Diez años atrás, la mención de un “hacker” en el sistema encendía inmediatamente las alarmas; entonces, la defensa más común era un simple firewall y no se conocía masivamente la diferencia entre un sombrero blanco y uno negro; tampoco se entendía el aspecto positivo detrás de un experto que se dedica a probar las vulnerabilidades de los sistemas informáticos. Pero ahora, en 2018, luego de varios ataques y millonarias pérdidas asociadas, los hackers éticos se han convertido en un aliado imprescindible para fortalecer la ciberseguridad de las empresas y el Estado.
Un actor muy importante para fomentar la ciberseguridad en Chile ha sido el 8.8 Computer Security Conference, un encuentro de hacking ético que nació en 2011 y que ya cuenta con réplicas en Bolivia, Perú, México y Uruguay. Este año recibirá a dieciséis hackers expertos en analizar y vulnerar sistemas informáticos, provenientes de Estados Unidos, Italia, Argentina, Colombia, Ecuador, España, Reino Unido, Rusia y Chile, quienes se darán cita el próximo 26 y 27 de octubre en el Teatro Oriente (Av. Pedro de Valdivia 99, Providencia).
“Cuando iniciamos este encuentro en 2011 el concepto de hacking ético era muy poco conocido, y cualquier intento de vulnerar un sistema –para probarlo- era considerado un chantaje y una amenaza. Ahora existe una mayor conciencia de los beneficios y ahorros asociados a estas prácticas de ciberseguridad, y es gratificante para nosotros saber que hemos sido un aporte para expandir la comunidad y ese conocimiento”, sostiene Gabriel Bergel, organizador del 8dot8. Bergel acaba de convertirse además en el primer el primer Latinoamericano elegido para el directorio de (ISC)², la principal asociación internacional de ciberseguridad.
La prueba más evidente de este cambio es que el propio gobierno chileno nombró en agosto un asesor presidencial en Ciberseguridad, para que colabore en la confección legal e institucional de un futuro organismo público en esta materia. Además, el 1 de octubre recién pasado, el Congreso Nacional aprobó la ley 21.113 que declara Octubre como el mes de la Ciberseguridad. De este modo, en una década, el hacker pasó de ser el criminal más buscado para convertirse en el Sheriff de la seguridad.
Aunque ya existía conciencia de que era necesario un cambio de paradigma, 2018 se convirtió en el año clave en este giro, y los recientes ataques al sistema financiero chileno se encargaron de dar el último impulso. “Ya veníamos notando un incremento en la demanda de nuestros servicios, pero después del ataque a los bancos, nuestros requerimientos saltaron en casi 70%” sostiene Héctor Escalona, dueño de ITSEC, empresa de Seguridad Informática que realiza periódicamente auditorías, consultoría y pentesting desde 2007.
El 8dot8 –como es conocido popularmente- hereda su nombre de la intensidad con que se sacudió el país con el terremoto de 2010, una analogía sobre lo inesperado y devastador que puede ser un ataque informático. Actualmente el evento va por su octava versión y reúne a profesionales y expertos de todo el mundo en torno a las últimas brechas, vulnerabilidades asociadas a tecnología y avances de la seguridad informática internacional. El principal objetivo es compartir el conocimiento y crear comunidad en un ambiente distendido.
Este año los expertos del encuentro expondrán sobre vulnerabilidades en los sistemas de pago, entre ellos las tarjetas de crédito y débito que utilizan tecnologías por proximidad (sin contacto). Los drones también serán una temática que se abordará en esta versión, con varias charlas dirigidas a distintas brechas de seguridad.
El primer día del evento, desde Estados Unidos, Rodrigo Branco llega con su charla “Inside the Machine: how offensive security is defining the way we compute data”; El italiano Marco Balduzzi, en tanto, expone en “Using machine learning to investigate web campaigns at large”. “Love is in the air: reverse engineering a shitty drone”, es el título con que el argentino Ezequiel Tavella aborda su trabajo con drones. Representando a Chile, Daniel Isler presenta “La voz me dijo que lo hiciera”; Desde España David Meléndez también habla sobre drones con “Proyecto Dron “The interceptor”; su coterráneo Pablo González, en tanto, expone “UAC-A-Mola^2 Evolution: Researching, superuser and terrible consequences”.
En la segunda jornada Mat Powell de EE.UU. abre la jornada con el Keynote “Finding vulnerability variants: creating a new path of least resistance”; La dupla Diego Espitia / Carlos Avila (Colombia/Ecuador) trabajarán juntos con el tema “Government &Health breaking privacy”. Luego la dupla de Leigh-Anne Galloway/Timur Yunusov, se presentarán con la esperada “For the Love of Money: Finding and exploiting vulnerabilities in mobile point of sales systems”. El argentino Pablo Romanos realizará una charla titulada “Forensic RemoteAcquisitions using Drones” y Salvador Mendoza, desde México, tiene se presentará con “Pago NFC: el arte de atacar con repetición & retransmisión”. De Chile, exponen Ezequiel Fernandes/José Bertí la charla “CABLEGEDDON- private networks in the WAN” y finalmente el español Lorenzo Martínez cierra con “Memorias de un perito informático forense Vol. $((IV+I))”.
