¡°Atacar a Facebook es un negocio¡±

A finales de junio, Alex Stamos (California, 1979) dej¨® su puesto en Yahoo, para velar por la seguridad de casi 1.500 millones de personas. Es el m¨¢ximo responsable de ese departamento en Facebook. El reto, por su magnitud y relevancia, le pareci¨® lo suficientemente especial como para afrontarlo. Desde su fichaje ha pasado, como el resto de reci¨¦n llegados a esa empresa, un proceso de aprendizaje de tres semanas. Tras ese periodo, los ingenieros que, como Stamos, trabajan all¨ª -que suponen el 80% de los empleados-? deciden en qu¨¦ campo quieren trabajar. Le esperaba el t¨ªtulo de director de Seguridad. Despu¨¦s de su llegada ha decidido que los desarrolladores de aplicaciones deben poner m¨¢s atenci¨®n en proteger. Ha creado un equipo de defensa de alto nivel, pensando en proteger el Internet de las Cosas -aparatos conectados a la Red-.

Su asistencia a Defcon es un cl¨¢sico. Se le considera el alma de esta cita dedicada a los hackers (piratas inform¨¢ticos). ?l no oculta el inter¨¦s principal en esta edici¨®n: buscar a qui¨¦n contratar. Quiere dar con los hackers m¨¢s capaces para que trabajen en Facebook.

Pregunta: Se habla de ataques todo el tiempo, pero, ?qui¨¦nes son los atacantes? ?de d¨®nde vienen?

Hay una guerra comercial. Casi siempre son los propios gobiernos los que pagan por atacarnos"

Respuesta: Tengo mucho que perder si desvelo esa informaci¨®n. Vamos a dejarlo en que la mayor parte de las veces la direcci¨®n IP (una identificaci¨®n asociada a cada dispositivo que se conecta a Internet) es de fuera de Estados Unidos. Hay una guerra comercial. Casi siempre son los propios gobiernos los que pagan por atacarnos. Para los atacantes es su trabajo. El m¨ªo es hacer que cada d¨ªa se frustren.

P. La misi¨®n final de Facebook es conectar a personas en todo el mundo entre s¨ª. ?C¨®mo lo van a hacer cuando todav¨ªa hay censura?

R. Mi papel es hacer que todo el mundo se pueda conectar y no se expongan. En Facebook cada punto de entrada al servicio est¨¢ encriptado. Estamos reforzando tambi¨¦n el env¨ªo de cada uno de los paquetes y poniendo especial atenci¨®n a nuestras aplicaciones m¨®viles. Somos la ¨²nica de las grandes empresas de Internet que tiene un servicio oculto basado en Tor para proteger a los usuarios.

P. ?Por qu¨¦ Tor? (El navegador que hace virtualmente an¨®nimo el punto de conexi¨®n a la Red, muy popular entre disidentes en las dictaduras)

R. Porque es la ¨²nica opci¨®n realista que funciona, que mantiene el anonimato. Aunque es una batalla constante, no vamos a dejar de investigar en ese aspecto.

P. Acaba de decir que es la ¨²nica de las grandes empresas de Internet que hace esto, ?por qu¨¦ no crean un est¨¢ndar que sigan todos?

R. Es un debate global. ?D¨®nde comienza la defensa y d¨®nde entran en juego las fuerzas del Estado? La banca se protege, pero tambi¨¦n tiene que estar alerta ante el lavado de dinero. Es complicado. En los pr¨®ximos dos a?os, la gente va a empezar a tener mejores sensaciones al respecto. Los gobiernos ya comienzan a tener claro qu¨¦ es lo b¨¢sico y que se deber¨ªa hacer desde el punto de vista de la ciberseguridad.

Es muy dif¨ªcil saber qu¨¦ quieren los atacantes. Vemos muchos ataques contra particulares, contra gente normal a la que quieren usurpar su contrase?a"

P. ?Por qu¨¦ atacan a Facebook? ?Qu¨¦ es lo que buscan?

R. Es muy dif¨ªcil saber qu¨¦ quieren los atacantes. Vemos muchos ataques contra particulares, contra gente normal a la que quieren usurpar su contrase?a. Tambi¨¦n malware, quieren meter c¨®digo malicioso en Facebook para diseminar virus. Atacar a Facebook es un negocio. Nadie va a salir diciendo: ¡°Hey, hemos gastado cuatro millones de d¨®lares en este programa y vamos a por ellos¡±, pero se venden programas para atacarnos.

P. ?Qu¨¦ retos de seguridad plantea Internet.org?

R. Muchos. Normalmente, se tiende a atacar a los sistemas m¨¢s populares. Afecta a m¨¢s gente, por lo que es m¨¢s rentable. Solo con ese dato pueden hacerse una idea de c¨®mo es mi trabajo... En los pa¨ªses emergentes nos encontramos de todo, desde m¨®viles casi obsoletos a aparatos con distribuciones de Android sin actualizar, no miro a nadie¡­ O peor, con versiones no oficiales que son peligrosas. Con Internet.org asumimos que nuestro deber es proteger a estos usuarios que, en su mayor¨ªa, nunca antes ha tenido acceso a Internet.

P. ?Qu¨¦ retos tiene Internet.org en su campo?

R. La seguridad constante, se tenga la conexi¨®n que se tenga. Proteger a alguien que est¨¢ bajo una red 4G es m¨¢s sencillo, pero cuando lo normal es que est¨¦n bajo un 2G muy precario en que se pierden paquetes de datos, todo se complica.

En Facebook te comunicas con amigos y familiares. Tienes que confiar en nosotros, en c¨®mo tomamos las decisiones para gestionarlo. Seguridad y privacidad, formalmente, son dos equipos separados, pero en conversaci¨®n constante"

P. ?Qu¨¦ medidas de seguridad van a poner en sus drones que dotan de conexi¨®n?

R. Es un gran reto. Es algo totalmente nuevo. Tambi¨¦n es una responsabilidad. En seis meses lo tendremos mucho m¨¢s claro. Ahora tenemos que confundirnos r¨¢pido, equivocarnos, para aprender y mejorar.

P. Est¨¢ bien que ustedes impulsen cambios , pero, ?de qu¨¦ sirve si el resto de las empresas no sigue ese ritmo?

R. Debemos impulsar que los dem¨¢s se sumen. Con Threat Exchange hemos creado un marco com¨²n de intercambio de amenazas. Formamos parte Tumblr, Yahoo, Twitter, Pinterest, Microsoft. As¨ª podemos estar alerta y reforzarnos.

P. Llama la atenci¨®n que lo diga porque lo presentaron dos d¨ªas despu¨¦s de la visita del presidente Obama a Stanford, cuando propuso la creaci¨®n de algo muy parecido. ?Por qu¨¦ no se suman a la iniciativa del Gobierno?

Quiero contratar gente distinta, diferente. Me encanta la gente con curiosidad por saber c¨®mo funcionan las cosas, sin ser necesariamente t¨¦cnicos. Gente con contexto, que no est¨¦n contaminados por la industria"

R. Nuestros abogados no creen que debamos colaborar. Con Threat Exchange hemos creado una herramienta ¨²til para la industria, es una alianza comercial e independiente. El Gobierno puede hacer est¨¢ndares o proponer algo b¨¢sico, pero el debate est¨¢ en hasta d¨®nde quiero dar acceso al Estado. Si el Estado quiere compartir con nosotros, muy bien, hablemos.

P. ?D¨®nde est¨¢ la frontera entre seguridad y privacidad?

R. Es una l¨ªnea delgada y difusa. En Facebook te comunicas con amigos y familiares. Tienes que confiar en nosotros, en c¨®mo tomamos las decisiones para gestionarlo. Seguridad y privacidad, formalmente, son dos equipos separados, pero en conversaci¨®n constante.

P. En Defcon viene a buscar personas para contratar, ?qu¨¦ perfiles son los que busca?

R. Gente distinta, diferente. Me encanta la gente con curiosidad por saber c¨®mo funcionan las cosas, sin ser necesariamente t¨¦cnicos. Gente con contexto, que no est¨¦n contaminados por la industria.

P. ?C¨®mo ve el sector de la seguridad inform¨¢tica?

R. Con mucha necesidad de talento. El ataque a Sony removi¨® mucho el sector. Es una industria grande, pero todav¨ªa no lo suficiente. Sony es una gran empresa, pero quiz¨¢ no dio a los estudios la entidad que ten¨ªan. Como ellos hay, al menos, otras 1.000 empresas que podr¨ªan atacarse porque, aunque son relevantes, no toman precauciones acordes con su importancia. Tienen que despertar y tomar medidas. En los pr¨®ximos 10 a?os, este campo va a crecer much¨ªsimo.