¿Qué es el Flipper Zero?

Se trata de un dispositivo portátil que permite a los usuarios explorar y manipular una amplia gama de tecnologías digitales. Entre sus funcionalidades destacan:

• RFID/NFC: lectura y emulación de tarjetas de acceso y etiquetas inteligentes.
• Infrarrojos (IR): control de dispositivos como televisores y sistemas de climatización.
• Radiofrecuencia (RF): interacción con controles remotos de vehículos y sistemas de seguridad.
• Bluetooth: conexión y análisis de dispositivos Bluetooth.

Estas características convierten al Flipper Zero en una herramienta poderosa para profesionales de la seguridad y entusiastas del hacking ético, pero también ha sido una llave de fácil acceso a todo tipo de dispositivos electrónicos para los delincuentes. 

Uso en Hacking Ético

En el ámbito del hacking ético, el Flipper Zero se emplea para evaluar la seguridad de sistemas y dispositivos. Su capacidad para interactuar con diferentes protocolos permite a los profesionales identificar vulnerabilidades y fortalecer las defensas de las infraestructuras digitales. Por ejemplo, se utiliza para probar la robustez de sistemas de control de acceso y evaluar la seguridad de dispositivos IoT. 

El Flipper Zero en las manos equivocadas

A pesar de su diseño orientado al hacking ético, el Flipper Zero ha sido adquirido por individuos con intenciones delictivas. Se ha reportado su uso en actividades como:

Te puede interesar: Cinco consejos para proteger su prima navideña de los ciberdelincuentes

• Robo de vehículos: en Canadá, las autoridades han señalado que el dispositivo ha sido utilizado para interceptar y replicar señales de vehículos, facilitando su robo.
• Acceso no autorizado a propiedades: en Paraguay, se ha documentado el uso del Flipper Zero para abrir portones y acceder a propiedades privadas sin consentimiento.
• Aunque no se ha especificado que el Flipper Zero haya sido usado para acceder a iPhones robados, todo indica que es esta herramienta la que facilita el desbloqueo de estos teléfonos. 

Estos incidentes han generado preocupación entre las autoridades y la comunidad de seguridad, ya que evidencian cómo una herramienta diseñada para fines legítimos puede ser mal utilizada para actividades ilícitas.

La creciente preocupación por el uso indebido del Flipper Zero ha llevado a algunas jurisdicciones a considerar regulaciones más estrictas. Por ejemplo, en Canadá, el gobierno ha expresado su intención de prohibir la venta de este dispositivo debido a su implicación en robos de vehículos. 

Sin embargo, expertos en seguridad informática advierten que la responsabilidad recae en el usuario y no en la herramienta en sí. Argumentan que, al igual que otras tecnologías, el Flipper Zero puede ser utilizado tanto para fines legítimos como ilícitos, dependiendo de la intención del usuario.

imagen: Flipper

Pero primero, es importante saber qué es el hacking ético. En resumidas cuentas, se utiliza este término para referirse a los profesionales de la seguridad informática que tienen el permiso de una organización para hacer comprobaciones de su seguridad cibernética. El objetivo de estas pruebas es comprobar, cómo está la red, cuáles son los puntos fuertes y los débiles de los sistemas. De esta manera pueden mejorar la protección y la seguridad de la información.

¿Para qué sirve el hacking ético?

Cuando se llevan a cabo prácticas de hacking ético, se ponen en marcha las mismas técnicas y prácticas que haría un ciberdelincuente convencional. Es decir, las prácticas que utiliza para intentar romper las medidas de protección y adentrarse, sin permiso, en una red o en un equipo. Es por eso que el hacking ético se ha convertido en una herramienta clave para garantizar la seguridad de las organizaciones. De hecho, su uso está en aumento en todo el mundo.

“Es por eso, que nace la necesidad de tener un equipo de profesionales capacitados en la detección y prevención de posibles amenazas cibernéticas. El objetivo es asegurar la seguridad de las empresas y proteger sus activos digitales valiosos.”, dijo Seidor.

Te puede interesar: Ciberataques como el de Audifarma se podrían evitar con «Pentesting»

La necesidad de mantener segura la información de las empresas demuestra la importancia del hacking ético. Al utilizar técnicas de hacking con fines legítimos, como la identificación de vulnerabilidades de seguridad en los sistemas de una empresa, se pueden tomar medidas para protegerse de posibles ataques cibernéticos.

Además, el hacking ético contribuye a mejorar la seguridad de la información en línea en general al identificar y corregir las vulnerabilidades en los sistemas de las empresas. De esta manera, ayuda a prevenir futuros ataques cibernéticos contra otras organizaciones o individuos.

Por otro lado, el hacking ético también ayuda a las empresas a cumplir con las regulaciones y normativas de seguridad de la información aplicables al sector. En ese sentido, al mantener la seguridad de sus sistemas y datos, las empresas pueden cumplir con las regulaciones y evitar posibles sanciones o multas.

Imagen: cottonbro studio vía pexels

Sin embargo, hoy esta misma estrategia está evolucionando. El uso de la Inteligencia Artificial (IA por sus siglas en inglés) promete cambiar la manera en la que se realiza pentesting, así como la facilidad con la que muchas empresas pueden utilizar estas herramientas.

Imagine que tiene una nueva habitación…

Para entender mejor los diferenciales de una herramienta de pentesting que hace uso de inteligencia artificial, vamos a proponer un ejemplo.

Imagine que usted contrata a dos compañías de seguridad para evaluar una nueva habitación que mandó a construir en su casa. La habitación se encuentra vacía, pero usted quiere estar seguro de que está acorde a los esquemas del resto de su hogar.

La primera compañía envía un asesor que revisa la habitación y le dice que debería poner candados extras en las ventanas, pues no cuentan con los seguros necesarios, pero que además de esto su nueva habitación está al día.

El segundo asesor, en cambio, primero entra a la habitación por la ventana y descubre que hay un problema con el seguro. Pero luego, en vez de quedarse ahí, se acerca a la pared y descubre que al lado está un cuarto de seguridad con una caja fuerte que puede ser accedida. Tres meses después regresa a verificar cómo usted ha adaptado esta nueva habitación y descubre que la persona encargada de la limpieza no cierra con llave la puerta del pasillo al salir a almorzar, así que puede ingresar por otro lugar, no necesariamente la ventana.

De hecho, el asesor de seguridad ha estado aflojando el marco de la ventana un poco cada semana, debido a que la última vez descubrió que no hay una cámara que guarde los registros. También encuentra que estos nuevos muebles que puso después de la primera revisión son el lugar perfecto para esconder una cámara.

¿Cuál es la diferencia entre ambos análisis? Que el primero se encargó de analizar los riesgos de seguridad desde los estándares tradicionales. El segundo, pensó como un cibercriminal y no se limitó a revisar lo básico, sino que buscó las mismas vulnerabilidades que un ladrón.

Ridgebot: pensando como los cibercriminales en pentesting

Ridgebot es una de las soluciones creadas a partir de Inteligencia Artificial que operan de la misma manera en la que lo hizo el segundo experto en nuestro ejemplo: pensando como los cibercriminales. Lo que supone una enorme ventaja, al menos si se compara frente a las herramientas tradicionales de pentesting, en especial para una compañía que esté buscando en reforzar su seguridad.

La más obvia es que permiten un análisis más exhaustivo de las verdaderas amenazas presentes. Esto es porque no solo se limita a las vulnerabilidades más obvias, sino que gracias a la inteligencia artificial opera de manera similar a un criminal. Por ejemplo, usualmente un ataque a una red no se limita a un solo intento, sino que suelen haber varias iteraciones que buscan debilitar o encontrar nuevos puntos débiles de una red.

La otra ventaja enorme que ofrece es la capacidad de realizar estos análisis y test por demanda. Por supuesto, siempre se necesitará de cierta intermediación humana (alguien que ejecute la herramienta y pueda dar cuenta de los resultados), pero el mayor problema que presentan muchos pentest es que requieren de expertos que precisamente piensen de la manera en la que lo hacen los criminales.

Te puede interesar: Apple desmiente el mito de seguridad de los Mac

Para una compañía mediana, o incluso algunas grandes, los costos de contratar a estos expertos y ejecutar estos exámenes puede ser muy altos. Pero herramientas como Ridgebot reducen estos costos, al convertir a la inteligencia artificial en el aliado experto para realizar estas pruebas de forma constante.

Lo que nos lleva a la última ventaja: la capacidad de aprendizaje. El problema de los pentest aislados es que estos ignoran los cambios y comportamientos de las redes. Pero los cibercriminales, precisamente, utilizan esta información para ejecutar sus ataques (de nuevo, pensando en nuestro ejemplo, el empleado que no cierra la puerta del pasillo al momento de almorzar). La inteligencia artificial se adapta a los comportamientos de su red conforme más análisis realiza, lo que al mismo tiempo permite generar reportes más certeros de posibles fallas que no podrían ser realizadas con análisis aislados de comportamiento.

Si desea conocer más sobre herramientas como Ridgebot y este nuevo paradigma de los pentest y la seguridad digital, en ENTER.CO lo invitamos a esta charla organizada por ART2SEC, Líderes en Soluciones de Ciberseguridad Innovadoras donde con un experto en Pentesting se explicará el cambio de este paradigma que se realizará el 24 de junio de 2021 a las 10:00 AM (hora Colombia). Puedes registrarte en este enlace.

Ridge Security

es el único fabricante que ofrece RidgeBot, una solución automatizada de pentesting que puede trabajar de la mano y complementar el trabajo de los equipos de seguridad reduciendo el tiempo de una prueba de penetración de semanas a horas, generando informes consistentes en tiempo real. 

ART2SEC

Compañía Colombiana de Ciberseguridad, que desde hace más de cinco (5) años brinda soluciones innovadoras a sus clientes, quienes a través de su Ciberseguridad AAA las compañías sabrán como actuar bajo un ataque cibernético, gracias a su CiberCentro de Inteligencia y un equipo sólido de Ingeniería. 

Imágenes: Pixabay

El término ‘hacker’ está mal usado, no representa a los cibercriminales. Este en su lugar se encarga de encontrar vulnerabilidades en los sistemas y plataformas de unas empresas para reportarlos y así evitar los ataques. Mientras tanto, el ‘cracker’ es el encargado de explotarlas y ganar dinero de manera ilegal.

También te puede interesar: La pandemia y cómo los ciberdelincuentes se están aprovechando de los negocios

Con el teletrabajo, las empresas se han convertido en el principal blanco de los cibercriminales. Lo que genera una alta demanda de hackers o expertos cibernéticos que ayuden a hacer pruebas y test y encontrar las vulnerabilidades y fallas en los sistemas para actuar a tiempo. Por este motivo, Lowbits.io y Cyte realizarán un CTF (Capture the Flag), un modelo de competencias de hacking, y el ganador tendrá la oportunidad de llevarse un millón de pesos. “Con esta convocatoria buscamos encontrar talentos y ver un poco de cerca cómo está el hacker ético en el país como un nuevo mercado”, explicó Milton Quiroga, gerente general Cyte.

Para leer más sobre hacking ético, visita este enlace.

Para iniciar tal desafío solo se necesitan conocimientos de programación y es posible aprender sobre la marcha, informa Cyte en su comunicado. En este hacking ético, los participantes crearán sus propios exploits para atacar software o protocolos criptográficos y finalmente obtener una “flag”, que es un código secreto. Las instrucciones y registró se pueden hacer en este enlace.

Imagen: Cyte. 

Hablar de ciberseguridad ya no es un misterio. Vivimos en una sociedad que se transforma digitalmente de forma constante gracias al Internet de las Cosas (IoT). Su objetivo es buscar optimizar diferentes procesos que anteriormente se realizaban de forma manual, como es el ejemplo de los electrodomésticos y diversas herramientas que hacen parte de nuestra vida. Desde un celular hasta un hogar inteligente, todo tiene una conexión a la red que puede convertirse en un blanco fácil para los ciberdelincuentes.

Pero no solo sucede con personas naturales, ya que en las empresas también ha ocurrido. Casos como el ciberataque de ransomware ‘WannaCry’ o ‘Petya’, han demostrado que los ciberdelincuentes son capaces de cualquier cosa. Desde el secuestro de la información como es el ransomware, hasta inutilizar dispositivos o perjudicar la vida de otras personas con el Ransomware de las Cosas (RoT).

Pero aunque los riesgos son constantes, David Luna dio un parte de tranquilidad en el foro: “Colombia tiene como defenderse de un ciberataque, porque se ha trabajado desde mucho tiempo atrás, pero esto no quiere decir que no nos pueda pasar algo como a países hermanos. Esto implica una corresponsabilidad entre la sociedad civil y el Gobierno, con el fin de entender las dimensiones de lo que está sucediendo actualmente”, dijo.

Por eso, con la idea de seguir fortaleciendo la seguridad del país, Luna hizo varios anuncios importantes. El primero es que el 20 de julio MinTIC presentará la solicitud ante el Congreso de la República para que se acoja el Convenio de Budapest. Este es el primer tratado internacional que busca hacer frente a los delitos informáticos y delitos en internet mediante el ajuste de las leyes de un país. El segundo anuncio es el fortalecimiento de la infraestructura de respuesta con un equipo humano más grande. Y el tercero es la promoción de los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) en el sector financiero y educativo.

Educación para evitar un ciberataque

Yago Hansen, experto español en hacking ético, resaltó la responsabilidad del Gobierno colombiano en la educación de sus ciudadanos en torno a los cuidados en la red. Igualmente le recomendó a MinTIC generar una red de apoyo técnico y táctico con los demás ministerios.

“La educación en el mundo ciber se puede comparar con la educación sexual. Todos los niños y jóvenes aprenden a manejar un celular a temprana edad. Luego tienen redes sociales y su única enseñanza son las charlas con sus amigos. Ellos no acuden a los padres para aprender, porque para eso tienen a sus amigos. Lo mismo sucede en la educación sexual. Primero aprenden de lo que ven fuera de casa y lo que hablan con sus amigos. Sin duda esto es un cambio generacional que tiene muchos retos por superar”, ejemplificó Hansen.

Por eso, el experto aseguró que la responsabilidad va desde las instituciones educativas, pasa por la familia y culmina en las entidades gubernamentales. Y aquí es cuando resalta que en Colombia los habitantes son privilegiados al contar con planes gubernamentales enfocados en la ciberdefensa. “Estas regulaciones legales, con el tiempo, deben convertirse en una política estatal, no en una simple política”, agregó.

Riesgos en el futuro

La razón de ser de tantos peligros en el mundo tiene que ver con la digitalización de la raza humana a pasos agigantados. La mayoría de los dispositivos ahora cuentan con conexión a internet, los cuales determinan muchos de los parámetros de la vida de sus usuarios.

Pero el problema no es la transformación digital, sino que las regulaciones siempre van por detrás de las innovaciones tecnológicas. “Las compañías fabrican productos conectados a internet por ganar dinero y brindar una funcionalidad. Eso no está mal. Lo que está mal es que no cuenten con las medidas para que esos aparatos del IoT no afecten nuestro bienestar en caso de ser contaminados. El equipo más pequeño con conexión a internet tiene una capacidad ofensiva que jamás habíamos visto”, explicó Hansen.

Allí, el ministro Luna resaltó la responsabilidad con cada uno de los equipos que se han entregado para la educación de los estudiantes del país. En su totalidad, los 2,5 millones de dispositivos cuentan con las medidas de seguridad para sus usuarios. Por ejemplo, la restricción de acceso a páginas con contenido perjudicial y la instalación de herramientas educativas sin necesidad de conexión a internet. Además, en las casi 700 Zonas Wi Fi gratuito de todo el país, los usuarios cuentan con lo último en tecnología para la seguridad en la red.

Finalmente, Hansen advirtió que “un hacker puede llegar a controlar nuestras vidas en un futuro si no contamos con las medidas de seguridad necesarias”.

Imagen: iStock.

Telefónica viene cumpliendo un excelente papel en temas de ciberseguridad desde hace unos años, con la incorporación del hacker Chema Alonso a su equipo, hoy un alto ejecutivo de la compañía. Así mismo, con la formación de compañías como Eleven Paths, que se está convirtiendo en referente en temas de seguridad de la información y la generación de herramientas personales y empresariales como Latch, Metalshied y Smart Id, entre otras. 

Pero uno de los temas más interesantes y que promete revolucionar el mundo de la privacidad es lo que se llama la Cuarta Plataforma o Aura. El servicio, que todavía se encuentra en construcción, se basa en una premisa: “El control del usuario de los datos personales y su vida digital”. El usuario, por medio de la plataforma Aura, tendrá un control y decisión sobre el uso de la información personal.

El servicio contará con características de inteligencia artificial; se convierte así en una especie de Siri para decidir sobre el uso de sus dispositivos, servicios y datos en el mundo digital.

El control de los datos es posible

Una de las preguntas que generó la presentación de este servicio en el pasado Mobile World Congress es hasta qué punto es posible el control de los datos por parte del usuario; por ejemplo, para que un proveedor de internet no utilice los datos para otras cosas.

En primer lugar, se debe partir de los operadores de telecomunicaciones; por disposiciones legales no deberían ver qué pasa entre los servicios y el usuario. En pocas palabras, el proveedor de internet debería ser un túnel que garantice la confidencialidad de los datos entre el usuario y los servicios de internet.

Esto tiene un sustento legal en normativas como el Digital Millennium Copyright Act (Dmca) y en conceptos como Safe Harbor. Pero empieza a tener unos cambios profundos por cuestiones de derechos de autor y porque en algunos países –como Estados Unidos– no es un secreto que prima la seguridad estatal y la vigilancia masiva.

De otro lado, en días pasados, la Comisión Federal de Comunicaciones y el Congreso de Estados Unidos aprobaron una norma que permite que los operadores de servicios de internet puedan vender datos personales e historiales de navegación a otras empresas. Esto hace que el usuario pierda cada vez más el control sobre su información personal, y se rompe el principio de neutralidad tecnológica.

La norma aprobada va a ser demandada por grupos de privacidad, entre ellos el Centro para la Democracia Digital, los cuales opinan que esta norma abre las puertas para que los operadores de servicios de internet puedan vender información sin ningún tipo de control.

Se conoce la vida del usuario

El uso de la inteligencia artificial y de big data empieza a modificar la trasmisión, control y gestión de la información personal. Los operadores de Internet no necesitan saber el nombre de un usuario: con el simple hecho de conocer su dirección IP pueden tener mucha información para establecer estadísticas, modelos predictivos, gustos, perfiles, facturas, etc. Es lo que algunos llaman inteligencia predictiva; el simple hecho de conectarse permite que ellos sepan todo sobre su vida digital.

Con lo que quiere hacer Telefónica el usuario tendrá más conciencia de lo que se hace con su información.

Un control total de los datos es difícil hoy porque en redes sociales y servicios de cloud computing y correo electrónico ya estamos completamente identificados con gustos y preferencias. Y técnicamente los datos están distribuidos por varios servidores, por lo que borrarlos es prácticamente imposible.

Pero con lo que quiere hacer Telefónica el usuario podrá tener más conciencia de lo que se hace con su información y ceder su autorización para nuevos servicios. Telefónica ha realizado un excelente trabajo con herramientas de privacidad como Latch, un interruptor que permite desactivar temporalmente los servicios digitales. Si eso se aplicara a la cuarta plataforma de forma legal y técnica, sería valioso para los usuarios.

El modelo no es fácil. Depende de integraciones, desarrollos, inteligencia artificial, aspectos legales, Facebook, los operadores y de la aceptación de los usuarios. Pero da tranquilidad que el hacker Chema Alonso esté detrás del proyecto, pues es una persona que entiende el verdadero sentido del control de los datos.

El tiempo nos dirá si apuestas como la de Telefónica, de ofrecer un control de los datos a los usuarios, se vuelven atractivas en una sociedad en la que a muchos ya no les importa la privacidad.

Imágenes: Intel Free Press (vía Flickr)

Matías es uno de los conferencistas magistrales en esta edición de Campus Party 2014. Tuvimos la oportunidad de sentarnos con él y que nos contara de qué se trata esto de ser hacker ético. El trabajo de Matías consiste en identificar qué tan vulnerables y ‘hackeables’ son los sistemas de diferentes organizaciones públicas y privadas.

De manera autodidacta empezó su propia formación, intentó ir a la Universidad pero se dio cuenta de que no quería pasar cinco años de su vida así y que él mismo podía empezar a estudiar por su cuenta y armarse sus propios programas académicos. Allí fue cuando ingresó a IBM a trabajar y tuvo una formación profesional; luego decidió crear su propia empresa a los 24 años, Mkit.

Para explicarme lo que significa ser hacker ético, Matías se remitió a la idea de algunas películas en las que ‘el mejor asesino es el médico’ pues conoce exactamente la anatomía humana y puede llegar a ser más efectivo: “Esto es lo mismo, al conocer todas las formas posibles en las que se puede atacar o romper algo, es la persona idónea para recomendarte cómo protegerte, tenemos que entender cómo se rompen las cosas, una vez lo entiendes, comprendes cómo protegerte”.

Algunas de las herramientas que se usan típicamente para ‘hackear’ son Nmap, Nessus y Metasploit. Matías trabaja con estas y con algunas otras, pues hay muchísimas en el medio, me explica.

¿Cómo se gana la vida? Matías comenta que sus clientes son grandes, por cuestiones de confidencialidad no develó sus nombres, pero aseguró que se trata de grandes corporaciones, bancos, aerolíneas, bolsas de valores y entidades del gobierno: “Es un servicio que se cobra bastante caro, se cobra como el triple de la hora de un desarrollador, es decir, lo que te cuesta hacer un sistema a lo que te cuesta probar la seguridad de ese sistema, te cuesta el triple” señaló.

De acuerdo con Katz, la razón por la que lo contratan clientes grandes, que además pueden darse el lujo de pagar un servicio tan caro, es que las medianas y pequeñas empresas no tienen enemigos que quieran atacarlas.

Estas empresas lo contratan para saber qué tan seguro es su sistema, él intenta ‘hackearlos’, toma una evidencia de lo que encontró (prueba de concepto) para probarle al cliente de que pudo ingresar a su sistema. Luego se presenta un reporte diciendo todo lo que se encontró, cuáles son las vulnerabilidades con el diagnóstico y por supuesto, lo que más busca el cliente, una solución al respecto.

Cuando le pregunté acerca de su opinión con respecto al escándalo de la NSA y las acciones de Edward Snowden, señaló que desde su perspectiva, Snowden violó la ley, publicó documentos confidenciales y que no tendría que haberlo hecho: “Snowden es un espía, escondió información del gobierno y la publicó, es casi un terrorista, violó la ley. Eso es ilegal, por más que esté mal lo que estés viendo, tú eres un empleado”. Para Katz este escándalo influyó mucho en el nivel de paranoia de las personas.

Matías trabaja en promedio con 15 o 20 clientes por año. En su empresa son seis personas, a quienes eligió porque fueron alumnos suyos y les tiene plena confianza. Al final de nuestra charla invitó a todos nuestros lectores a asistir a su conferencia anual de seguridad llamada ‘Ángeles & Demonios’, que se celebrará a fin de año en Buenos Aires. El año pasado, esta conferencia alcanzó más de 1.000 personas de toda Latinoamérica. Si no pueden viajar, pueden hacer streaming.

Imagen: ENTER.CO.

Como sacada directamente de una película de espías, la ingeniería social es una técnica de hackeo utilizada para sustraer información a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta cómo u cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. En esta práctica se recurre, principalmente, a la manipulación de la psicología humana mediante el engaño. El delincuente actúa a partir de la premisa de que, en la cadena de seguridad de la información, el ser humano es el eslabón más débil.

Al ser una técnica de crackeo, la ingeniería social se logra a través de la manipulación psicológica y de las habilidades sociales con el fin de obtener algún tipo de información sensible o datos útiles sin que la víctima sea consciente de su utilización maliciosa. Se puede realizar de manera directa o indirecta, con el uso de la tecnología o mediante el trato personal. La idea es poder saltarse los sistemas de seguridad a través de la información que otorga directamente el protegido o los administradores de la protección.

“La persona que efectúa este método, trata de engañar a la víctima, buscando entrar en confianza o haciéndose pasar por alguien más para obtener lo que necesita. Teniendo en cuenta que somos muy vulnerables y nos movemos a través de una serie de impulsos irracionales, el que ejecute esta técnica usará comúnmente el teléfono, el internet, el disfraz u otros métodos para engañar fingiendo ser alguien más. En muchos de los casos que he conocido, la persona suplanta a un trabajador de la empresa o a alguien de servicio técnico”, dice Emanuel Abraham, hacker ético de Security Solution & Education.

“La ingeniería social no es una técnica cuadriculada. Depende de la malicia del atacante, así como de la que tenga la víctima. Se pueden utilizar infinidad de argucias y mañas para lograr la información que se necesita: desde sobornos a amigos y familiares para que faciliten el acceso a ella, hasta preguntas sueltas en ambientes de esparcimiento, correos electrónicos aparentemente inofensivos que hacen preguntas sencillas y cuyas respuestas interesan a quien solicita la información”, sostiene la ingeniera Jacqueline Tangarife, gerente de Security Solutions & Education, empresa que es la representante exclusiva para Colombia de EC-Council Academia.

Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. Por lo tanto, la efectividad del proceso reside en la manera en que se logra apropiar e interpretar la información recibida, que en muchas ocasiones parece trivial.

La ingeniería social tiene cuatro formas de actuar: la primera consiste en las técnicas pasivas, basadas en la observación y en el análisis de la víctima. Como cada caso es diferente, el éxito está supeditado al contexto en el que la persona se mueve, a través de la observación de este se logra construir un perfil psicológico tentativo que permita un óptimo abordaje. La segunda técnica utilizada es la no presencial, en la cual se recurre a los medios de comunicación como el teléfono o los correos electrónicos para intentar obtener información útil, según sea el caso.

Gracias a los avances tecnológicos y a la apropiación de la tecnología en nuestra vida cotidiana, esta técnica resulta ser la más común y, al mismo tiempo, la más efectiva. En tercer lugar, están las técnicas presenciales no agresivas que incluyen el seguimiento a las personas, la vigilancia de los domicilios y la búsqueda en la basura con el fin de juntar la mayor cantidad de información. Finalmente, están los métodos agresivos que recurren a la suplantación de identidad, la despersonalización y las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas, junto a la explotación de las tres técnicas mencionadas en el párrafo anterior, puede ser altamente efectiva en el trabajo cara a cara entre víctima y victimario.

Fases de un ataque de ingeniería social

Al realizar un trabajo de ingeniería social artesanal, la primera fase implica un acercamiento para generar confianza con la víctima. Esto se logra por medio de correos, haciéndose pasar por representantes técnicos de algún servicio o incluso mediante una presentación formal en una charla coloquial. En esta última modalidad, es necesario que el victimario se muestre simpático, sin dar a la víctima ningún motivo que la ponga en situación de alerta ante el extraño. En esta etapa, el esfuerzo es fundamental para captar cualquier información valiosa.

Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. Con base en su curiosidad o deseo, el afectado estará predispuesto, consciente o inconscientemente, a brindar información. La idea es observar la reacción del objetivo y actuar en consecuencia. A partir de ahí, se usará la prueba y el error, según sea el caso.

“Si bien, los más vulnerables son aquellos que trabajan atendiendo al público, se puede decir que también entran aquellos que son confiados, aquellos que no siguen buenas políticas de seguridad, aquellos que rompen reglas o simplemente las desconocen”, dice Abraham al respecto. Por su parte, la ingeniera Jacqueline sostiene que “los niños, las empleadas del servicio y las amas de casa son extremadamente vulnerables a la ingeniería social. De igual manera, en el ámbito empresarial, los hombres son fácilmente seducidos por mujeres muy atractivas y viceversa”.

Dentro de los casos exitosos de ingeniería social reconocidos a nivel mundial, podemos encontrar el de la operación de rescate JAQUE. Para el desarrollo de esta operación, las fuerzas de inteligencia del Ejército Nacional colombiano lograron determinar el modo de comunicación al interior de la guerrilla de las FARC a través de interceptaciones. Dicho descubrimiento les permitió, junto con la suplantación de identidad, un exitoso rescate de los secuestrados.

Otro ejemplo más cotidiano, es el caso en el que se hace seguimiento a una familia objetivo para determinar sus costumbres diarias. Así, se investigan aspectos como: los nombres de los integrantes, los horarios y las actividades que realizan. Una vez se tiene suficiente información, el victimario llama a quien permanece en casa y le describe alguna situación en la que alguno de los familiares corre peligro. Posteriormente, le pide que entregue objetos de valor con el fin de poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de ingeniería social y ser víctima de robos y otros delitos.

Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es una de las técnicas más complejas de evitar y puede llegar a ser indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia. Sin embargo, “se puede prevenir concientizando y capacitando a todas las personas que nos rodean. Dentro de la empresa es necesario que desde el CEO hasta el portero sean conscientes de que existe esta práctica y, por esa razón, deben ser muy cuidadosos con la información que suministran. Nosotros recomendamos que se creen y apliquen políticas de seguridad, como ser más inteligente con las contraseñas —y cuidar la forma que se establece para recuperarlas al perderlas—, no anotar contraseñas, accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente. Ser cuidadoso en quién se confía y estar alerta a las intenciones que tienen quienes intentan ayudar. No abrir correos de desconocidos y tener cuidado con las ofertas o premios no solicitados, entre otras”, completa Abraham.

Con el fin de evitar estos ataques, también es importante que las personas sepan qué información es clasificada como sensible, confidencial o pública. Esto permite tener un mayor control de los límites que existen en el momento de compartir datos con otras personas, lo cual evita filtraciones. “Nosotros recomendamos como medida adicional hacer talleres de ingeniería social en donde se realicen controles respecto al tema. Contratar con una empresa consultora de seguridad de la información que haga ingeniería social entre los empleados y determine quiénes han sido víctimas de estas prácticas para mejorar y reforzar su capacitación”, aconseja la ingeniera Jacqueline Tangarife.

Productos de HP

La ingeniería social es una práctica que no puede ser corregida con equipos de marca alguna, ya que depende mucho de las reacciones humanas. Sin embargo, empresas como Hewlett Packard hacen grandes esfuerzos al diseñar y poner al servicio de los usuarios equipos como los HP TippingPoint Intrusion Prevention System (IPS) , que intentan proteger la información que entra a la empresa mediante reglas sencillas. HP es una marca líder reconocida en inteligencia e investigación de seguridad de tecnologías de la información.

El núcleo de ese programa es el HP DVLabs, donde los investigadores de vulnerabilidad y los desarrolladores aplican ingeniería inversa de vanguardia, así como técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de internet, analizan las nuevas hazañas, detectan las vulnerabilidades al instante y crean filtros IPS que se entregan de forma automática a los clientes de HP TippingPoint NGIPS, con el fin de que tengan protección en tiempo real. A pesar de todo esto, la ingeniería social puede tener tantos matices que es imposible proteger en un 100% a una empresa.

Imagen: editorialtripie (vía Flickr).

Por: Ana Arbelaez

En nuestra guía de la semana hablamos sobre la importancia de hacer pruebas de penetración y poner en práctica los procesos de hacking ético. Hay diferentes formas llevar a cabo este proceso. Las compañías grandes pueden darse el lujo de tener un equipo de seguridad informática dentro de la empresa para llevar a cabo todo este tipo de pruebas y las soluciones. Sin embargo, la gran mayoría de empresas no tiene planes -ni la necesidad- de hacerlo ‘in house’. Por eso hay organizaciones especializadas en seguridad informática que prestan el servicio de hacking ético.

Acá les presentamos dos con perfiles muy diferentes.

Lock-Net

Lock-Net es una empresa colombiana que tiene más de 10 años en el mercado de seguridad informática. Una de las grandes cualidades de esta organización es que no está casado con ningún fabricante de software o hardware. Por lo tanto, Lock-Net puede construir soluciones a la medida para cualquier cliente, muchas veces usando código abierto.

Sin embargo, los ingenieros de Lock-Net también saben que hay compañías de tecnología grandes como HP que tienen productos que son necesarios en casos definidos. Pero el valor agregado de Lock-Net es la posibilidad crear soluciones y procesos únicos para cada empresa, tratando de garantizar la seguridad de la organización.

Lock-Net ha trabajado en proyectos tan importantes como el aseguramiento de las elecciones en Ecuador y en la protección de instituciones del sector de medios en Colombia. También han hecho casos de análisis forense en compañías de abogados que han perdido dinero por tener una seguridad informática descuidada.

SSE

Esta organización creada en el 2009 tiene como misión educar a la gente a tener en cuenta la seguridad informática. Una Pyme puede aprovechar alguno de los cursos que dicta SEE para capacitar a los empleados y brindar el conocimiento necesario para mejorar la seguridad de una empresa.

En 2011, SEE fue designado como un centro de aprendizaje acreditado por el EC-Council, una institución reconocida en el mercado por sus buenas prácticas. En SEE se puede obtener certificados como CEH (Certified Ethical Hacker), que le dan prestigio a una persona y garantizan que se trabaje con los valores necesarios en un tema tan sensible.

SSE también hace consultorías en las empresas, para garantizar que tanto los empleados tengan los conocimientos y ‘los fierros’ sean los adecuados para proteger la información de los piratas.

Imagen: Cienpies Design (vía Flickr).

Tecnoguía: El ABC del hacking ético para PYMEs from ENTER.CO on Vimeo.

La palabra ‘hacker’ se encuentra en boca de todos. Existen diferentes puntos de vista en cuanto a su función en la sociedad. Existen varios tipos de hackers diferenciados por sus intenciones y métodos. Por esta razón se hace tan extensa su clasificación, que, en muchas ocasiones, va más allá del umbral entre el bien y el mal. Sin embargo, los más reconocidos se agrupan en dos categorias: ‘white hat’ hackers y ‘black hat’ hackers.

La denominación ‘white hat’ hackers (hackers de sombrero blanco, o hackers éticos) proviene de la identificación de los héroes de las antiguas películas del viejo oeste, en donde quienes pertenecían al bando de los buenos utilizaban sombreros de este color, diferenciándose así de los villanos quienes utilizaban la prenda en color negro. Estos héroes del ciberespacio se encargan de penetrar la seguridad de las empresas para encontrar vulnerabilidades y así lograr prevenirlas. Por lo general, se desempeñan como consultores de seguridad y trabajan para alguna compañía en el área de seguridad informática.

En contraposición se encuentran los ‘black hat’ hackers o hackers de sombrero negro quienes constantemente andan buscando la manera de romper la seguridad tanto de empresas como individuos con el fin de sacar provecho económico, político o estratégico  de la información que obtienen.

Según Emanuel Abraham, Ethical Hacker de la empresa Security Solutions & Education (SSE), representantes para Colombia de EC Council (Consejo Internacional de Comercio Electrónico): “el hacker o pirata informático de hoy puede ser un simple curioso o un estudiante, así como el más peligroso criminal profesional. La diferencia principal es que el hacker de sombrero negro busca vulnerar sistemas sin permisos, para robar datos, espiar, destruir información, modificar páginas web o algún otro ciberdelito”.

El ejecutivo agregó que “el hacker ético trabaja en encontrar estas vulnerabilidades para que no sean explotadas por otros hackers. Trata de adelantarse e identificarlas antes que los criminales”.

El hacking ético es una herramienta de prevención y protección de datos. Lo que se pretende es estar constantemente adelante de aquellos que nos intentan agredir haciendo pruebas y ataques propios con la ayuda de los expertos informáticos, los cuales han sido entrenados en la mentalidad delictiva de los piratas informáticos así como en las diferentes técnicas de ataque digital.

El hacking ético “es la utilización de los conocimientos de seguridad en informática para realizar pruebas en sistemas, redes o dispositivos electrónicos, buscando vulnerabilidades que explotar, con el fin de reportarlas para tomar medidas sin poner en riesgo el sistema”, explica Abraham.

Por esta razón “un hacker ético hace ‘pen tests’ o pruebas de penetración, buscando vulnerabilidades en el sistema: escalar privilegios, encontrar errores y malas configuraciones, utilizando tanto sus conocimientos en informática así como un gran abanico de herramientas, y de esta manera, pasar un reporte para que se tomen medidas,” agrega Abraham.

Sin embargo para que este tipo de intervenciones surta efecto, es necesario que haya conciencia a nivel empresarial de la importancia de la seguridad de la información, en donde se instauren diferentes políticas de seguridad que involucren a todos los actores de la empresa, permitiendo así reducir el nivel de vulnerabilidad.

“Hoy en día la información es uno de los activos más importantes de una empresa. Desde transacciones bancarias, hasta bases de datos. Muchos de estos activos se manejan por sistemas computarizados. Un mal uso de estos sistemas, junto a empleados que no están capacitados, son un punto débil en las empresas, y un punto a favor no solamente para curiosos, sino también para la competencia”, añade. “Lo que se hace, es tratar de prevenir; buscar vulnerabilidades con el fin de tomar la medida adecuada antes de que suceda un incidente”, explicó Abraham.

Así mismo, la Ingeniera Jacqueline Tangarife, Gerente de SSE dice que “es necesario que nos comprometamos con la protección de la información a nivel empresarial, por esta razón, empresas pequeñas, medianas y grandes que manejan su sistema de información por medio de internet y toda clase de dispositivos electrónicos deberían, al menos, hacer un análisis de vulnerabilidades una vez al año”. 

Teniendo en cuenta que la tecnología es dinámica y completamente cambiante, un análisis necesita ser reforzado después de un periodo máximo de doce meses. Si se hacen cambios, aunque sean mínimos, a nivel de software, hardware o de infraestructura tecnológica, o incluso, si se llega a cambiar de personal, es necesario que como medida preventiva se realicen nuevamente las pruebas de penetración con el fin de garantizar la máxima seguridad para su empresa, independientemente del tiempo transcurrido desde la última vez.

Los más vulnerables

Por lo general, las empresas que más  intentos de hackeo reciben son las que tiene que ver con los sistemas financieros, pues son ellas las que manejan dinero, sin embargo como nos explica la Ingeniera Tangarife “al ser los sistemas financieros los más fortalecidos en el medio, los ataques tienden a irse hacia el otro lado del sistema que corresponde a los usuarios, quienes en muchas ocasiones terminan siendo el eslabón más débil de la cadena de la seguridad por su falta de conocimiento respecto al tema. Debido a las malas prácticas de seguridad por parte de la gente del común, su vulnerabilidad es tan grande que los hace presas fácil para el robo, otorgando así un buen botín para los criminales”.

Igualmente, se presentan muchos casos de espionaje industrial, en el que a través de las técnicas de hackeo se busca encontrar el punto débil de la competencia para sacar provecho de esa información.

Por otro lado, son muy comunes los casos en los que organizaciones de hackers tratan de buscar que los equipos de hogares o empresas pequeñas sean manipulados como robots, creando  legiones que en determinado momento son orientados hacia un mismo objetivo, por ejemplo, un sistema gubernamental, haciendo que la solicitud de recursos del sistema sea tan grande que éste termine por colapsar, saliendo de línea. Mientras tanto, ese flujo es usado como distracción para lograr éxito con otro tipo de delitos informáticos.

Adicionalmente, los sistemas gubernamentales son perseguidos principalmente por grupos de hacktivistas en manera de protesta con el fin de exponer las debilidades del gobierno cuando han implantado leyes o regulaciones que van en contra de sus principios o del pueblo en general.

Soluciones HP

Hay empresas que dedican gran parte de sus recursos a Investigación y Desarrollo. Tal es el caso de Hewlett Packard con su HP DVLabs, donde los expertos en vulnerabilidades y los desarrolladores aplican ingeniería inversa de vanguardia y técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de Internet, analizan las nuevas formas de ataque, detectan las vulnerabilidades al instante y crean filtros para prevención de intrusos (IPS) que se entregan de forma automática a los clientes de HP TippingPoint NGIPS para que tengan protección en tiempo real de la información que entra a la empresa.

Sin embrago, como nos recuerdan los expertos, es necesario capacitar y concientizar a todos los actores del ciberespacio sin importar edad, profesión o actividad con el fin de protegernos de la amenazas que se esconden en la red, que en términos económicos pueden llegar a ser tan lucrativos como el narcotráfico.

Imagen: alphaspirit (vía Shutterstock). jpoesen (via Flickr).

Todo el tema de Buggly y la comunidad de hacking ético puso a la profesión en el ojo del huracán. Sin embargo, el hacking ético es uno de los pilares de la seguridad informática. Así como los grupos de investigación y las grandes empresas de seguridad, el hacking ético juega un componente fundamental para que las organizaciones cumplan el viejo dicho: ‘es mejor prevenir que curar’.

Para los que no saben, el hacking ético es una práctica que busca las posibles vulnerabilidades de una empresa. Los hackers, con consenso de la organización, tratar de penetrar los sistemas o usar ingeniería social para conseguir el ingreso a la infraestructura tecnológica. De esta forma, las compañías pueden saber de antemano cuales son las vulnerabilidades y tomar medidas adecuadas para estar más seguras.

Teniendo en cuenta la confusión del hacking ético, la Universidad Minuto de Dios está realizando el Cuarto Congreso Nacional de Hacking Ético y Computo Forense. El evento se llevará a cabo el 5 de abril a partir de las 7:00 a.m. en las instalaciones del IDRD (Calle 63 No. 59A – 06).

Esta versión del congreso cuenta con el apoyo de la Comunidad Élite Hackers, una entidad reconocida en el gremio en Colombia. El grupo cuenta con expertos en hacking ético, computo forense y seguridad en redes.

Más allá de ser un congreso con ponentes, esta edición tendrá diferentes talleres para poner en práctica el conocimiento adquirido. Lo más interesante es que no hay que ser un experto en el tema para poder participar. Hay talleres prácticos para niveles básicos, intermedio y avanzado. El Congreso, así como sus talleres, mostrará las últimas técnicas de hacking, siempre teniendo en cuenta la seguridad y los aspectos éticos.

Para los más conocedores, se organizarán ‘ratos hacking’, unas competencias para la participación de comunidades reconocidas en el contexto regional.

Para las empresas, tambíen habrá un ‘show floor’ de empresas que prestas servicios de seguridad informática. Estas compañías prestan precisamente servicios de hacking ético. Pactan unas condiciones con las firmas, hacen las pruebas de penetración y revisan las políticas de seguridad. Esas son las funciones a grandes rasgos ya que claramente hay aspectos técnicos y conocimiento único que le da valor a cada empresa.

Para tener más información sobre el evento puede escribir a cualquier de los dos siguientes correos: eventosredes@uniminutos.com y fgacharna@uniminuto.edu.

Imagen: Marco Rullkoetter (vía Shutterstock)

Luis Cano está nervioso. Es educador y activista de internet desde los tiempos de la primera Ley ‘Lleras’. Se metió en ese camino porque cree que esa iniciativa “nos convertía a todos en piratas“: a los estudiantes que usan la red y a los campesinos que siembran sus propias semillas. En dos años se convirtió en una de las cabezas visibles del Movimiento Pirata Colombiano (MPC). En el camino, pasó por varios grupos que fomentan el software libre, el hacking ético y la libertad de internet.

Desde que estalló el escándalo de las supuestas interceptaciones ilegales que se hacían en la sede de la comunidad Buggly, en Bogotá, su nombre salió en los medios. Algunas notas de prensa lo señalan de ser cómplice de Juan Carlos Mejía Durán en las supuestas ‘chuzadas’ no autorizadas. Una de esas notas fue reproducida por Anncol, un portal que siempre ha sido relacionado con las Farc. Esa es la que lo tiene más preocupado.

Según documentos de la Cámara de Comercio de Bogotá [PDF], Mejía Durán figura como representante legal del local en el que –según admitieron el Presidente de la República y altos mandos militares– funcionaba la fachada de una operación de inteligencia. En su perfil de Twitter, se describe como “Pirata de corazón“. Con esos retazos de evidencia y otros más –el MPC hacía algunas de sus reuniones allí–, algunos medios construyeron una versión de los hechos que Cano niega enfáticamente.

ENTER.CO habló con él. Esto es lo que dice que ocurrió.

“Vi el sitio y entré“.

Cano no niega su relación con el lugar: en julio de 2013, según dice, estaba buscando dónde hacer las reuniones del movimiento, que por entonces no tenían una sede fija. “Vi el sitio y entré“, relata. Lo hizo por su cuenta, sin que nadie le hubiera advertido nada. Pidió que le prestaran el lugar para alojar los encuentros y no hubo problema.

Mejía administraba el lugar. En poco tiempo, se hicieron “buenos amigos“. Incluso conoció a su  familia. Juan Carlos, según Cano, es santandereano, sargento retirado del Ejército y separado. Su oficio era el de su familia: preparar, servir y vender comida. Al menos al principio, no tuvo nada que ver con el hacking ético, la seguridad o los computadores; aunque lo último que aparece publicado en su Twitter son enlaces de seguridad informática.

De hecho, Mejía aparece en una antigua base de datos de proveedores de alimentación. Según le dijo a Noticias Uno el cocinero del restaurante, “lo conocía desde que trabajaba en Fontibón“. Probablemente se refiere al negocio familiar.

No era un hombre que contara con dinero. “A algunos nos pidió plata prestada, porque no tenía“, asegura Cano. Eso contrasta con varias versiones, conocidas por ENTER.CO, que afirman que la comunidad Buggly contaba con recursos económicos, que fueron muy notorios en un entorno como el de los activistas y los hackers, en el que la que la escasez es más frecuente que la abundancia.

Según Cano, Mejía estaba entregando su participación en Buggly cuando el MPC comenzó a reunirse allí. Otra persona del movimiento le dijo a ENTER.CO que el hombre un día les advirtió que era posible que la casa no pudiera volver a ser sede de los encuentros, pues él estaba vendiendo su participación.

Los nuevos socios

Los nuevos socios, según Cano, son quienes aparecían hasta hace pocos días en el caché de Google como los fundadores de la comunidad Buggly: entre otros, Carlos Betancur y Joany Alonso Guerrero. Betancur, como ya informó ENTER.CO, era una persona muy pública en la comunidad de hackers éticos de Bogotá y Medellín. De Guerrero, por otra parte, se dice –según una versión difundida por Blu Radio– que es mayor del Ejército.

“La relación de Juan Carlos con ellos era mala, se rompió“, cuenta Cano. Los nuevos socios no aparecían en las reuniones del MPC, no tenían nada que ver con eso.

A pesar de eso, con Cano sí había cordialidad. “Uno llegaba a cualquier momento y saludaba a ‘Caliche’ [Betancur]. Cualquiera podía entrar“. Como quien dice, cada uno en lo suyo. “Si hubiera visto algo sospechoso, nos hubiéramos dejado de reunir ahí“, agregó Cano.

De hecho, él no sospecha de ninguno de ellos. De ‘Caliche’ –como aun lo llama– admira “que era muy entregado a compartir el conocimiento y que respetaba la filosofía de comunidad“.

“Nos estigmatizaron“

Cano asegura que todo lo que dijeron de él y del Movimiento es falso, y que nunca estuvo vinculado ni a la operación de fachada ni, mucho menos, a las supuestas interceptaciones ilegales. “Nosotros nunca reclutamos a nadie para Buggly“, dice.

Sobre Mejía, solo señala que “saldrá a aclarar todo cuando sea tiempo“. Pero, como nos dijeron personas allegadas a él, Cano “mete las manos al fuego” por su amigo.

Tras las publicaciones, el activista buscó ayuda legal para intentar resarcir los daños que, asegura, le causaron algunos medios. Ya envió una solicitud de rectificación al portal que publicó la nota que considera más agraviosa. Pero, aun si logra que el sitio de noticias publique la retractación, el daño ya está hecho.

“El Movimiento está varado“, dice. El objetivo era intentar poner candidatos para las elecciones de Congreso del próximo mayo, pero no pudieron inscribirse porque no lograron reunir el dinero necesario.

Y ahora, peligra la realización de algunos eventos sobre seguridad informática en los que Cano está involucrado. Al parecer, hay quienes no quieren tener que ver con ellos luego de todo esto. “Nos estigmatizaron“, lamenta.

Imagen: cybriks (vía Flickr).

Los vecinos nunca sospecharon nada. Buggly era un negocio perfectamente camuflado en una casa de dos pisos en Galerías, un barrio residencial y comercial de Bogotá. Era un restaurante común y corriente, donde vendían almuerzos de lunes a sábado y el cocinero a veces tenía que salir corriendo a hacer algún mandado. El lunes abrió y funcionó como siempre. Y el martes se lo tragó la tierra.

Allí, según reveló el lunes la revista Semana, funcionaba una presunta central de interceptación ilegal del Ejército, en la que trabajaban tanto militares como hackers civiles. Los civiles habrían sido reclutados, entre otros escenarios, en Campus Party.

En esa casa, desde hace un poco más de un año, también funcionaba un lugar de encuentro para la comunidad de hacking ético y seguridad informática de Bogotá. ENTER.CO habló con varias personas de ese entorno, que explicaron cómo Buggly se convirtió en sede de reuniones, hackatones y talleres sobre estos temas.

La casa era un punto de encuentro para la comunidad de hacking ético y seguridad informática de Bogotá

En el primer piso de la casa había un restaurante. Y en el segundo funcionaban varios otros negocios: un local de videojuegos y la sala de reuniones donde se hacían los encuentros. “Realmente lo que había en el segundo piso no es diferente a lo que hay en un café internet“, dice una persona que acudió a algunas reuniones: laptops, enrutadores, cables, computadores de escritorio y otros gadgets comunes y corrientes. Lo único extraño, añade la fuente, era que “en ese piso había más puertas, [y] no sé qué había detrás de ellas“.

Un detalle que ha llamado la atención es la permanente vigilancia que tenía el local. Tanto quienes iban a almorzar como para quienes subían al segundo piso debían dejar ver sus maletas a la entrada y a la salida.

Un vecino nos contó que los vigilantes aparecieron luego del robo de un portátil en el lugar, y la persona que estuvo ahí tiene una versión similar: “en el segundo piso había muchas cosas pequeñas que uno podría ‘robarse’. Lo de la vigilancia era ‘para verificar’ y a eso no le puse problema, pero sí era algo molesto en exceso“.

La vigilancia era “molesta en exceso“

Desde el martes, en la sede de Buggly ya no hay nadie. Las sillas y las mesas quedaron plegadas. La romería de periodistas se desvaneció en horas de la tarde, y en la noche del martes solo quedaron las banderas blancas que unos activistas dejaron allí como protesta. Los encargados ni siquiera tuvieron tiempo de arrancar los avisos que anunciaban que el almuerzo solo se podía pagar en efectivo.

“Una fachada perfecta”

En el último año, Buggly logró construir una red de contactos entre la comunidad de hackers éticos y seguridad informática. Esa cercanía les habría permitido a los miembros de Buggly estar en una buena posición para reclutar a los jóvenes más talentosos, y según varias fuentes, era común que los contactaran para ganarse su confianza y enseñarles técnicas de hackeo. Parece “una fachada perfecta“, dijo el hacker.

“Ellos prestaban el salón, y a cambio pedían que algunos de sus miembros participaran de los eventos“, confirmó uno de ellos bajo condición de anonimato. “Se hicieron importantes en la comunidad en el último año“, añadió. Cada transacción de este tipo le permitía al organizador de un evento ahorrarse varios millones de pesos.

Una búsqueda en la red muestra que algunos de los fundadores de la comunidad eran reconocidos públicamente como expertos en hacking ético y seguridad informática. Al menos uno de ellos, llamado Carlos Betancur y apodado ‘Bender1185’, firmaba con nombre y apellido, tenía sus presentaciones colgadas en Slideshare y Prezi y –al contrario de lo que es usual en ese entorno– no hacía nada para mantener su anonimato.

Betancur no hacía nada para mantener su anonimato

Una de esas presentaciones se titula ‘Aplicaciones espías para dispositivos móviles’. En su blog, ofrecía cursos en los que se enseñaba a comprender y vulnerar la seguridad de diferentes sistemas de información. Como se trataba de hacking ético, el objetivo es que estos conocimientos se empleen en fines como diagnósticos a empresas, apoyo a investigaciones judiciales o detección y reparación de vulnerabilidades de seguridad. En el momento de la publicación de esta nota, los contenidos de estos cursos aun están disponibles para descarga.

Betancur estuvo en la rueda de prensa de Campus Party Medellín e incluso grabó un saludo, hoy borrado. Los organizadores del festival le confirmaron a ENTER.CO que Betancur fue el contacto entre ellos y la comunidad Buggly, una de las 72 que participó en el encuentro. Buggly regaló algunas boletas para el evento y realizó actividades de convocatoria, siempre de manera pública.

Él también aparece en fotografías con otros sujetos que, según la caché de Google, son identificadas como fundadores de la comunidad en el propio sitio web de Buggly. De hecho, las actividades que se hacían en la casa eran públicas, se compartieron muchas fotos de ellas en redes sociales e incluso, en varias ocasiones, se transmitían a través de streaming.

Casi todos los hackers entrevistados afirman que han tenido trato personal con Betancur, y algunos de ellos parecen sorprendidos de que una persona con un perfil tan público aparentemente esté vinculado a actividades secretas o de inteligencia. “Parecía una persona muy interesada en hacer crecer la comunidad“, dijo uno de ellos.

Por todo eso, tras las revelaciones, muchos miembros de la comunidad de seguridad se apresuraron a negar, en Twitter y sus blogs, cualquier vinculación con la supuesta fachada.

Otra persona que aparece asociada a Buggly registra el nombre de Nestor Cárdenas, y al parecer usa el apodo ‘borys2705’. Él es quien, según dos bases de datos, registró el dominio web de la comunidad. Con ese nickname hay registrado un perfil de Twitter, aun disponible pero inactivo desde hace meses, y un perfil cerrado de Ustream. Además, una persona con ese apodo publicó, en el sitio BuenasTareas.com, un manual para romper las contraseñas de Wi-Fi.

En la casa hay colgado un aviso donde se anuncia el sitio web hackgamers.com. El sitio, que desapareció de la red el miércoles, mostraba el menú del restaurante y algunas fotos del lugar. Está registrado a nombre de Andrés Guerrero.

Hay que aclarar que, hasta el momento, la justicia no ha determinado si Betancur, Cárdenas o Guerrero tienen o no responsabilidad en algún delito. A pesar de que el Ejército reconoció que en esa casa de Buggly se realizaban actividades encubiertas de inteligencia, ninguna autoridad ha confirmado hasta el momento que allí se hayan realizado interceptaciones ilegales.

La justicia no ha determinado si Betancur, Cárdenas o Guerrero tienen o no responsabilidad en algún delito.

Sin embargo, en cuestión de horas, toda su presencia en la red se pulverizó: los perfiles en Twitter, Linkedin, Slideshare, Prezi, blogs y sitios web tanto de Buggly como de Betancur desaparecieron apenas Semana publicó su primer informe sobre este tema. Según personas con las que hablamos y que han intentado comunicarse con él, contactarlo por teléfono también es imposible.

A pesar de eso, muchas personas de la comunidad de hacking ético están esperando que Betancur, Cárdenas o Guerrero den la cara y expliquen lo que pasó. No solo les da miedo que los involucren en actividades ilegales, sino también que su actividad termine aun más estigmatizada.