Deepak Daswani: “las wifi públicas solo deberían usarse para leer noticias o cosas similares”

Deepak Daswani

El hacker Deepak Daswani durante su intervención en Tecnológica / CEDIDA POR SOCIEDAD DE DESARROLLO

El mundo hacker tiene un embajador canario que se está recorriendo el mundo para explicar qué remedio se puede pner ante la inseguridad en la red. Es Deepak Daswani, colaborador habitual de Principia y uno de los ponentes de la última edición de Tecnológica, un encuentro organizado por la Sociedad de Desarrollo de Santa Cruz de Tenerife.

-¿Qué es el hacking? Parece algo muy complejo pero es más sencillo de lo que parece, ¿verdad?

“Bueno, se habla mucho del concepto y la definición del término hacker, y más aún a raíz de su inclusión en el diccionario por parte de la RAE, aunque en esta última ocasión de manera totalmente desacertada, pues la definición que en él se recoge es la de ‘pirata informático’. Un hacker, por el contrario, es una persona que quiere llegar más allá en cualquier rama o área de conocimiento. Que no se conforma con saber utilizar las cosas, sino que busca la manera de entender detalladamente cómo funcionan, hasta alcanzar un conocimiento avanzado. Es un término que se puede aplicar sobre cualquier disciplina, como por ejemplo el arte, la música, la medicina… pero que está generalmente ligado a la tecnología. En su acepción más generalizada, un hacker es un experto en seguridad informática (ahora llamada ciberseguridad), que posee un conocimiento avanzado de la tecnología y busca agujeros o brechas en los sistemas o dispositivos de cara a reforzar su seguridad. Respecto a la complejidad, es evidente que es una profesión en la que se requiere de conocimiento especializado, experiencia, y sobretodo esfuerzo, dedicación y constancia”.

“Internet es un medio maravilloso pero hostil”

-¿Cuáles son los principales riesgos de la red?

“Yo siempre suelo decir en mis intervenciones que Internet es un medio maravilloso pero hostil. Con la evolución de la tecnología, y la dependencia que tenemos de la misma, utilizando dispositivos que nos mantienen conectados en todo momento, son muchos los peligros a los que estamos expuestos como usuarios. Desde esquemas de phishing para robar nuestras identidades digitales, intentos de fraude, estafa, extorsión o acoso sexual a cargo de groomers, pasando por troyanos que monitorizan toda la actividad de nuestro equipo permitiendo a un atacante controlarlo remotamente de manera silenciosa, hasta campañas masivas que los ciberdelincuentes lanzan para distribuir todo tipo de malware con el objetivo de robar la información de nuestros dispositivos, y por tanto de nuestra vida digital. Por citar algún ejemplo de cómo evoluciona la tendencia y la sofisticación a la hora de elaborar estos ataques podemos hablar de los nuevos ‘ransomware’ que llevan ya un tiempo circulando por la red. Se trata de un tipo de programa malicioso que además de secuestrar la sesión de nuestro equipo y no dejarnos trabajar, cifra todos los archivos de nuestro disco duro ocasionando con esto que perdamos toda nuestra información y que la únic amanera de recuperarla si no se dispone de una copia de seguridad sea pasar por el pago de un rescate. Esto es solo un pequeño ejemplo de lo que nos puede pasar a día de hoy en la red”.

-¿Qué tenemos que hacer las empresas y los ciudadanos ante esto?

“En primer lugar, conocer los principales riesgos y amenazas a los que estamos expuestos como usuarios, y a partir de ahí, tomar las medidas oportunas tanto para intentar evitarlos, como para gestionarlos y mitigar el impacto que puedan ocasionar. En el mundo de la seguridad, antes se abordaba la tarea de intentar trabajar para evitar a toda costa que los ataques se produzcan. Hoy en día, se ha visto que esto es prácticamente imposible. Las organizaciones asumen que en algún momento sus sistemas pueden ser no sólo atacados, sino también comprometidos, así que se trabaja en la respuesta a incidentes, de cara a mitigar los problemas de una posible intrusión, cuantificar el impacto que puedan ocasionar, el alcance de la información sustraída, así como minimizar el tiempo de recuperación tras un incidente. A la hora de abordar las medidas que los usuarios deben tomar para estar más seguros en la red, mantener los sistemas actualizados con los parches de seguridad a la última versión, todos los programas actualizados a su última versión, usar un antivirus comercial de prestigio reconocido que se actualice constantemente con las firmas del nuevo malware, utilizar contraseñas robustas, tener cuidado con los enlaces maliciosos, no descargarse contenido ilícito de la red, y estar al día en materia de ciberseguridad para prevenir posibles ataques. En este sentido, seguir las recomendaciones que tenemos en el portal OSI (Oficina de Seguridad del Internauta) de INCIBE es una buena manera de estar al día respecto a amenazas, campañas de fraude… En este portal se facilita información a los usuarios desde un punto de vista no técnico, con un lenguaje simple, llano y consejos fácil de entender, para que cualquiera pueda estar más precavido en la red sin tener por qué tener conocimientos técnicos avanzados.

-Usted empezó en Canarias pero hace un año y medio es usted Responsable de Investigación en Ciberseguridad de INTECO CERT nacional del Ministerio de Industria ¿qué funciones realiza?

“Bueno la verdad es que mi perfil es bastante híbrido. Además de la componente técnica de investigación, que se ve reflejada en artículos o en trabajos que se presentan en conferencias, tengo un rol bastante mediático. Como ya en Canarias colaboraba con medios de comunicación como Diario de Avisos, Televisión Autonómica o Radio Autonómica de manera regular, en INCIBE desde que llegué empecé a asumir el rol de ‘Security Evangelist’. Una parte importante de los servicios que prestamos como CERT es la labor de concienciación y sensibilización en materia de ciberseguridad para todos nuestros públicos objetivos. Gran parte de mi tiempo la invierto impartiendo conferencias en multitud de foros de ciberseguridad de diversa índole, desde más técnicos a más generalistas, seminarios, cursos de formación, así como realizando intervenciones en medios de comunicación ya que la ser una entidad pública del MINETUR que vela por la ciberseguridad de ciudadanos, empresas, operadores del sector estratégico y red académica, nos solicitan muchísimas intervenciones, y yo asumo gran cantidad de ellas. Además de esto, trabajo en algunos proyectos concretos así como en la organización de los eventos que celebramos desde INCIBE, como el ENISE o el Cybercamp, el evento que organizamos en Madrid el pasado año donde reunimos a más de 4.000 personas y donde además de contenido para hackers, profesionales del sector, estudiantes o gente en búsqueda activa de empleo teníamos actividades y espacios dedicados a las familias, algo que no es habitual en otros foros del sector”.

-La ciberseguridad es algo que parece alejado de todos nosotros, ¿quien vela por nuestra seguridad en el espacio de internet?

“Son muchos los actores que conforman el mapa de la ciberseguridad a nivel global, pues evidentemente en este sector no se puede hablar de amenazas aisladas, sino de ataques que se suceden de forma global desde diferentes puntos del globo. En este sentido, la cooperación y coordinación a la hora de compartir información entre todas las organizaciones que trabajan para velar por la ciberseguridad de los usuarios es vital. Desde fabricantes a proveedores tecnológicos, así como organizaciones públicas y privadas, son muchísimos los estamentos que se dedican a proteger el ciberespacio. En este contexto, existen equipos especializados de índole tanto pública como privada, formados por expertos en ciberseguridad que se conocen como Computer Emergency Response Teams (CERT) y se encargan de proveer respuesta a incidentes en materia de seguridad para los diferentes públicos a los que dan servicio. En concreto INCIBE, que es una entidad pública que pertenece al MINETUR a través de la SETSI, es el CERT nacional en nuestro país que vela por la ciberseguridad de ciudadanos, empresas, operadores del sector estratégico y red académica, ofreciendo tanto servicios reactivos en materia de incidentes, así como servicios proactivos de cara a evitar que estos incidentes se produzcan.

-En Tecnológica nos comentó lo fácil que es hacker un perfil de Facebook, ¿es así? ¿cómo?

“Lo que hicimos en Tecnológica para hackear un perfil de Facebook, es una demostración muy sencilla de algo que lleva muchísimos años funcionando. No es otra cosa que un ejemplo de phishing, técnica utilizada por los ciberdelincuentes para suplantar la identidad de un proveedor de servicio, que pueda ser Facebook, Twitter, Linkedin, Google, nuestro servicio de banca online, a partir de un formulario falso de inicio de sesión en una web que simula ser la original, pero que en realidad es una réplica exacta del sitio web legítimo. A partir de esta sencilla técnica, los cibercriminales pueden sustraer las credenciales de identidades digitales de los usuarios en prácticamente cualquier servicio. Es una técnica muy antigua que lleva utilizándose desde el principio de los tiempos, y que aún sigue siendo constituyendo uno de los mayores vectores de ataque a día de hoy en la red. Es cierto que con el paso del tiempo se ha avanzado mucho, y tanto los proveedores de servicio como los navegadores o soluciones de antivirus incorporan medidas para detectar estos posibles intentos de ataque, pero aún son muchísimos los usuarios que sucumben al uso de este tipo de técnicas por parte de los cibercriminales”.

-Usted recomienda no usar wifi pública, ¿por qué? En caso de usarlas, ¿qué acciones debemos hacer para prevenir problemas?

“En una red Wifi pública habitualmente no existe ningún tipo de cifrado, por lo que el tráfico va en texto plano y se puede monitorizar. Cualquiera que esté en la red puede tener acceso a todo el tráfico que nuestro dispositivo genera. Es cierto que si navegamos utilizando HTTPS (el candado en el navegador) este tráfico va cifrado y un atacante no puede tener acceso a esta información, y que generalmente los servicios de redes sociales, correo electrónico, mensajería utilizan este protocolo. Pero al tratarse de una red desconocida y no confiable, estamos expuestos a otro tipo de ataques que alguien con intenciones maliciosas podría realizar para igualmente tener acceso a este tipo de tráfico y robar nuestra información. En mi opinión, las redes wifi públicas están bien para leer las noticias, consultar el horario de las películas del cine, o buscar cualquier cosa, pero no para acceder a nuestras identidades digitales en ningún tipo de servicio ni mucho menos para realizar por ejemplo transacciones electrónicas. Una medida que se puede tomar si se quiere utilizar una red wifi pública sí o sí para hacer todo este tipo de cosas (por ejemplo para gente que viaja al extranjero y no puede ni quiere pagar roaming) es por ejemplo contratar un servicio de VPN que cifra todas nuestras conexiones. En ese caso sí que podemos estar relativamente seguros en este tipo de redes”.

-¿Qué es Whatsapp Discover? En Tecnológica presentó una versión mejorada de esta herramienta, ¿en qué consiste? “

“Whatsapp Discover es una herramienta que publiqué el año pasado, y que precisamente proporciona un ejemplo más de los peligros que implica el utilizar una red wifi pública. Esta herramienta lo que hace es obtener todos los números de teléfono, junto con el tipo de dispositivo y versión de la aplicación de usuarios que están utilizando Whatsapp en una red wifi pública, basándose en un problema de diseño por parte de los desarrolladores del popular aplicativo, que transmiten esta información en texto plano a los servidores de Whatsapp. El teléfono de una persona debería ser un dato privado, y a partir de la información que alguien comparte de manera pública en su perfil de Whatsapp, es posible obtener muchísima información. Tan sólo a partir de la foto de perfil o el estado, se pueden conocer muchísimos detalles de la vida de una persona. Es por eso que tras ir recopilando números de teléfono de usuarios distribuidos por todo el globo en diferentes redes wifi públicas por las que he ido pasando, decidí llevar esto un paso más allá y crear una nueva herramienta llamada Whatsapp Intelligence, que extraiga periódicamente información de los perfiles de Whatsapp de estos usuarios, en aras de ver si es posible generar conocimiento e inteligencia. La herramienta se descarga diariamente la información de la foto de perfil, estado y hora en línea de estos usuarios y los almacena en una estructura de directorios, así como en base de datos, para a partir de ahí explotar esta información y obtener inteligencia. Como se pudo comprobar en los ejemplos que mostré en Tecnológica, es increíble la de información que podemos obtener de las personas si monitorizamos diariamente esta información: fotos y nombre de las personas importantes de su vida, entre ellas menores, estados de ánimo, emociones, lugares, mascotas, dependencia de Whatsapp.. Los ejemplos hablan por sí solos”.

-¿Cómo es que su hija de dos años le ayudó a hackear la web de Pocoyó?

“Bueno, la verdad que fue un caso curioso. Resulta que yo estaba analizando el tráfico de la red de mi casa, creo recordar que para los ejemplos que estaba ilustrando a la hora de escribir el libro ‘Hacking práctico de Redes Wifi y Radiofrecuencia’ con mis amigos de Mundo Hacker. Mientras yo hacía esto, Lara (mi hija de 2 años y medio) estaba viendo los capítulos de Pocoyo con el iPad desde la aplicación móvil de esta serie. Así que la petición que esta aplicación hacía a la hora de visualizar un capítulo se ‘coló’ en las capturas con las que yo estaba trabajando y al analizarla, me di cuenta de que todas las peticiones seguían la misma dinámica, con lo que probé a realizar una para los capítulos que en teoría eran de pago. De repente conseguí acceder a estos contenidos que en teoría eran de pago a través de la aplicación de forma totalmente gratuita. Podemos decir que de no ser por Lara nunca habría descubierto este fallo de diseño ni publicado el consiguiente artículo sobre el tema”.

  • Torticulis

    Si tan bueno es, empezaría por decir que el término “Hacker” está mal empleado. Tanto en las preguntas, como en la explicación.

    Y en su lugar os daría una clase de lo que es ser “hacker” y lo que es ser “cracker”.