Las revelaciones de Edward Snowden, el ex contratista de la Agencia Nacional de Seguridad (NSA) estadounidense, sobre el espionaje que la Casa Blanca realiza sobre millones de comunicaciones por Internet, ratificaron que la privacidad en la Red es algo frágil y fácil de violar, exponiendo la vida privada de los usuarios no sólo al escrutinio de los estados sino también de bandas de delincuentes informáticos.

La privacidad no sólo está amenazada por los espionajes estatales y privados sino también por fallas en el software y el hardware y por el descuido, la ignorancia y la imprudencia de los usuarios, según advirtió un argentino que figura entre los 10 “hackers más trascendentes del mundo”.

Matías Katz, porteño de 29 años, se autodefine como “consultor en seguridad”, aunque en la última edición de la mayor conferencia mundial de seguridad informática, la Black Hat, en junio pasado en la ciudad estadounidense de Las Vegas, fue incluido en el “top ten” de los “hackers”.

En una conferencia de prensa, este docente en universidades porteñas describió cómo es el lado oscuro de la privacidad en Internet, las computadoras personales, los teléfonos móviles inteligentes y hasta de los marcapasos, y compartió algunos consejos para no ser víctimas del espionaje y de los delincuentes informáticos.

“Todo dispositivo es ‘hackeable’ de alguna manera, hasta los Smart TV”, advirtió. Por

ejemplo, hubo casos, según dijo, demostrados en la Black Hat, donde televisores inteligentes con conexión a Internet fueron “secuestrados” y hasta que la víctima no pagaba un rescate, no podía recuperar su control.

“Le ponían un ‘malware’ (código malicioso) con programas pornográficos con volumen  muy alto”, comentó entre risas.

Incluso, existen casos, dijo, de cargadores no oficiales del iPhone que tienen embebidos virus que infectan el teléfono cuando se recarga la batería con el equipo encendido. 

Facebook en la miraKatz utiliza la red social más popular del mundo. Sin embargo, sólo admite a amigos que conoce en la vida real, y publica información profesional y no sensible, como sus actividades o fotografías y videos. 

En 2012, este consultor descubrió junto a su equipo de trabajo como se puede vulnerar la seguridad de un usuario utilizando a Facebook “como herramienta de hackeo”.

En el siguiente video, Katz explica cómo hacerlo:

http://www.youtube.com/watch?v=uiSr-6Kvf4M&feature=youtu.be

El caso es un ejemplo del uso de ingeniería social. El objetivo fue un usuario de Facebook “hiperprivado” que sólo publicaba para consumo personal y que tenía una lista muy restringida de contactos.

Sin embargo, Katz utilizó un amigo de este objetivo como nexo y pudo acceder a datos privados de esta persona paranoica.

“Facebook es muy duro (por terco) en seguridad”, afirmó, y recordó el reciente caso de un consultor pakistaní que logró publicar un mensaje en el muro del propio (Mark) Zuckerberg".

Katz incluso apuntó sobre quienes se niegan a tener un perfil propio en Facebook.

“Eso no es bueno, porque si alguien se entera que no querés estar en Facebook, puede armar un perfil falso tuyo con la información que hay en Internet sobre vos para luego robarle información a tus amigos o conocidos”.

El caso del Twitter de Casa Rosada“Twitter es mucho más seguro que Facebook porque tiene menos funcionalidades”, afirmó Katz.

En comparación con redes como la de Zuckerberg y LinkedIn, que tienen “muchísimas funcionalidades”, Twitter es más limitado y por lo tanto más seguro, según este especialista.

¿Qué sucedió entonces con el perfil de la Casa Rosada en Twitter, que recientemente sufrió una violación, según denunció el Gobierno?

Para Katz, de acuerdo “a la cronología de eventos, esto es consistente con un ‘hackeo’”, aunque aclaró: “la respuesta la tienen el ‘community manager’ (el administrador del perfil) y el que la ‘hackeó’”.

Google, el gran mirón“Google ‘trackea’ (registra y analiza) todo lo que haces y en base a eso te vende un producto”, dijo Katz, quien desafió a hacer la siguiente prueba: “Busquen en Google algo sobre lo que nunca consultaron, como motos acuáticas, durante un tiempo. Y a los pocos días comenzarán a recibir publicidades de motos acuáticas”.

Luego de recordar que Google está obligado por las leyes estadounidenses a entregar estos datos a la NSA, a requerimiento de la Casa Blanca o de la Justicia, recomendó utilizar buscadores que no registran datos de los usuarios, como DuckDuck Go.

Móviles, la primera fronteraKatz alertó sobre la importancia de equipos móviles personales como los “smartphones” y las tabletas, porque “toda nuestra identidad digital está en un solo dispositivo”. Por ejemplo, el correo electrónico personal y el laboral, perfiles de redes sociales, fotos, videos, mensajería instantánea.

El consultor recomendó poner claves en estos equipos, no simples como las que tienen 4 dígitos o por patrones de gestos porque son sencillas de descubrir, sino complejas, con mayúsculas, números y caracteres y no inferior a 8 dígitos.

Usuario de un celular Motorola Atrix y una computadora portátil con Linux, Katz utiliza en ese teléfono móvil un lector de huellas digitales aunque no utiliza su dedo índice, porque está registrado en bases de datos sobre las que no tienen control, como los controles migratorios.

También aconsejó no prestar estos equipos, protegerlos de robos al descuido y cambiar periódicamente las contraseñas.

Inconsistencias argentinasEste colaborador informático de la Policía Federal Argentina se mostró crítico sobre la situación legal de la seguridad informática local. “La Argentina es un país que vigila mucho al ciudadano, más de lo necesario algunas veces”, afirmó.

Por ejemplo, afirmó que “es más fácil ingresar por (el aeropuerto de) Ezeiza dos kilogramos de cocaína que dos iPhones”.

Señaló que “la ley de delitos informáticos tiene sólo 17 artículos, nos falta mucho”, aunque reconoció que en esta materia “estamos mucho mejor que nuestros países vecinos”, y en niveles equiparables a Brasil y Colombia.

Ante una consulta de iProfesional, reconoció que en la Argentina “hay mucha inteligencia” sobre seguridad informática, aunque negó que existan bandas de ciberdelincuentes como las que hay en Brasil o Rusia. 

Transacciones insegurasAunque se negó a identificarlos, sostuvo que en la Argentina “hay sitios de comercio electrónico con los mismos problemas de la década del ‘90”, pero aclaró que “los más populares están bien”, al igual que las aerolíneas y los bancos.

Al respecto, advirtió que no se deben realizar transacciones en línea con tarjeta de crédito, si al momento de realizarlas no se abre una ventana del proveedor del plástico (Visa o Mastercard).

La ausencia de esa ventana en el navegador web revela que los datos de la tarjeta de crédito empleada quedarán en poder del sitio de e-commerce.

Puso como ejemplo lo que sucedió en 2011 con Sony, cuando los delincuentes informáticos se llevaron miles de datos de tarjetas de crédito aprovechando esta falencia.

Carrera de un “hacker”Katz comenzó su carrera de “hacker” a los seis años cuando no podía superar un nivel del famoso juego “El príncipe de Persia”. Luego de muchas pruebas logró vulnerar el software del juego y conseguir el objetivo lúdico.

A los 16 años, inició un curso de “operador de PC” en el barrio porteño de Flores, a instancias de un amigo, pero lo abandonó porque a los 10 minutos de clase se quedaba “dormido” y aburrido porque sabía cómo desentrañar los secretos del código y los programas que se explicaban. A los 15 años de edad se ganaba algunos pesos con el arreglo de computadoras y el desarrollo de sistemas de gestión empresarial.

Hoy es director de una empresa de seguridad informática argentina, MKit, que fundó en 2008 y donde comanda un grupo de 10 personas. Ofrece tres tipos de servicios:

• Test de intrusión, en la jerga informática conocido como “hacking ético”. Una empresa lo contrata para probar sus sistemas informáticos ante posibles ataques o violaciones. Se firma un contrato donde se establece quiénes participarán, qué tareas desarrollarán, los sistemas que se examinarán y un compromiso de confidencialidad.
• Consultoría de seguridad sobre el hardware, el software y las comunicaciones de una organización.
• Capacitaciones de alto nivel técnico a empresas, organizaciones y usuarios finales. “Los jueces y los abogados son clientes frecuentes, hay jueces que no usan el e-mail y las memorias USB y hay que explicárselos”.

Los clientes de MKit son oficinas gubernamentales, bancos y todo tipo de empresas en la Argentina, países de Emperica latina y España.

¿Cómo es la carrera de un “hacker”? Según Katz, se crece a partir de “logros” como demostrar vulnerabilidades de un sistema, publicaciones y la relevancia de los hallazgos descubiertos.

Por ejemplo, en conferencias como la Black Hat los expositores o son invitados en función de su trayectoria o se los convoca a partir de las investigaciones que se presentan.

¿Cuál fue el principal logro de este consultor? Desarrolló HTExploit, una herramienta de código abierto escrito en Python que explota una debilidad en la forma en que los archivos “htaccess” se pueden configurar para proteger un directorio web con un proceso de autenticación. 

Mediante el uso de esta herramienta, se puede listar el contenido de un directorio protegido de esta manera, sin pasar por el proceso de autenticación.

Según sus cálculos, los servidores que manejan el 70% del tráfico de la web pueden ser víctimas de vulnerabilidades descubiertas con esta herramienta.

Katz mencionó el caso de Hugo Teso, un consultor de seguridad y piloto comercial que creó una aplicación para el sistema operativo móvil Android que permite "hackear" el sistema de control de aviones de pasajeros.

“De la nada pasó a ser un héroe, pero le llevó más de seis meses de trabajo”, advirtió el especialista, quien recordó a Barnaby Jack, un “hacker” estadounidense que pudo forzar cajeros automáticos a soltar dinero y provocó mejoras de seguridad para los dispositivos médicos luego de “hackear” un marcapasos.

Jack, quien murió a fines de julio en la ciudad estadounidense de San Francisco, comenzó a incursionar por curiosidad en los marcapasos y descubrió que si vulneraba la radiofrecuencia que utilizan estos dispositivos, podía provocar la muerte de los pacientes que los usan.

Fines y medios“Los malos buscan romper algo y mostrarlo. Hay buenos y malos en todos lados, pero las herramientas que usamos son las mismas. Los malos utilizan lo mismo que yo, que publico herramientas y ellos me las usan”, explicó Katz, que divide a los hackers por sus fines con una lógica binaria.

Los “hackers” éticos “hacemos mucho ruido” para que las empresas de software y hardware arreglen los problemas que estos especialistas revelan. 

Por ejemplo, es común que unos pocos días después de conferencias como la Black Hat, empresas como Microsoft u otras similares anuncien “parches” de seguridad para solucionar los agujeros descubiertos en esa conferencia y otras similares.

Este consultor destacó que Windows “es más seguro” que Linux si se comparan ambos sistemas operativos luego de hacerles las instalaciones por defecto, aunque aclaró: “el sistema operativo más seguro es el que vos protegés”.

Anonymous y WikileaksConsultado por iProfesional acerca del “hacktivismo” expresado en grupos como Anonymous, los comparó con los niños traviesos que tocan timbres de departamentos y huyen. “Es lo mismo que el ring-raje, son travesuras. Ni siquiera es activismo”.

En cambio, señaló que Wikileaks “es otra cosa, como un Robin Hood, con publicaciones de información que debería ser pública pero que no lo es. Son serios, aunque no los apoyo, porque están violando la ley”.

La mala prensa de la palabra “hacker”iProfesional le preguntó sobre qué responde cuando amigos y parientes no familiarizados con la tecnología le preguntan si es un “hacker”.

Katz explicó que esa palabra “es sinónimo de aficionado, entusiasta, nada que ver con una persona con pasamontañas.

El ‘hacker’ investiga, trata de entender las cosas y luego busca aprovechar más lo que descubrió”.

Sin embargo, admitió que la comunidad “piensa que todos somos lo mismo”, aunque aclaró que él no se presenta como “hacker” sino como “consultor informático”. 

En su tarjeta personal, Katz utiliza una serie de números y letras. ¿Un PIN extraño? No, es su firma en el sistema GNU Privacy Guard o GPG, una herramienta de cifrado y firmas digitales, que reemplaza al PGP (Pretty Good Privacy) y está basado en software libre. Quienes deseen comunicarse con él de manera segura, pueden utilizar este sistema invulnerable a miradas indiscretas.

Quién esMatías Katz es arquitecto de tecnologías de la información, especialista en seguridad informática y seguridad de la información. Posee las certificaciones CISSP, CEH y MCSE, tiene 10 años de experiencia en el área, enfocándose en la realización de auditorías de seguridad en infraestructuras y aplicaciones críticas en grandes organizaciones, tanto privadas como públicas.

Además de su empresa MKit, se desempeña como consultor externo para el sector de Delitos Informáticos de la Policía Federal Argentina, donde colabora en casos abiertos, a través de la obtención y análisis de evidencia y el armado de investigaciones activas hacia los potenciales sospechosos.

Es docente en la universidad CAECE, en la materia "Seguridad de la Información" de la carrera de Ingeniería en Sistemas, y en la carrera de postgrado de "Certificación en dirección de seguridad de la información". 

También pertenece al cuerpo docente de la carrera de postgrado "Diplomatura en Estudios Interdisciplinarios sobre Telecomunicaciones, Internet y Medios Audiovisuales" de la universidad UCES y brindó las capacitaciones "Experto Universitario en Hacking Ético" y "Experto Universitario en Seguridad de la Información" en la Universidad Tecnológica Nacional, en Buenos Aires.

Es autor del libro "Redes y seguridad", publicado por la editorial Alfaomega, y además colabora con artículos para diferentes portales internacionales de seguridad informática. 

Es autor de decenas de “papers” publicados, charlas entregadas en todo tipo de conferencias de seguridad en todo el mundo, y desarrolló diferentes herramientas utilizadas por profesionales de seguridad para realizar auditorías en todo el mundo.