Deepak Daswani: "Ningún hacker puede proteger algo o reventar algo por completo. Afortunadamente"
Charla sobre uno de los temas que los hackers suelen evitar: la ética de su trabajo.
En La amenaza hacker, Deepak Daswani cuenta cómo se hizo con las credenciales de Facebook de su vecina después de descubrir que esta pirateaba su red WIFI. En la obra, este hacker canario que trabaja como asesor en ciberseguridad para grandes empresas y colabora como divulgador con varios medios, relata también que su proceso de aprendizaje pasó por poner en solfa los sistemas de una organización para "poner a prueba mis conocimientos". Al final del libro, revela además cómo cayó en la cuenta de que aprovechar las vulnerabilidades de WhatsApp podía serle útil a la ciberinteligencia de cualquier país.
El libro, como el mismo Daswani explica a El HuffPost en un céntrico hotel de Madrid, está pensado para "ayudar a los usuarios y a las empresas a identificar los peligros a los que se exponen y a saber cómo hacerles frente". Pero la entrevista acaba dejando a un lado los términos técnicos y los consejos para evitar robos, estafas y ataques de todo tipo -abundan en el libro - para centrarse en algo de lo que los hackers no abordan con tanta frecuencia: las cuestiones éticas relacionadas con su actividad. "La delgada línea", como dice el entrevistado varias veces a lo largo de la conversación.
El tentador lado oscuro de la ciberdelincuencia
Daswani intenta desmitificar la figura del hacker, disolver la bruma de alegalidad que todavía rodea a esa figura y asemejar las implicaciones morales de su oficio a las de cualquier otro . "Cualquier persona que tenga habilidades expertas en algo las puede usar para el mal. Tengo muchos amigos boxeadores, y ellos pueden ser unos fuera de serie en el cuadrilátero o acabar con broncas en las discotecas. Alguien con conocimientos avanzados en economía puede usarlos para asesorar bien a sus clientes o para ayudarlos a defraudar. Tenemos muchísimos ejemplos", argumenta.
Pero en muy pocas carreras, la dicotomía es tan clara entre hacer las cosas bien o caer en el lado oscuro de la ciberdelincuencia, "la actividad ilícita más lucrativa del mundo". ¿Qué impide que un chaval de 15 o 20 años, con capacidad para reventar cualquier sistema, siga su camino y no se dedique a hacerse rico robando datos? "La educación que haya recibido y los principios y valores que haya desarrollado", afirma tajante el entrevistado.
"Tú tienes que decidir si quieres tener una profesión y salir a la calle tranquilamente o si quieres ser un ciberdelincuente que está escondido en una habitación robando tarjetas de crédito", sentencia Daswani, quien reconoce que los hacker tienen un carácter especial. "Es cierto que a los hackers nos mueve la inquietud, el ansia de superación, la pasión, los retos... Somos personas a las que nos gusta superar límites, barreras, obstáculos", describe.
No todas las carreras, al fin y al cabo, comienzan con la voluntad de abrir en canal un sistema, una aplicación o un código que no está pensado para eso, "pero hay caminos para hacerlo de manera legal". Se refiere a las competiciones Capture de Flag (Captura la Bandera), donde hackers de todo el mundo compiten en diferentes escenarios para mostrar sus habilidades. "Juegan a ser malos, pero para ganarse un nombre y mostrar que pueden hacer el bien", resume Daswani.
Lo que pasa "debajo de los cables"
La tentación, en cualquier caso, sigue ahí. Y el experto en ciberseguridad admite que "el morbo" lleva "en muchos casos a probar e investigar cosas en las que la línea entre el bien y el mal es muy delgada". "Todos", reconoce, "hemos podido hacer algo que estuviese en esa delgada línea, o directamente en el gris...".
Cuando le preguntamos si él ha hecho alguna vez algo en el terreno más oscuro de ese gris, Daswani contesta en broma, "no responderé sin mi abogado", y reconoce que "hay de todo, pero las cosas que se hayan hecho debajo de los cables, pues supongo que se quedarán ahí".
En La amenaza hacker sí hay la confesión de un pecadillo. Es el capítulo segundo, en el que el autor relata por primera vez uno de los episodios más importantes de su formación como hacker: el ataque a un banco "para poner a prueba mis habilidades contra sistemas reales". Fue hace más de diez años, y entonces el hacking era sólo un pasatiempo para Daswani. Logró escanear los sistemas de la entidad, localizar un servidor vulnerable y acceder a él para controlarlo y hacer lo que se le antojara...
En ese momento, "debido a la euforia", cometió un error y su trabajo se fue al traste. La frustración y el enfado consigo mismo dejaron paso al miedo: "Como mi intención inicial era simplemente la de investigar técnicas pasivas de escaneo e identificación de activos, sin realizar ningún tipo de intrusión, no estaba utilizando ningún mecanismo de ocultación para camuflar mi dirección IP".
La verdad sobre los hackers angelicales
La historia, que quedó en un susto por pura casualidad, muestra lo tentador que resulta tener el poder de quebrar las defensas de un sistema. El protagonista aduce que "no pretendía ocasionar ningún daño ni realizar ninguna acción maliciosa", pero su anécdota pone sobre la mesa otra cuestión ética especialmente candente en los últimos tiempos: la de los hackers supuestamente angelicales que ponen sus conocimientos al servicio del Bien, en mayúsculas.
Cuando le preguntamos a Deepak Daswani si esta oleada de hackers buenos no son en realidad... es él quien termina la pregunta: "¿Gente que queremos ganar dinero?". Efectivamente, la cuestión terminaba así. "Como en todo, hay gente que intentará lucrarse vendiendo humo, pero si la ciberseguridad está de moda, si este libro sale a la venta, es porque los incidentes son reales, porque ocurren cada día y porque cada vez hacen falta más profesionales en el sector que puedan ayudar de verdad", contesta. Es cierto: sólo en 2017, el Instituto Nacional de Ciberseguridad (INCIBE) resolvió más de 123.000 incidentes.
El entrevistado, experto, asesor en empresas, conferenciante y docente en escuelas de negocio, másters universitarios y seminarios de empresa, insiste en este tema y asegura que "no es necesario exagerar nada en este sector, porque tenemos incidentes todos los días. No hace falta inventarse nada ni exagerar la alerta de nada. El peligro está ahí", asegura, y él lo demuestra en cada uno de sus charlas empleando cinco minutos para hackear delante de todos la cuenta de Facebook de alguno de los asistentes.
De nuevo, ese poder. Y el de los hackers que pueden hacerlo todo y venden a las empresas una seguridad que ellos mismos pueden destruir. ¿No hay un conflicto ético claro? "Existen plataformas de intermediación entre investigadores que descubren una vulnerabilidad y empresas que piden reportes, y eso es una cosa. Pero lo de atacar sistemas y luego pedir dinero... eso es lo que llamamos hack for food [hackeo por comida] y va totalmente en contra de la filosofía que intento transmitir en el libro y de la ética, en mi opinión".
Daswani lo ilustra con un ejemplo muy gráfico: "Es como si alguien forzase por la noche la puerta de tu casa y después te dijese: 'mira, soy capaz de entrar y hacerle daño a tu familia. Así que ahora dame dinero para que eso no ocurra'. Esto no puede funcionar así, sería el caos".
Pero sabe que este tipo de estrategias existen en su mundo, y por eso es tajante: "Los buenos hackers no hacemos eso. Yo sólo he auditado sistemas de una organización si esa organización me ha contratado para ello. Hacer lo que sería una auditoría para luego pedir dinero es una aproximación radical, poco ética y que va en contra de la profesionalidad y de lo que los hackers defendemos".
Una razón para la tranquilidad: nadie lo puede todo
Yendo al fondo del asunto sobre la falsa sensación de seguridad que pueden ofrecer estos "hackers buenos", Daswani afirma que lo que es falso en realidad es que alguien pueda hacerlo todo en el terreno de la ciberseguridad. "Más allá de ser un experto, un gurú, un consultor, un asesor... ninguno tenemos los conocimientos para hacerlo todo: ni para proteger todos los sistemas ni para atacar todos los sistemas", explica.
Asegura que "defender es mucho más complicado que atacar", pero explica que para hacer cualquiera de las dos cosas hay que tener nociones -como mínimo- en un amplia variedad de campos. "Mucha gente piensa que por ser hacker ya tienes que saber hacerlo todo. Pero es lo contrario: es un terreno muy farragoso porque se mezclan muchas áreas de conocimiento: hacking, hacking web, hacking de comunicación inalámbrica, radiofrecuencia, análisis forense, ingeniería inversa, exploiting... Estoy hablando solo de cosas técnicas y todo eso para cada una de las tecnologías y sistemas que hay".
Esta imposibilidad material de controlarlo todo puede resultar mucho más tranquilizadora que confiar en "los valores" del hacker. Y Daswani lo sabe: "Nadie puede proteger de todo a una organización y nadie puede reventarla solo. Afortunadamente".