FUENTE:
Emilio Cáceres

TDN

JLR_7304

Deepak Daswani . Experto en ciberseguridad y hacker

Deepak Daswani es experto en ciberseguridad, conferenciante, docente y colaborador en medios de comunicación nacionales e internacionales. Nacido en Canarias y de origen hindú, Deepak ha trabajado en organizaciones como Cajacanarias, Grafcan (Cartográfica de Canarias), el Instituto Nacional de Ciberseguridad (Incibe), el Equipo de Respuesta ante Emergencias Informáticas (Cert) y Deloitte. Desde 2017 ejerce como profesional independiente.

Deepak Daswani nació en los años ochenta, por lo que vivió el inicio de lo que sería el internet moderno. Vio nacer la Nintendo, la Game Boy y la Mega Drive. El Amiga 500 fue su primer ordenador, con el que dio sus primeros pasos en el mundo de la programación. Tenía curiosidad por llegar al fondo de las cosas y cruzar los límites de la red. Con apenas 14 años se apuntó a un curso de programación para adultos.

Deepak estudió ingeniería informática en la Universidad de La Laguna (Tenerife). Allí ya apuntaba maneras: buscaba formas de ‘reventar’ las redes e intentaba tomar el control de los ordenadores de sus compañeros. “Ser un hacker no es innato, pero quienes nos dedicamos a esto tenemos una curiosidad común”, dice. Una curiosidad que le ha llevado al límite en más de una ocasión. Sonríe cuando recuerda el año que trabajó en atención al cliente en un banco, casi recién egresado de la universidad. La oficina solía estar muy concurrida. Cuando la cola empezaba a disminuir, un compañero más veterano aprovechaba para salir a desayunar y a Deepak no le quedaba más remedio que quedarse. Un día no aguantó más: “Cuando vi que hacía gestos para sacar su cartera, le hackeé su terminal congelando la última operación. Mientras él intentaba descubrir qué pasaba, aproveché para salir”. Repitió la gracia unas cuantas veces.

Aquella anécdota fue sólo el principio. ¿Lo más lejos que ha llegado como hacker? Ha descubierto fallos en la web del club deportivo de Tenerife que exponían datos de más de 8.000 abonados. Encontró una brecha de seguridad en una empresa que desarrolla apps para gimnasios y que exponía datos de salud e informes con fotos, nombres y apellidos de más de 10 millones de clientes. También ha encontrado vulnerabilidades en WhatsApp, que permitían extraer el número de teléfono de usuarios conectados a una red WiFi.

Curiosidad. Inquietud. Pasión. Ansia de superación, perseverancia, constancia. Leer, experimentar y equivocarse mucho. Aprender de esos errores. Paciencia, tozudez y amplitud de miras. Deepak resume en esas palabras lo que hay que tener para ser un buen hacker. Pero hay una cualidad que, en su opinión, es innata: el ‘pensamiento lateral’. Es decir, la capacidad de resolver problemas de forma alternativa. “Cuando nos encontramos con algo que no podemos resolver con las habilidades habituales, buscamos otro camino, como haría MacGyver en su serie homónima o Michael Scofield en Prision Break. Se trata de encontrar una manera diferente, la idea feliz”, afirma.

“Lo más preocupante para las empresas no son los ciberataques masivos, sino los ataques sofisticados dirigidos a una organización concreta”.

iStock-928779450

Emilio Cáceres. En su libro “La amenaza hacker” (Editorial Deusto) explica los riesgos a los que estamos expuestos en materia de ciberseguridad. ¿Cuáles son los ataques más frecuentes de los que son víctimas las empresas?

Deepak Daswani. Los ciberdelincuentes, a través de diferentes vulnerabilidades que puedan existir en los sistemas de información de una empresa, pueden llegar a tomar el control de la red, robar información y monitorizar la actividad. Son comunes las campañas masivas de ransomware, programas maliciosos que roban la información de un equipo y piden un rescate a cambio. Ahora está muy de moda el cryptojacking, que consiste en infectar una web y usar la potencia de un equipo para minar la criptomoneda. Los botnets o ‘redes de ordenadores zombis’ hacen que el usuario no se dé cuenta de que su equipo está infectado y lo vuelven progresivamente más lento, ya que está trabajando de forma simultánea para el ciberdelincuente. Éste lo utiliza para enviar ataques de spam, campañas masivas de malware y de ransomware, phishing -suplantación de identidad- o ataques de denegación de servicio.

Sin embargo, lo más preocupante para las empresas no son las campañas masivas, sino los ataques sofisticados dirigidos a una organización en concreto. Un equipo multidisciplinar de delincuentes pasa meses estudiando una empresa y analizando ubicaciones, infraestructura, dominios, tecnología, sistemas y políticas, pero también hobbies, intereses, aficiones y relaciones de los empleados. Pueden pasar años hasta que una empresa se dé cuenta de que está siendo atacada. Hay compañías que no se han recuperado jamás de un ataque de este tipo.

EC. ¿Cómo se producen los ataques? ¿Cuál es el modus operandi?

DD. Yo digo que el cibercrimen es magia, porque la manera de actuar es similar en ambos mundos: un mago realiza un truco forzando un error de atención en la audiencia, generalmente inducido. En el cibercrimen, el delincuente se aprovecha de un error técnico o humano -muchas veces provocado gracias a la persuasión y el engaño- para obtener lo que quiere.

La tecnología está hecha por humanos y los humanos nos equivocamos constantemente. Esos errores pueden convertirse en vulnerabilidades. Y cuando un experto descubre una vulnerabilidad, puede hacer tres cosas: compartirla con su círculo privado de hackers, reportarla al fabricante y obtener a cambio dinero y prestigio, o venderla a organizaciones cibercriminales que pujan por esa información.

“El cibercrimen es la actividad ilícita más lucrativa del mundo, por encima del narcotráfico”.

EC. ¿Qué es lo que suele buscar un ciberdelincuente?

DD. En su mayor parte busca el lucro económico. El cibercrimen es la actividad ilícita más lucrativa del mundo, por encima del narcotráfico. Tiene un impacto anual sobre la economía global de cerca de 600.000 millones de dólares.

Otra motivación es el activisimo, a través del cual se ataca a empresas saturando su ancho de banda y tumbando sus sistemas de forma temporal. Los activistas no buscan dinero, sino hacer ruido, causar impacto y obtener notoriedad.

Y finalmente existen ciberataques realizados por gobiernos y servicios de inteligencia que buscan el control de la información y monitorizar las comunicaciones.

EC. ¿Qué pueden hacer las empresas para protegerse?

DD. Es importante dedicar recursos a la ciberseguridad y elaborar lo que se denomina un “plan de respuesta de incidentes”. Las empresas tienen que ser conscientes de que la aproximación ha cambiado: ya no se trabaja para evitar los incidentes -se asume que van a ocurrir-, sino para elaborar un plan de respuesta para estar preparados para lo que pueda suceder, tener controlados y protegidos los servicios críticos, que no se robe información sensible, que el impacto sea el menor posible y, sobre todo, para recuperar la operatividad lo antes posible.

EC. ¿Las pymes corren menos riesgo de ataque que las grandes empresas?

DD. No, las pymes corren los mismos riesgos. Cualquier empresa que tenga sistemas de información en la red es susceptible de ser víctima de intentos de ataques automatizados, de campañas masivas y de ataques dirigidos. Puede haber empresas más apetecibles para los cibercriminales, pero ninguna se libra de ser potencialmente rentable para ellos.

EC. ¿Se puede hundir toda una empresa con un simple clic?

DD. La facilidad o la dificultad depende de la vulnerabilidad que se explote. En algún caso podría ocurrir que un sistema de una organización estuviese tan expuesto que sólo basten algunos clics para generar un daño enorme.

Por ejemplo, si hubiese reportado a la Agencia de Protección de Datos el fallo de seguridad que descubrí en una empresa que desarrolla apps para gimnasios y que exponía datos personales de 10 millones de clientes, la multa habría sido astronómica. Y, si lo hubiese comunicado a sus clientes, la empresa habría sufrido una crisis reputacional sin precedentes. Y todo eso sin ni siquiera tener que entrar en el sistema de la organización, sino detectando una mala práctica.

“Las empresas no tienen que trabajar para evitar los incidentes -hoy se asume que van a ocurrir-, sino para elaborar un plan de respuesta efectivo”.

EC. ¿Tendrán entonces las empresas que incorporar más perfiles expertos en ciberseguridad?

DD. La ciberseguridad y el hacking son áreas de conocimiento muy complicadas, y nadie sabe de todo. En el sector empresarial se está dando una tendencia a tener un departamento específico, pero con apoyo de una empresa externa. La razón es sencilla: no tiene sentido tener a profesionales tan caros si el negocio no tiene el volumen para ello. Lo que sí es fundamental es que toda empresa cuente con un interlocutor o responsable de seguridad.

tdnabril

SECTORES Y ÁREAS

TDN
TDN Área