Un crack con códigos
Alfredo Ortega, investigador
Encontró vulnerabilidades en el mensajero seguro Signal y una forma de multiplicar votos en el sistema de voto electrónico. Entrevistado por INFOTECHNOLOGY cuenta cómo cambió el campo y cuáles son las verdaderas amenazas tecnológicas.
La historia de la ciberseguridad es corta. Comenzó, al igual que los videojuegos, con un académico aburrido y se transformó en un campo en el cual empresas y gobiernos invertirán US$ 93 mil millones en 2018, según pronosticó Gartner. Desde la llegada de las computadoras al país, en la Argentina se empezó a gestar una comunidad dedicada a la seguridad informática cuyos referentes son reconocidos en el mundo. Entre ellos está el doctor en ingeniería informática Alfredo Ortega (39), un investigador que causó revuelo el mes pasado al encontrar, junto a Iván Arce y Juliano Rizzo, una vulnerabilidad en el mensajero Signal, considerado como uno de los más seguros del mundo. A este se suman otros hallazgos, entre los cuales figuran el posible uso de discos duros como micrófonos y el error que permitía el multivoto en el sistema de voto electrónico de la Ciudad de Buenos Aires. Cuando tenía apenas 10 años se juntaba con sus amigos a crackear videojuegos para Commodore 64. “No era por curiosidad, sino por necesidad. Queríamos jugar y no teníamos un peso”, confiesa el investigador. Según cuenta, en esa época no había otra forma de empezar. De los juegos pasaron a clonar tarjetas telefónicas, impulsados por el poder seductor de las actividades ilegales. “Hacíamos todo lo que hoy se ve en las películas, pero éramos unos pibes perdidos en la Patagonia y hoy muchos trabajan en empresas de seguridad.”
En Chubut, cursó la licenciatura en Ciencias de la Computación, que terminó en 2003, y cuatro años más tarde continuó sus estudios en el Instituto Tecnológico de Buenos Aires, donde presentó su tesis de doctorado en Ingeniería Informática. En 2006, Ortega entró a trabajar en Core Security Technologies, la empresa fundada por seis hackers locales, incluidos Arce, su actual CTO, y el cofundador de Satellogic, Gerardo Richarte, cuyos desarrollos ayudaron a posicionar al talento argentino en la élite de la ciberseguridad a escala global. “Dicen que la Argentina exporta dos cosas: jugadores de fútbol y hackers”, cuenta entre risas Ortega, quien hace ya casi ocho años se desempeña como investigador en su propia empresa, Groundworks Technologies. Pasaron 20 años desde que su hobby se convirtió en su trabajo pero, para el experto, el campo de la seguridad no cambió tanto. “Las herramientas que se usan son prácticamente las mismas, son más fáciles de usar, pero no evolucionaron como sí lo hicieron el software corporativo y las aplicaciones móviles”, explica. Desde su perspectiva, lo que más cambió fue el tamaño de la industria. “Ahora es gigante y hay mucha gente trabajando, pero algunos por ahí no tienen formación o empezaron hace muy poco”, señala. Según lo ve, antes era más fácil aprender porque aunque había menos información —Stack Overflow todavía no existía— por lo general llegaba de una fuente confiable y era más sencillo saber por dónde encarar. Hoy, si bien hay cientos de cursos online y grupos en los cuales los entusiastas comparten los mejores, nunca queda claro qué tanto sirven y por dónde conviene encarar el estudio.
Al tener que describir el ambiente de la ciberseguridad, Ortega elige la palabra “careta”, es que su rápido crecimiento está acompañado de prácticas defensivas poco probadas y abundantes campañas de marketing. “Hay muchas presentaciones y anuncios, pero luego los resultados son pobres. No hay forma de saber si esa solución funciona o no. Esto sucede principalmente en la parte defensiva, porque en la seguridad ofensiva, que engloba actividades como el pentesting, no hay forma de mentir, los resultados son más claros: entraste al sistema o no entraste”, dispara el investigador.
Agenda saturada
Hoy se dedica principalmente a realizar auditorías de red y tiene varios proyectos de seguridad y criptografía que desarrolla para distintas empresas, que emprendió luego de dejar su puesto como desarrollador backend en Avast en agosto del año pasado. Pero si hay algo que nunca dejó de hacer es dar presentaciones sobre sus descubrimientos e investigaciones. Se desempeñó como speaker en los eventos Blackhat USA, RSA, Syscan Singapore y en la Defcon, una de las más grandes conferencias de ciberseguridad, que tiene lugar todos los
“Dicen que la Argentina exporta dos cosas: jugadores de fútbol y hackers.”
años en Las Vegas y congrega a expertos de todo el sector, desde investigadores y desarrolladores hasta cibercriminales y miembros de distintas agencias de inteligencia del mundo. Allí presentó algunos de los descubrimientos que hizo por su cuenta, pero la línea que los separa de su trabajo es inexistente. “No tengo tiempo libre”, admite Ortega. “Podría decirte que cuando tu trabajo es a la vez tu hobby, todo es hermoso, pero la realidad es que es agotador y te quema la cabeza”, asegura.
Una señal, una coincidencia
Pero trabajar en seguridad informática también tiene sus ventajas, especialmente vinculadas a la variedad de técnicas y sistemas con los cuales se puede experimentar. Un claro ejemplo es la investigación que hizo sobre la posibilidad de utilizar discos duros como micrófonos. “Suelo anotar las ideas que se me ocurren, por más locas o ridículas que sean y cuando tengo tiempo las pruebo. Así surgió lo de los discos: los mismos indican que hay que montarlos sobre una goma para evitar las vibraciones y hasta había un video de una persona gritándole a un disco y haciendo que este funcione mal. Era cuestión de tiempo para que alguien demuestre cómo aprovecharlo”, explica.
Las que resultan se festejan y el resto se descarta. “Algunas funcionan y otras no. Siempre que investigás algo tenés proyectos de este tipo y no todos son exitosos. Lo más triste es cuando alguien lo publica antes que vos y te lo quema”, cuenta el especialista.
La vulnerabilidad que encontró recientemente en el mensajero Signal surgió a partir de una casualidad, pero esta solo indicó el camino y se necesitó de más de una cabeza para recorrerlo. “Lo que pasó con Signal fue muy cómico porque estábamos discutiendo una vulnerabilidad en un sitio web y cuando pegamos el código del ataque en Signal, se rompió todo”, cuenta Ortega. Entonces junto a Iván Arce y Juliano Rizzo pusieron manos a la obra, es que una vulnerabilidad en un servicio que recibió financiamiento por más de US$ 50 millones para enfocarse en la seguridad es un problema serio. “Nos sentamos a revisarlo a fondo. Primero con Iván y luego llegó Juliano para terminar de transformar la vulnerabilidad en un ataque remoto que nos permitía ejecutar código en la aplicación de escritorio de Signal de otra persona con tan solo enviarle un mensaje”, detalla. Open Whisper Systems, la empresa que desarrolla Signal, ya resolvió la falla y publicó una versión actualizada de sus clientes para Linux y Windows.
Tecnología y política
Aunque parezca que el entendimiento de sistemas informáticos es una fuente de poder considerable, queda chica si se la compara con otros recursos, como el diestro manejo de las redes sociales. Según lo ve, el hacktivismo, la protesta social por medios tecnológicos como los ataques de denegación de servicio, es poco efectivo. “Grupos como Anonymous tienen mucha publicidad pero poco impacto. Hace un año hubo una ola de hackeos a Sony, lo hacían todas las semanas para robarles juegos, películas y música, pero las acciones no bajaron y no pasó nada”, cuenta. Similar es el caso de los cibercriminales, que para el especialista no son una preocupación ya que se trata de una minoría. “A quienes hay que prestarles atención es a los gobiernos, a las agencias estatales. Hoy todos tienen grupos de ciberataque”, señala Ortega. Los Estados Unidos organizó el suyo hace 50 años y Rusia hace menos, pero ambos tienen más recursos que cualquier agrupación criminal. “En el caso de los rusos, andan destruyendo y penetrando sistemas de todo el mundo sin ningún tipo de límite”, destaca el auditor. El año pasado, el gobierno de Ucrania sufrió ataques que apagaron sus centrales eléctricas e infectaron sus unidades de artillería con malware. “Lo que pasa es que para lanzar un misil tenés que pedir mil permisos, pero un ataque informático podés lanzarlo incluso en tiempos de paz porque nadie se da cuenta”, sostiene.
Al ver el historial argentino, la situación se vuelve preocupante. “En la Argentina, unos chicos de 20 años lograron hackear el sitio de la Policía Federal y la cuenta de Patricia Bullrich. Ahora hay que imaginar lo que puede hacer un gobierno con profesionales a quienes les paga un sueldo para realizar esta clase de tareas”, plantea Ortega y agrega: “Los jóvenes estos les están haciendo un favor a las fuerzas de seguridad al demostrarles que hay vulnerabilidades, pero el gobierno se la agarra contra ellos cuando otros países ya nos tienen bajo la mira y muy probablemente ya estén en todos lados”. En 2016, habló en la Cámara de Diputados para presentar sus argumentos en contra de la implementación del voto electrónico. Allí asistió acompañado de Javier Smaldone, un programador y administrador de sistemas que encabezó el movimiento en contra del proyecto. Durante su exposición, Ortega sacó un pendrive del bolsillo y, para demostrar que todos los sistemas son inseguros, explicó que había hackeado la base de datos de Diputados y logrado descargar todos los archivos, desde información de los representantes hasta los pedidos de declaración jurada. “Esa noche salimos de la cámara mirando a ver por dónde venía el patrullero. Teníamos miedo; son riesgos que, lamentablemente, la gente que trabaja en seguridad informática corre todo el tiempo”, cuenta Smaldone al preguntarle sobre ese día. “La realidad es que hay algunas cosas para las cuales la informática no funciona y en esos casos, lo tenemos que advertir”, detalla el especialista. Es que las organizaciones suelen dejar la seguridad para lo último y no se trata de un área que cuente con un gran presupuesto. “Lo ven como un gasto, no como una inversión. Al final solo hay dos maneras de que inviertan: que los obliguen, como sucede con las tarjetas de crédito, o que sufran un incidente y se den cuenta de que para evitar que vuelva a suceder, tienen que estar preparados.”