que soy un estudiante más bien vago, me cuesta concentrarme y prefiero tratar de encontrarle la lógica a los problemas. Por eso me metí en el torneo', recuerda quien tardó sólo 11 días en abrir todas la puertas virtuales que les había llevado dos meses fabricar a un equipo de ingenieros superiores en Telecominicaciones, dirigidos por Juan Carlos G. Cuartango, prestigioso hacker por sus descubrimientos de agujeros en programas de Microsoft.
La primera prueba dice: 'Introduce la contraseña'. 'Pasé horas tratando de descubrir qué se les habría ocurrido a los ideólogos del concurso. Tenía que tener alguna lógica. Probé mil veces, y siempre me salía: 'La contraseña es incorrecta'. Hasta que se me ocurrió que ese mensaje me la podía estar revelando', dice entre risas. La clave era 'incorrecta'.
Pero lo que empieza siendo un juego lógico termina exigiendo un alto nivel de conocimientos informáticos: 'A partir de la séptima prueba ya se requieren conocimientos de programación, de criptografía y de verdadero hacking', dice Alberto Moro.
Los organizadores del concurso, que sigue abierto, reconocen que los conocimientos de quienes han logrado superar las 10 pruebas son muy elevados. 'Es como si nosotros hubiésemos fabricado cerraduras mejores y peores para coches y le dijésemos a unos manguis: 'Venga, a ver si sois capaces de saber qué coches son y con qué ganzúa se abren', explica Cuartango. 'Estos vencedores pueden hacerse pasar por otros, entrar en tiendas o en servicios no públicos de la Red. Son gente que podría hacer maldades, pero no es su objetivo. Para ellos es un reto de ingenio, un afán de superación', agrega.
Es lo que diferencia lo que en el argot se denomina un cracker de un hacker. El primero usa sus conocimientos para causar daño en los sitios web a los que accede. El otro pone a prueba los sistemas de seguridad para encontrar defectos de fábrica y, si da con ellos, los publica. 'Ése es el aspecto positivo de los piratas, que contribuyen a mejorar la seguridad de los sistemas de forma altruista', dice José Luis González, profesor de Seguridad en la Red de la Universidad de Extremadura. 'Además puede servir para que las empresas encuentren a expertos, que les garanticen la seguridad de su información. Ya no es tan necesario el vigilante de la puerta, porque el botín está en la red. El problema, y por eso es importante un código ético, es que los atacantes ya no son expertos, pero es fácil hacer daño si la protección es débil', añade.
Un estudio elaborado por la Asociación Española para la Dirección de la Informática (AEDI) revela que el 74% de las empresas no podría sobrevivir más de cuatro días sin proteger la información de sus ordenadores. Pero el 60% carece de actualizaciones de seguridad en sus sistemas. Según Nicolás Iglesias, administrador y vicepresidente de Arsys, empresa proveedora de Internet, 'la clave es estar bien informado sobre los agujeros de seguridad encontrados y los parches creados para subsanarlos, e ir actualizando los sistemas. Hay que hacerlo casi cada día'.
Entre el 'ciberdelito' y el intrusismo
Para los responsables de la Brigada de Investigación Tecnológica, que saldaron el año pasado con 186 detenidos, un hacker, sea cual sea su objetivo, es un delincuente. 'Es como si entran en tu casa, husmean sin tocar nada, se quedan con la idea y se van. Para mí es lo mismo que un allanamiento, lo tengo clarísimo. Pero la tarea de juzgar le corresponde al juez', dice el subcomisario de la brigada.
La cosa no está tan clara. De hecho, aún son muy pocos los jueces que se han visto obligados a dictaminar sobre esta materia y la jurisprudencia es escasa. No obstante, sí ha habido ya algún caso emblemático, como el caso Hispahack. En aquella ocasión, en 1997, quedó probado para el juez que había habido un acceso sin autorización y una sustracción de información en un sitio web, pero el problema era determinar quién lo había realizado. Además, la defensa de Carlos Sánchez Almeida, especialista en estos temas, iba más lejos: 'Los tipos penales existentes no permiten incriminar la simple intrusión en un sistema. Si se quiere establecer un castigo para esa conducta debería redactarse un nuevo tipo penal. Lo que su señoría dictamine hoy será la primera teoría jurídica sobre hacking en España'. El acusado salió absuelto.
Sobre la firma
