Arnau Gàmez i Montolio: «Sostenemos que el ʻhackingʼ no es, en absoluto, una actividad delictiva en sí misma»

¿Por qué decidisteis crear la asociación Hacking Libre?

Los cuatro socios fundadores somos estudiantes de tercer curso del doble grado de Matemáticas e Informática que individualmente teníamos inquietudes por el tema de la seguridad informática y que, en general, consideramos que hay un vacío al respecto en el ámbito académico de Cataluña.

Pensamos que hay poca formación universitaria en este campo. De hecho, actualmente, en la carrera no hay ninguna asignatura de seguridad informática, aunque nos consta que se está trabajando para poder revertir esa situación. Y no, no es una excepción: más bien es la tónica general. Por otro lado, solo hay dos o tres másteres públicos en todo el Estado español relacionados con la seguridad informática.
Por todo ello, creímos necesario crear la asociación, con la intención de proporcionar, a nosotros mismos y a la comunidad, un espacio adecuado para debatir y para poner sobre la mesa de forma clara la necesidad de concienciar y formar en este ámbito, en todos los aspectos: divulgativo, académico y profesional.
 

¿Cuáles son los principales objetivos de la asociación?

Nuestros objetivos primordiales son, por un lado, concienciar sobre la seguridad informática y el papel que juega en la sociedad, ofreciendo formación (interna y externa) en los diferentes ámbitos con los que está relacionada.

Además, queremos estimular el uso y la creación de software libre y de código abierto. Es importantísimo que empecemos a preocuparnos por el tipo de software que consumimos. Por usar un símil, difícilmente nos llevaríamos a la boca un plato que no podamos ver ni oler, del que no sepamos cómo está hecho o qué ingredientes lleva. Sin embargo, consumimos día a día software del que no sabemos cómo está diseñado, qué hace exactamente y a qué intereses responde y, al mismo tiempo, se penaliza a las personas que se interesan por ello e intentan entender el funcionamiento del software que usan —habitualmente, hablamos de métodos de ingeniería inversa— para tratar de descubrir «qué se llevan a la boca».

Por el contrario, entendemos que es imprescindible impulsar el acceso libre e igualitario a la tecnología. Hay que combatir las distintas barreras —de clase, de nación, de género, etc.— que nos encontramos en el acceso a la tecnología. Probablemente, el ejemplo más visible es la cuestión de género: la construcción social del discurso hegemónico patriarcal respecto a la división de trabajos y tareas por género nos ha condenado a una tónica en la que los espacios relacionados con la tecnología en general, y con el hacking y la seguridad informática en particular, suelen ser ambientes hipermasculinizados.

Por otra parte, queremos desestigmatizar toda la terminología que tiene que ver con el hacking y los hackers, que actualmente sufre de una connotación peyorativa en el terreno mediático, social y comunicativo en general. Queremos insistir en que hacemos hacking ético. Sostenemos que el hacking no es, en absoluto, una actividad delictiva en sí misma.

Según nuestro punto de vista, un hacker es alguien con mucha curiosidad por saber cómo funciona un sistema informático, y que lo entiende y trabaja en él hasta el punto de llevarlo más allá de las funcionalidades iniciales para las que había sido pensado. Parte indispensable de este camino pasa por la búsqueda de vulnerabilidades —lógicas, técnicas, de planteamiento...— que pueden afectar de manera negativa (o no controlada) al sistema.
 

¿El concepto de hacking es similar al de software libre?

Pueden estar relacionados, pero no responden a una misma clasificación categórica. Es evidente que existe una intersección no vacía entre los mundos del hacking y del software libre. Sin embargo, ninguno de los dos está contenido totalmente en el otro. Es habitual encontrar hackers o comunidades de hacking que participan en el desarrollo de software libre, pero igualmente se da el caso antagónico en el que existe software privativo para cubrir funcionalidades típicas relacionadas con la seguridad informática y el hacking.

¿Cómo definirías el hacking ético?

El hacking ético no es ninguna invención nuestra. Es un término que no está acotado en absoluto, ni se rige por ningún código ético concreto que regule ningún organismo o institución. Tiene que ver, más bien, con el hecho de hacer hincapié en un hacking que sopesa los aspectos éticos que pueda haber detrás de todo lo que involucra la seguridad informática, ofensiva y defensiva.

No es trivial en absoluto intentar definir y acotar el significado que tiene el hacking ético, y sería necesaria una reflexión profunda, tanto individual como colectiva, que nos pudiera llevar a una aproximación de su significado, si es que debe tener alguno. Y este, igualmente, sería parcial, en tanto que no podría convertirse en una definición para toda la comunidad: se trataría solo de un acuerdo local.

En cualquier caso, se suele entender el hacking ético como aquel que no busca dañar sistemas por simple lucro personal o privado, sino que tiene como horizonte aumentar la seguridad de los sistemas e infraestructuras informáticas (y tecnológicas en general) con las que convivimos día a día y de las que dependemos constantemente.

¿Se podría decir que sois un grupo de hacking?

No exactamente. El objetivo de la asociación como tal no es convertirse en un grupo de personas que se dedica a hacer hacking en sistemas informáticos, sino poder generar espacios de debate y formación en torno a la seguridad informática y a favor del libre acceso a la tecnología.

Sin embargo, en el marco de los objetivos descritos anteriormente, sí que nos hemos planteado poder dinamizar desde la asociación un grupo más o menos estable que se pueda dedicar al hacking como tal, en forma de equipo para competiciones del tipo captura la bandera (CTF), por ejemplo. Esa sería, sin embargo, una más de las diversas formas de canalizar en la práctica las aspiraciones que tenemos como asociación.

¿De qué hablamos cuando hablamos de seguridad informática?

La seguridad informática está relacionada con todas aquellas infraestructuras, sistemas informáticos y prácticas que tienen que ver con la integridad, disponibilidad y privacidad de los datos. Podemos decir que, a grandes rasgos, un sistema informático es seguro siempre que pueda garantizar los pilares básicos que acabamos de mencionar. Sin embargo, como se suele decir, y con toda la razón del mundo, no hay ningún sistema informático que sea 100 % seguro.

Los mecanismos y planes de actuación dependen mucho de cada sistema y es necesario un análisis concreto y más o menos técnico para cada caso.
Con todo ello, debemos ser conscientes de que en el momento en que estás conectado a cualquier red comunicada con otros dispositivos (el ejemplo más evidente es Internet), te encuentras expuesto en cierto grado.

De hecho, siempre se ha dicho que el escalón más débil de un sistema informático es el usuario. Esto es: por muy seguro que sea un sistema desde el punto de vista técnico, si, por ejemplo, un usuario recibe un correo y abre un archivo que contiene un virus, este entrará en el sistema. Esto se ha podido constatar recientemente con el caso del ataque masivo de programas secuestradores, en el que la vía de entrada a los sistemas han sido mayoritariamente los usuarios. La concienciación y la formación, por lo tanto, deben llegar tanto al usuario básico como a los máximos responsables del sistema en cuestión.

¿Qué actividades organizáis?

Como asociación, nos planteamos la organización de charlas, talleres y cursos en el ámbito educativo y profesional, tanto en el terreno técnico como en el divulgativo.
A modo de ejemplo, cuando presentamos la asociación —en la Facultad de Matemáticas e Informática—, aprovechamos para hacer una pequeña demostración de varias vulnerabilidades simples accediendo a algunos aparatos, como impresoras o cámaras web, que estaban en Internet con credenciales por defecto o directamente sin ningún tipo de protección. Muchas veces, los usuarios no son conscientes de que los usuarios y contraseñas por defecto de la inmensa mayoría de aparatos son de dominio público.

Asimismo, realizamos un taller de auditoría sobre redes wifi hace pocas semanas, en el que analizábamos la (falta de) seguridad de la mayoría de dispositivos wifi, en particular rúteres domésticos, y realizamos ataques directos en diferentes escenarios posibles.
Por otra parte, también proponemos la participación en congresos y conferencias sobre hacking y seguridad informática con el fin de estar al día sobre nuevas tecnologías y metodologías al respecto. Y también estamos empezando a establecer contacto con personas y colectivos con objetivos similares a los nuestros, para poder crear sinergias en este sentido.

En general, ¿piensas que somos conscientes del uso que se da a nuestros datos?

La triste realidad es que somos muy poco conscientes de lo que ocurre con nuestros datos. Hay una gran cantidad de servicios y apps que se ofrecen como gratuitos, que antes se habrían pagado con dinero y que ahora pagamos con nuestros datos sin ni siquiera saberlo: Google y Facebook son, posiblemente, los ejemplos por antonomasia. Se mercadea descaradamente con nuestros datos, que se utilizan para crear perfiles políticos, de salud, de relaciones personales, etc. Todo ello al servicio del lucro privado de una minoría y del control sistemático de nuestras vidas.

Lo resumen muy bien las compañeras de Críptica: «Que no tengas nada que esconder no significa que tu condición —laboral, ideológica, mediática, de género...— esté libre de amenazas». Y añadiría, además, que tampoco nos quita el derecho que tenemos, como individuos y como sociedad, a la privacidad, a no ser espiados.

Para combatir todo eso, lo primero es ser conscientes de ello y tener acceso a formación básica al respecto. En ese sentido, desde Hacking Libre aportaremos nuestro grano de arena a la tarea de concienciar y formar en todos los ámbitos y espacios que nos sea posible.