Cesar Cerrudo, el argentino que logró hackear los semáforos de Nueva York

El pasado jueves 24 de agosto se realizó la tercera versión de la 8.8 GOBIERNO, conferencia enfocada al trabajo de ciberseguridad de gobiernos e instituciones del Estado. Desarrollada en conjunto por 8.8 Computer Security Conference y el CSIRT del Ministerio del Interior, 8.8 TR3CE GOBIERNO fue un evento exclusivo para los encargados de la Ciberseguridad y la Red de Conectividad del Estado.

Uno de sus principales invitados fue César Cerrudo, uno de los hackers más importantes de Argentina con reconocimiento mundial.

Ha sido hacker profesional por más de 20 años realizando diferentes trabajos e investigaciones en ciberseguridad. Actualmente es asesor de ciberseguridad para empresas, instituciones y gobiernos, también es CEO de Argeniss Software entre otras cosas.

Logró fama mundial cuando que hackeó los semáforos de New York luego de publicar una de sus tantas investigaciones.

Durante su carrera ha ayudado a empresas como Microsoft, Oracle, Twitter, IBM y muchas otras, a proteger sus tecnologías identificando cientos de problemas de seguridad que afectaban a millones de personas.

En conversación con Qué Pasa, César habló sobre su carrera en ciberseguridad, cómo convertirse en un hacker profesional, y algunos consejos para que las personas se puedan proteger de ataques cibernéticos.

¿Cómo partiste esta profesión de ser un hacker profesional?

Para empezar, un hacker profesional se utiliza como para referir a hacker bueno, porque, en general, mucha gente entiende el ser hacker como algo malo, pero en realidad los que nos dedicamos ciberseguridad lo tomamos como algo bueno y es como en cualquier profesión.

Un hacker puede ser bueno o malo, pero en general se ciberseguridad se toma hacker como algo bueno, y eso por algo relacionado a las películas.

En mi caso, yo aprendí solo por mi cuenta, siempre me gustó el tema de hackear. No tenía dónde aprender. No existe como una carrera universitaria ni nada y hace más de 20 años, que recién empezaba internet y era difícil acceder, no había recursos. Cuando empecé a tener acceso a internet, a libros, a recursos online, ahí pude aprender por mi cuenta y probar cosas.

Hoy en día eso es más sencillo porque hay hay cursos, hay un montón de material online donde uno puede aprender distintas cosas de alguien.

-¿Qué tan expuesto estamos los seres humanos respecto a nuestros datos que están en las aplicaciones? ¿Hay alguna forma de de protegernos?

En general, la mayoría de las personas están muy expuestas, por un lado por toda la información que comparten online en redes sociales, y la información que uno ingresa a los distintos servicios que utilizan. Entonces, si cualquiera de estos servicios que nosotros utilizamos es hackeado, toda esta información queda expuesta, por lo que la mejor manera de de protegerse es:

1. Tomarse el trabajo de de aprender protecciones básicas de ciberseguridad. Lo que es el uso de internet, del uso de teléfono celular, de computadora que no es muy difícil y Para evitar que. Proveer mucha información para aprovechar, evitar usar claves que sean fáciles de usar para evitar ser víctima de engaños y que nos roben información.

En mi último libro, “Guía de seguridad de un Hacker” doy consejos prácticos para protegerse ante posibles amenazas -actuales y futuras- de ciberseguridad en un lenguaje cotidiano.

2. Aprender a hacer uso seguro de la tecnología, porque cuando a uno le hackean las cuentas del banco, se pueden incluso robar dinero de las cuentas, por eso la importancia del conocimiento.

3.Más términos de privacidad en aplicaciones del celular. Un ejemplo, con con el uso seguro del celular, es que la mayoría de la gente no le pone código PIN a la tarjeta SIM (chip). Entonces, si te roban el teléfono lo perdés, le sacan el chip, lo ponen en otro teléfono, ya pueden acceder a tu WhatsApp y a tus línea telefónicas.

También, si conocen tu email, te podrían recuperar tu contraseña de redes sociales y robártelas. Las cuentas de redes sociales que hoy viste por el número de teléfono uno por SMS puede a veces recuperar un código si te olvidaste la contraseña de Instagram, Facebook o algo.

4.Habilitar el rastreo del celular, que también el tema de las notificaciones que no se vean cuando el teléfono está bloqueado. Son cosas que son muy fáciles de configurar para protegerse, pero la mayoría de la gente lo desconoce.

-¿Cuáles crees que son como los principales mitos que que las personas siempre han relacionan con ser un hacker?

Los principales mitos, tienen que ver con lo lo que pasa en las películas.

• Las personas asocian a los hacker con cosas malas y con alguien que está escondido en el sótano de una casa.

Pero bueno, no es así. Los hackers son personas comunes y corrientes apasionados de la tecnología que le gusta entender la tecnología, y poder sobrepasar los límites que se acerquen a hacer con la tecnología cosas que tal vez no fueron pensadas y también encontrar los problemas de ciberseguridad que hay en las distintas tecnologías para que estos problemas puedan ser arreglados por los fabricantes.

• Los hackers hacen cosas malas todo el tiempo.

Por lo general la gente, mucha gente que se dedica a la seguridad informática, al hacking, lo que hace es que les pagan para encontrar los problemas de ciberseguridad en la tecnología.Eentonces los fabricantes de las tecnologías pueden solucionar estos problemas y así prevenir hackeos y ataques.

¿En qué trabaja alguien que se define como un hacker profesional en ciberseguridad?

Trabaja asesorando a empresas, organizaciones y gobiernos en cómo asegurar tecnología, auditando la tecnología que utilizamos cotidianamente. Por ejemplo, te pueden contratar para que investigue una aplicación, que no tenga problemas de seguridad.

También puede ser con sistemas software para computadoras y en definitiva, es como que aún no le pagan para analizar las distintas tecnologías y ver que esas tecnologías sean seguras.

-¿Crees que hoy en día hay como carreras que puedan ser cada vez más afines a lograr ser un hacker profesional?

Todavía a nivel formal, universitario, no hay carreras específicas de hacker ni ciberseguridad, pero sí dentro de la carrera de ingeniería de sistemas, licenciatura de sistema, lo que tenga que ver con software, tecnología y sistemas tienen algunas materias, algo que tiene que ver con ciberseguridad y que se aplica a hacking.

Todo esto porque ayuda a entender cómo construir software, cómo trabajan las computadoras, los distintos dispositivos, y ayuda a entender y a desarrollarse mejor en el tema del hacking y ciberseguridad. Pero si no lo que hay en muchos material online, libros y cursos privados.

-¿Por qué las instituciones como del Estado, gobierno, instituciones, bancos, se puedan hackear a veces, por qué pueden llegar a ser tan vulnerables?

Hay muchas razones, y no es que siempre se pueda hackear con facilidad. Depende del caso, pero por lo general cuando una organización así es jaqueada, pueden ser distintas razones:

No haya tenido muy buena seguridad

Haya tenido algún algún problema de seguridad software que utiliza. Y que ese ese problema de seguridad haya sido aprovechado por los atacantes en este caso.

No es tanto culpa de de la organización que saliera, sino más que nada de la empresa que provee y que desarrolla el software.

Asimismo, la organización puede tener una buena seguridad, pero tuvo un descuido, y fue aprovechado, al igual que el software.

Pero cualquier sistema puede ser hackeable, por supuesto, mientras más seguridad, más protección le ponga más difícil se hace hackear. O sea, todos los sistemas son más o menos fáciles de hackear, más o menos difíciles de hackear.

Pero esto es como tener una casa que tiene muchas puertas, muchas ventanas. Y cuando ya te vas a dormir o te vas de la casa siempre te fijas que esté todo bien cerrado, las puertas, las ventanas que esté todo bien asegurado, con candado, con llave, pero bueno, un día tal vez te olvidaste de poner la cerradura y viene alguien justo, prueba y abre y entra. Entonces, a lo que voy es que siempre tenés que estar atento, siempre que vigilar, siempre controlar y es algo continuo constante para poder tener una una muy buena seguridad de una organización.

¿Cuáles son las mayores debilidades de los sistemas de de seguridad?

Hoy en día, una de las mayores debilidades es el ser humano, es la persona. En el sentido de que puede sufrir distintos engaños, y termina permitiendo el ingreso de un atacante o distintos atacante.

Por ejemplo, si a una persona le llega algún mensaje por WhatsApp, mensaje de texto, distintos sistemas o por email y termina haciendo clic o termina respondiendo y abre la puerta para que alguien entre.

Por eso, el que no está muy capacitado, o no está muy consciente de los temas de seguridad, es el usuario final, o sea la persona que termina apareciendo engañada y permitiendo la entrada de los atacantes a una organización, a una red. La falta de conocimiento, de concientización en seguridad y en hacer un uso seguro de la tecnología.

También, sigue el tema de sistemas que no están propiamente protegidos y configurados que son aprovechados por los atacantes para entrar a las organizaciones.

-¿Las personas necesitamos más educación digital?

Sí, eso es hoy en día hemos incorporado tanto la tecnología a nuestra vida y cada vez sigue incorporándose más, lo que nos hace sumamente dependiente de la tecnología, pero el conocimiento de cómo hacer un uso seguro de la tecnología eso no se ha introducido a la sociedad.

¿Nos enseñan cómo usar de forma segura la tecnología para que no nos jaqueen? No, no te enseñan en la escuela, no te enseñan tus padres, no te enseña nada, y queda en uno mismo aprender cómo hacer un uso seguro de la tecnología, entonces eso es algo que que a nivel mundial está faltando, o sea, hemos incorporado muy rápido la tecnología a nuestra vida, pero no hemos incorporado el conocimiento de cómo hacer un uso seguro, entonces eso facilita que para los cibercriminales puedan atacar a las personas y organizaciones.

Hay que poner más énfasis de todo lo que te educación en tecnología y en seguridad, y también en algunas cosas que legislar para acomodar la nueva tecnología a muchos procesos viejos.