Los 'hackers blancos' espa?oles se re¨²nen para denunciar las debilidades de la Red

Un centenar de expertos en seguridad inform¨¢tica, la mayor¨ªa empleados en las principales consultoras independientes espa?olas, se reunieron la semana pasada en Palma de Mallorca para contarse historias que ponen los pelos de punta. Como el juego de ni?os que es robar miles de datos personales o asaltar las redes bancarias, militares y corporativas del mundo.

La sexta edici¨®n de las jornadas No Con Name cont¨® con una nutrida representaci¨®n internacional, como el italiano Raoul Chiesa, quien demostr¨® c¨®mo se puede entrar ilegalmente en una red corporativa. Tambi¨¦n ense?¨® pruebas de sus paseos por sistemas de sat¨¦lites. Los conferenciantes, sin embargo, en su exposici¨®n ocultaban o falseaban los datos t¨¦cnicos que pudieran permitir a un tercero, malicioso, entrar en los sistemas analizados. No se trataba de propagar el hackerismo, sino de alertar sobre las vulnerabilidades para combatirlas y predicar acerca de la necesidad que tienen las empresas de no desatender sus sistemas de seguridad digital.

Chiesa es un experto en redes X25, usadas por grandes empresas, operadoras y gobiernos cuando no exist¨ªa Internet: "Todo el mundo se ha olvidado de sus viejos accesos a estas redes y no les dedican ninguna seguridad. Son puertas traseras totalmente abiertas, que permiten entrar en las redes principales".

El italiano afirma que hay un centenar de redes X25 funcionando a¨²n en el mundo, transportando informaci¨®n "f¨¢cilmente interceptable y con pocas posibilidades de que te descubran", como transferencias bancarias, informaci¨®n aeron¨¢utica, datos corporativos o gubernamentales.

Los argentinos C¨¦sar Cerrudo y Esteban Mart¨ªnez afirmaron en su charla: "Podemos robar una base de datos en cinco segundos. Es sencillo porque la mayor¨ªa no est¨¢n bien aseguradas". En el ¨²ltimo a?o, 53 millones de personas han visto sus datos comprometidos en el mundo, la mayor¨ªa almacenados en grandes compa?¨ªas. Una cifra peque?a, aseguraron: "Hay m¨¢s casos, pero no se conocen porque s¨®lo las empresas de EE UU tienen la obligaci¨®n legal de denunciarlo".

Los argentinos dijeron haber descubierto m¨¢s de 100 agujeros en bases de datos: "Esto significa que, aunque tengas tu servidor bien configurado y parcheado, sigue siendo vulnerable a trav¨¦s de muchas t¨¦cnicas, que permiten robar una base de datos completa en cuesti¨®n de minutos y a distancia, sin tener que meterte dentro", explicaron y demostraron.

La No Con Name cont¨® con otras conferencias sobre c¨®mo robar c¨®digos de acceso, ataques a aplicaciones, virus, ingenier¨ªa inversa. Puso la guinda el tejano Shawn Merdinger, quien diseccion¨® la oferta de tel¨¦fonos para VozIP, donde la seguridad brilla por su ausencia: puertos abiertos que permiten a un atacante reconfigurar o bombardear el tel¨¦fono, espiar llamadas y otras maravillas.

Merdinger afirm¨®: "Las empresas de VozIP est¨¢n m¨¢s preocupadas por adquirir mercado que por la seguridad, y sus aparatos permiten todos los ataques cl¨¢sicos. Si consiguen su objetivo de meternos VozIP en neveras, coches, controles remotos, consolas, aviones, ser¨¢ una locura". El tejano relat¨® un fraude en Estados Unidos, donde dos delincuentes robaron servicio a un proveedor de VozIP y lo revendieron por un mill¨®n de d¨®lares.

Los hackers reunidos en Palma a?ad¨ªan m¨¢s experiencias, como entradas en sistemas de algunos bancos o en las redes de la OTAN. A los ojos de los hackers blancos espa?oles, el mundo virtual est¨¢ fatal.

Se acab¨® la tinta

La estrella del congreso era el DNI electr¨®nico, que relegar¨¢ el dedo entintado para dejar registrar la huella, asegur¨® Alejandro Ramos, que ha participado en el proyecto: "La impresi¨®n dactilar se conseguir¨¢ mediante un sistema biom¨¦trico y, en ocho minutos tendremos nuestro nuevo DNI".

Ramos afirm¨® que ya se est¨¢ expidiendo con normalidad en una docena de ciudades, aunque quien no quiera activar la utilidad inform¨¢tica no est¨¢ obligado a hacerlo. Con ella, explic¨®, se puede presentar a distancia la declaraci¨®n de la renta, participar en subastas p¨²blicas o acceder a servicios de la Seguridad Social.

En caso de querer usarlo en Internet, hay que tener un aparato lector de tarjetas, descargar un certificado de la web de la Direcci¨®n General de Polic¨ªa y activar el PIN, en uno de los quioscos dispuestos en las comisar¨ªas. De momento s¨®lo funciona con Windows. El experto desminti¨® que fuese dif¨ªcil usarlo: "Tampoco es cierto que en ¨¦l se guarden nuestro ADN, grupo sangu¨ªneo o historial de tr¨¢fico, s¨®lo la informaci¨®n normal sobre qui¨¦n es el ciudadano y sus certificados digitales".

Ramos destac¨® la robustez del sistema: "Para abrir el chip se necesitar¨ªa una cantidad muy importante de desarrollo. Tambi¨¦n se ha cuidado mucho que, cuando se meta el DNI en un dispositivo, no se pueda leer la comunicaci¨®n entre ambos. No existen riesgos t¨¦cnicos, excepto la picaresca".

NO CON NAME: www.noconname.org/congreso2006.php