Empezó joven, muy joven, de hecho no había abandonado la niñez cuando ya estaba enredado en esto de los ordenadores. Ello explica, en parte, que con sólo 35 años sea reconocido como un experto en seguridad informática a nivel internacional. Con aspecto informal, (vaqueros, camiseta, mochila al hombro y el pelo recogido en una coleta), y portátil en mano, (no lo suelta ni para la foto), José María Alonso Cebrián, ponente en el curso de verano sobre seguridad en entornos web conversó con nosotros antes de su charla. Aunque su apodo en la red es Maligno él va de chico bueno que nunca ha roto un plato. Hay que otorgarle el beneficio de la duda, difícil cuando tras su conferencia “Seguridad e Infraestructuras: Intrusismo en web” los asistentes aseguran que ha hackeado en directo varias páginas, una de ellas la de la propia Universidad de Almería.
¿Cómo fueron tus inicios?
Con la informática empecé muy joven. Lo típico, como nos iniciamos muchos de nosotros, un ordenador que entra en casa, oyes que dicen que la informática es el futuro, y con 12 años programaba en Basic, los juegos ya existían aunque eran de otra manera. Me gustó, seguí en ello, hice los estudios universitarios, primero la técnica, me puse a trabajar, continué con la ingeniería, después realice un máster y actualmente estoy realizando mi doctorado. Al principio empecé a trabajar con bases de datos y otras cosas y no fue hasta el año 2001 que me metí en esto de la seguridad y desde luego toda la base que traía fue fantástica para abordar este tema.
¿Y cómo te atrajo la seguridad informática?
Vi que estaba bien, había intrusismo, penetraciones, y que este tema me gustaba. Además en el doctorado pudimos publicar trabajos que habíamos llevado a cabo. Hice la maleta, me fui a Londres a mejorar el idioma, mejor dicho a aprender inglés, (ríe), y a partir de ahí todo fue rodado, participando en las conferencias más importantes del mundo sobre seguridad informática.
Entonces tú nunca fuiste de los malos, tus comienzos ya fueron trabajando para empresas muy potentes…
(Risas.) Esa es una leyenda muy chula la de que hay que ser primero de los malos. Yo creo que todos tenemos eso que se llama el “perfil gris”, porque tienes la facilidad de entrar en sitios, probar y ver, y curiosear, y sobre todo probar las técnicas. Si tú quieres probar una técnica no puedes montarte miles de entornos para hacer prueba. Tampoco puedes descubrir un fallo si a ti no se te ocurriera primero…La experiencia de intrusión te permite ver esos fallos en la realidad. Nosotros en nuestro trabajo hacemos intrusión, ¡pero consentida! Es cierto que hay un gran número de gente que hace lo que nosotros llamamos el hacker gris, -(este concepto describe la etapa por la que pasan casi todos los hackers; se espera que todo hacker gris logre madurar y crecer informáticamente, con el fin de rescatarlos éticamente y puedan aportar algo mucho más útil, contrariamente al daño que pudiera ocasionar al convertirse en un cracker)-, pero la realidad es que los malos malos de verdad difícilmente trabajan luego.
Vosotros sois los piratas “legales”…
No, no, piratas no. Claro que para detectar fallos de seguridad hay que meterse pero siempre con permiso…
Pero os contratan para que les hagáis de cracker, de malos…
Sí, sí, es muy divertido porque siempre es mejor que te paguen por romper cristales que por ponerlos.
¿Y algunos casos en los que estáis trabajando? (La cara de José María Alonso trasmite pocas esperanzas, por lo que rectifico.) Podrías hablarnos del pecado y no del pecador…
El mensaje es que todavía hay mucho que avanzar en seguridad informática. Hay mucha gente, empresas, instituciones, etcétera, que está concienciada pero sus propios procesos internos no les permiten resolver muchos de sus fallos en seguridad. La seguridad hoy en día está mal en internet y es escandaloso lo que sucede día a día en la web. Encontramos fallos de seguridad muy grandes en empresas, organismos oficiales, empresas de seguridad… prácticamente a diario.
Por ejemplo…
Hemos tenido muchísimos recientemente. Todos los días están publicadas en Pastebin – (una página web)- miles y miles de contraseñas de usuarios de hotmail, de messenger, de gmail, … Hemos tenido también el caso de la Unión Europea donde en la página de la presidencia española aparecía Mr Bean… La semana pasada la web de Nixan … No llegan a hacer nada pero los que han entrado demuestran en su acción que tienen el control total y queda en evidencia la falta de seguridad del sitio. Otro caso que ahora recuerdo son los de las páginas de los partidos políticos que son hackeadas insistentemente: por ejemplo la web de Izquierda Unida apareció con la foto de Zapatero y Rajoy dándose la mano y tras ellos la bandera de España preconstitucional, la del Psoe y la del PP también sufren ataques frecuentemente…
¿Se podrían cambiar las notas?, quizá le interese esto a alguno de los participantes en el curso…
Se puede, se puede hacer. Esta es una de las demostraciones que suelo hacer en las universidades, decirles como pueden cambiarse las notas, pero luego hay una revisión manual así que en este caso no habría problema, por suerte.
Mañana martes José María Alonso Cebrián repetirá en el curso Seguridad en entornos web: e-comercio y e-administración con la conferencia “Análisis Forense de un Ataque” y seguro volverá a dejarnos como si acabáramos de ver una película de ciencia-ficción.