Los 'hackers blancos' españoles se reúnen para denunciar las debilidades de la Red
La sexta edición de las jornadas No Con Name, celebradas en Palma de Mallorca, contó con representación internacional - El descuido de las viejas redes X25 es vía de coladero a las actuales redes principales
Un centenar de expertos en seguridad informática, la mayoría empleados en las principales consultoras independientes españolas, se reunieron la semana pasada en Palma de Mallorca para contarse historias que ponen los pelos de punta. Como el juego de niños que es robar miles de datos personales o asaltar las redes bancarias, militares y corporativas del mundo.
La sexta edición de las jornadas No Con Name contó con una nutrida representación internacional, como el italiano Raoul Chiesa, quien demostró cómo se puede entrar ilegalmente en una red corporativa. También enseñó pruebas de sus paseos por sistemas de satélites. Los conferenciantes, sin embargo, en su exposición ocultaban o falseaban los datos técnicos que pudieran permitir a un tercero, malicioso, entrar en los sistemas analizados. No se trataba de propagar el hackerismo, sino de alertar sobre las vulnerabilidades para combatirlas y predicar acerca de la necesidad que tienen las empresas de no desatender sus sistemas de seguridad digital.
Chiesa es un experto en redes X25, usadas por grandes empresas, operadoras y gobiernos cuando no existía Internet: "Todo el mundo se ha olvidado de sus viejos accesos a estas redes y no les dedican ninguna seguridad. Son puertas traseras totalmente abiertas, que permiten entrar en las redes principales".
El italiano afirma que hay un centenar de redes X25 funcionando aún en el mundo, transportando información "fácilmente interceptable y con pocas posibilidades de que te descubran", como transferencias bancarias, información aeronáutica, datos corporativos o gubernamentales.
Los argentinos César Cerrudo y Esteban Martínez afirmaron en su charla: "Podemos robar una base de datos en cinco segundos. Es sencillo porque la mayoría no están bien aseguradas". En el último año, 53 millones de personas han visto sus datos comprometidos en el mundo, la mayoría almacenados en grandes compañías. Una cifra pequeña, aseguraron: "Hay más casos, pero no se conocen porque sólo las empresas de EE UU tienen la obligación legal de denunciarlo".
Los argentinos dijeron haber descubierto más de 100 agujeros en bases de datos: "Esto significa que, aunque tengas tu servidor bien configurado y parcheado, sigue siendo vulnerable a través de muchas técnicas, que permiten robar una base de datos completa en cuestión de minutos y a distancia, sin tener que meterte dentro", explicaron y demostraron.
La No Con Name contó con otras conferencias sobre cómo robar códigos de acceso, ataques a aplicaciones, virus, ingeniería inversa. Puso la guinda el tejano Shawn Merdinger, quien diseccionó la oferta de teléfonos para VozIP, donde la seguridad brilla por su ausencia: puertos abiertos que permiten a un atacante reconfigurar o bombardear el teléfono, espiar llamadas y otras maravillas.
Merdinger afirmó: "Las empresas de VozIP están más preocupadas por adquirir mercado que por la seguridad, y sus aparatos permiten todos los ataques clásicos. Si consiguen su objetivo de meternos VozIP en neveras, coches, controles remotos, consolas, aviones, será una locura". El tejano relató un fraude en Estados Unidos, donde dos delincuentes robaron servicio a un proveedor de VozIP y lo revendieron por un millón de dólares.
Los hackers reunidos en Palma añadían más experiencias, como entradas en sistemas de algunos bancos o en las redes de la OTAN. A los ojos de los hackers blancos españoles, el mundo virtual está fatal.
Se acabó la tinta
La estrella del congreso era el DNI electrónico, que relegará el dedo entintado para dejar registrar la huella, aseguró Alejandro Ramos, que ha participado en el proyecto: "La impresión dactilar se conseguirá mediante un sistema biométrico y, en ocho minutos tendremos nuestro nuevo DNI".
Ramos afirmó que ya se está expidiendo con normalidad en una docena de ciudades, aunque quien no quiera activar la utilidad informática no está obligado a hacerlo. Con ella, explicó, se puede presentar a distancia la declaración de la renta, participar en subastas públicas o acceder a servicios de la Seguridad Social.
En caso de querer usarlo en Internet, hay que tener un aparato lector de tarjetas, descargar un certificado de la web de la Dirección General de Policía y activar el PIN, en uno de los quioscos dispuestos en las comisarías. De momento sólo funciona con Windows. El experto desmintió que fuese difícil usarlo: "Tampoco es cierto que en él se guarden nuestro ADN, grupo sanguíneo o historial de tráfico, sólo la información normal sobre quién es el ciudadano y sus certificados digitales".
Ramos destacó la robustez del sistema: "Para abrir el chip se necesitaría una cantidad muy importante de desarrollo. También se ha cuidado mucho que, cuando se meta el DNI en un dispositivo, no se pueda leer la comunicación entre ambos. No existen riesgos técnicos, excepto la picaresca".
NO CON NAME: www.noconname.org/congreso2006.php
