Hace un par de semanas nos llegó un email a la agencia de comunicación que nos llamó la atención. En ese correo electrónico un grupo de hackers éticos (ellos mismos se autodenominaban así ) nos avisaban de que una importante plataforma web de una de las asociaciones españolas más conocidas del mundo audiovisual, que hace más de 8 años desarrollamos desde ArteGB, sufría un importante fallo de seguridad que podía comprometer tanto la web como su base de datos.
Por supuesto, hace ya algún tiempo nosotros avisamos a las personas que gestionan esa plataforma de la existencia de esa grieta en la seguridad, completamente lógica, por otra parte, ya que estamos hablando de un código desarrollado hace muchos años, y que nunca ha sido actualizado. Ni a nosotros nos hicieron caso en su momento de la necesidad imperiosa de actualizar su plataforma, ni probablemente esta vez hagan caso a estos hackers éticos…hasta que cualquier día los datos de sus socios y contactos sean publicados en internet, como ya le pasó a otra institución cinematográfica. Creo que no hace falta que la nombremos, todos recordamos aquello.
Y precisamente conociendo desde dentro los graves problemas legales y de imagen que sufrió esa famosa institución, lo que nos llamó la atención y nos pareció genial fue que desde este grupo avisaran para que se pudiera solucionar el problema, y no que directamente comprometireran la plataforma web. Por eso, nos pusimos en contacto con este grupo de hackers éticos para agradecerles su mensaje y contarles la situación. Desgraciadamente nosotros ya no trabajamos con dicha plataforma por lo que no podemos hacer nada. Pero nos gustó tanto su manera de pensar y su labor que quisimos hacerles una entrevista para que todos comprendamos la importancia de la seguridad web.
Ellos son Reversecodes Team, y se dedican al hacking ético, es decir, avisar de manera altruista de esos problemas de seguridad que tienen las webs o cualquier tipo de aplicación conectada. A pesar de las buenas intenciones, el hacking sin permiso de expreso del dueño de una web no es legal, asi nuestros nuevos amigos han decidido permanecer en la «sombra». Muchos pensaréis que esto no está bien, pero leer la entrevista, seguramente cambiaréis de idea. Los hackers, queridos lectores, no siempre son los malos de una película.
Sin más preábulos, aquí os dejamos la entrevista a uno de los responsables de este interesante grupo de hackers éticos.
Entrevista con los hackers éticos ReverseCodes Team
¿Qué es exactamente el hacking ético?
El hacking ético consiste principalmente en usar el conocimiento sobre informática para detectar fallos de seguridad. El mundo del hacking ético tiene su mayor acogida a nivel web, pero también está presente en móviles, sistemas embebidos, aplicaciones de servidores,…
¿Cómo nació vuestro grupo? ¿Cuáles son vuestros objetivos finales?
Podríamos decir que ReverseCodes nació a raíz de nuestras ganas de aprender y avanzar. Todos los integrantes del grupo nos conocimos en foros relacionados con informática y hacking y decidimos crear un grupo. Supongo que cada integrante tiene su objetivo final, entre todos nos dedicamos a mejorar y ayudar con la seguridad, pero cada uno se especializa en una parte diferente de esto, lo que nos hace trabajar bien como equipo ya que nos complementamos unos a otros.
No todos nuestros seguidores entienden de qué estamos hablando. Si tuvierais que explicar vuestra actividad a mi abuela, ¿qué le diríais?
Supongo que para una abuela sería difícil de entender y no me imagino explicando esto a la mía, pero si tuviera que dar una descripción diría que en este mundo donde la tecnología es el día a día nos dedicamos a ayudar de forma voluntaria a aquellos que no son conscientes de los peligros que puede haber.
Mantenéis el anonimato, pues a pesar de las buenas intenciones el hacking sigue teniendo mala prensa e incluso está penado en algún caso ¿creéis que esto debería cambiar para gente como vosotros?
Sinceramente es algo que debería cambiar pero entendemos que tenga sus límites; no todas las personas reaccionan igual al saber que sus sistemas han sido comprometidos, aunque sea con buenas intenciones, ni todos los hackers actúan de la misma manera. Nos gustaría resaltar la desviación del significado real de hacker; hacker define a aquel que se dedica a inventar, desarrollar y proteger la seguridad mientras que un cracker es aquel que entra en los sistemas sin permiso, con la intención de robar datos o causar daños, y a día de hoy no se hace diferencia entre estos términos.
¿Cómo creéis que se podría cambiar la imagen de los hackers que no tienen intenciones de hacer daño?
Esperamos aportar nuestro granito de arena… Creemos y tenemos la esperanza de que esto se pueda hacer cuando todos los medios de la información (incluidos los de gran difusión) sean conscientes del uso de internet. Aunque tenemos la esperanza de que esto ocurra en los próximos 10 años en adelante, también es verdad que tendría que existir algún tipo de organización entre los diferentes hackers, algo que no existe hoy en día de forma generalizada.
Cuando os ponéis en contacto con una web con problemas de seguridad graves, ¿cómo reaccionan ante vuestra advertencia los propietarios de la web hackeada: con confianza o todo lo contrario? ¿Y os hacen caso? ¿Lo arreglan?
En el mundo existen personas de todos los tipos, y de todos los tipos son las reacciones que encontramos. Existen administradores conscientes del riesgo que supone y de su responsabilidad y que colaboran y hacen amigable el proceso, pero de igual manera hay gente que no entiende nuestros propósitos y desconfía.
¿Es posible acudir a vosotros si sospechamos que hay un fallo de seguridad en nuestra web o es un acto solidario que ejercéis por voluntad propia? Lo decimos porque a veces no todo el mundo tiene conocimientos en esto y muchos proveedores desarrollan webs con fallos y no lo sabemos.
Ambas cosas, siempre que el administrador del sistema se ponga en contacto con nosotros, estaremos encantados de ayudarle en su seguridad, por otra parte nosotros analizamos servidores web al azar de los cuales aquellos que son vulnerables nosotros informamos sus fallos a sus respectivos administradores.
Pero vamos a hablar de desarrollo web. La mayoría de las empresas y blogueros usan WordPress. ¿Es un CMS seguro? ¿Hay otro mejor?
WordPress es un CMS seguro, siempre y cuando se encuentre actualizado, también hay que decir que es uno de los cuales más fallos se han encontrado, pero como hemos dicho si se encuentra bien actualizado no encontraremos ningún problema. Por otra parte Joomla sería su competidor más directo a mí parecer, es verdad que Joomla se han encontrado menos fallos de seguridad, pero ambos son realmente válidos siempre y cuando se encuentren actualizados
¿Qué plugins recomendaríais para WordPress para hacerlo realmente seguro?
Más que Plugins, una configuración correcta, un hosting y login seguros son más importantes, para lo último encontramos plugins que limitan el número de inicios para no congestionar el servidor.
La principal preocupación de la gente es el robo de tarjetas de crédito. ¿Son seguros la mayoría de los e-commerce? En su mayoría están desarrollados en WP con Woocommerce, o Prestashop, Magento…¿están nuestros datos seguros en esta CMS?
Bueno pues sí y no, nada es realmente seguro, puede que hoy lo sea, y mañana ya no… Lo mejor es conocer el sitio bien y saber que es de confianza, hasta los grandes como Pay-pal han sido vulnerados.
¿Tenéis constancia de que grandes empresas tipo Amazon tengan fallos de seguridad que la mayoría de usuarios desconocemos?
Sí, y con toda certeza seguro que tendrán muchos más.
¿En qué web o plataforma ecommerce jamás dejaríais vuestros datos?
En Internet siempre que se pueda, lo más recomendable es dar el menor número de datos posibles.
¿Seguridad es igual privacidad? Lo preguntamos sobre todo por Google, Facebook… ¿pueden nuestros datos en redes sociales ayudar a un hacker con malas intenciones a meternos en un problema?
Son cosas diferentes aunque muy relacionadas, ¿cuántos de vosotros tenéis pregunta de seguridad en vuestras redes sociales?, ¿el nombre de vuestra mascota?, ¿El de vuestra madre?, ¿vuestro cumpleaños?, ¿color preferido? ¿Amigo de la infancia? Hay que cuidar todos los datos que subimos a Internet, no vaya a ser que respondamos nuestras propias preguntas 🙂
Y hablemos de móviles…existe un modelo que usan directivos y ejecutivos que al parecer es imposible de hackear, eso nos preocupa porque significa que los nuestros no ¿están nuestros datos seguros en nuestro smartphone? ¿Cómo podemos protegerlos?
Bueno últimamente con lo que revelo Snowden del proyecto «PRISM», parece ser que no, nuestros datos han estado sido capturados y lo más seguro es que con otro nombre u otro país haga lo mismo.
Si nos pudierais, por favor, recomendarnos un artículo, libro o vídeo para que nuestros seguidores comprendan la importancia de la seguridad web en nuestras herramientas.
La serie completa de Mundo Hacker, ya que, aparte de ver la importancia que tiene la seguridad informática en general en nuestras vidas, también se observan varios de los diferentes métodos que usan los malos para robarte tus datos.
Desde ArteGB queremos agradecer a Reversecodes Team su trabajo, así como su tiempo para contestar a nuestras preguntas. Aquí os dejamos su Twitter por si queréis saber más sobre este grupo. Esperamos haber contribuido de alguna manera a cambiar la imagen de los hackers, dar a conocer la estupenda filosofía que gira alrededor de los grupos de hackers éticos, y sobre todo a concienciar sobre lo importante que es mantener seguros nuestros datos, nuestras webs y móviles, y lo que más importante: nuestra conciencia. ¿Dejarías abierta la puerta de tu casa?. Porque si nos hackean, queridos amigos, es culpa nuestra.
Deja tu comentario