Eines

Deepak Daswani

Hacker i autor del llibre 'La amenaza hacker'

“Les empreses ‘hacker-friendly’ recompensen qui troba vulnerabilitats”

Les estafes de tota la vida combinades amb la tecnologia tenen un efecte devastador

Després de llegir el seu llibre vaig córrer a canviar les contrasenyes.
És vital tenir unes bones contrasenyes. Hi ha aplicacions que t’ajuden, però jo no les utilitzo. Les contrasenyes han de ser robustes, és a dir, han de ser seqüències de lletres, números i símbols especials que no incloguin paraules que trobis al diccionari. Que després se t’oblidi no és tan greu -a mi em passa- perquè les poden recuperar a través del correu electrònic, que acaba sent la nostra identitat digital més important. Per això, el meu consell és posar els cinc sentits a blindar la seguretat del nostre correu: bona contrasenya, totes les opcions de seguretat ben configurades i la verificació en dos passos, que et permet associar sempre el telèfon mòbil.
El cibercrim s’ha convertit en una de les activitats delictives més lucratives, mou uns 600.000 milions de dòlars cada any, més que el narcotràfic o el contraban. Qui hi ha darrere d’aquest tipus de delinqüència?
Darrere de les campanyes més virulentes i massives amb un cert impacte, no hi ha dos paios en un garatge, tot i que a vegades sí, però no és el més habitual, sinó estructures professionals de desenes de persones sovint radicades a Rússia, la Xina o el Brasil.
La sensació és que es mouen amb una certa impunitat.
Jo sempre animo els usuaris a denunciar perquè només així poden actuar les unitats de les forces i cossos de seguretat que persegueixen el cibercrim. Però és cert que hi ha molts usuaris que pensen que no val la pena i és un error.
Quin és el delicte més freqüent?
En els darrers anys, les campanyes de programari maliciós estan a l’alça, tot i que potser han caigut una mica darrerament. Sí que hi ha algunes pràctiques que s’han posat molt de moda, com ara infectar webs per robar la capacitat de còmput dels ordinadors i així minar monedes virtuals. Sense saber-ho estàs aportant part de la capacitat del teu ordinador perquè un altre es lucri a costa teva.
Vostè defensa que un ‘hacker’ no és un pirata, ans al contrari, és una persona que utilitza el seu coneixement per descobrir les vulnerabilitats que tenen els sistemes informàtics de les organitzacions, a vegades a instàncies d’elles mateixes. En aquest sentit, què és un ‘bus bounty’?
És un programa de recompenses que les organitzacions posen a disposició dels hackers que troben vulnerabilitats. D’aquesta manera, les empreses tenen hackers fent auditories de franc i de manera constant. Són les anomenades empreses hacker-friendly. Tradicionalment eren grans corporacions tecnològiques com ara Microsoft, Google, Apple i Yahoo però a poc a poc s’hi han anat incorporant empreses mitjanes d’altres àmbits. I això és així perquè funciona i perquè tothom hi guanya encara que a algunes empreses els resulti estrany.
És cert que hi ha un mercat de vulnerabilitats de sistemes de seguretat?
Efectivament. Si un hacker descobreix un forat en un sistema el pot reportar a l’empresa afectada o pot no fer-ho. En aquest darrer cas, pot succeir que aquesta feblesa acabi sent comprada en el mercat per governs, centrals d’intel·ligència, organitzacions cibercriminals o qualsevol que tingui els diners i les motivacions necessàries. Hi ha plataformes com ara Zerodium, que es dedica a mediar en aquest tipus de transaccions, que són lícites. És cert que també hi ha altres mercats més foscos. Al final el que es busca és rendibilitzar més la troballa que no a través del bus bounty.
Quin és el sentit d’atacs massius com el de WannaCry del maig del 2017?
Normalment la intenció d’atacs massius és monetitzar. Però en WannaCry va ser un atac estrany, per la manera en què va tenir lloc i perquè la motivació podria haver estat una altra. Hi ha qui pensa que era posar al descobert algunes vulnerabilitats i que ningú se’n beneficiés, en línia amb el que explicàvem abans de comercialitzar-hi. No està clar. En general, els atacs massius busquen màxima rendibilitat i mínima inversió. Es llança la campanya a tot el món i sempre hi ha qui pica i paga.
En aquests casos, el punt de partida és l’engany?
El punt de partida és manipular els usuaris per obtenir-ne el que volem, des de la contrasenya fins al número d’un compte bancari, passant per la instal·lació d’un programa pirata o pagar una quantitat de diners. És el que anomenem enginyeria social, les estafes de tota la vida però que combinades amb la tecnologia tenen un efecte devastador; i a vegades no cal ni infectar l’equip amb un virus, sinó fent pensar el que no és.
El nostre futur depèn de la digitalització en tots els àmbits. Si ara la nostra seguretat està compromesa, què pot succeir quan les dades massives, internet de les coses o les monedes virtuals estiguin per tot arreu?
Ja encadenem diverses dècades de revolució digital, però és cert que el ritme s’ha accelerat. Això el que fa és que estiguem més exposats al cibercrim. Del que es tracta és de conèixer quins són els riscos i com gestionar-los. Però més exposició no significa més inseguretat perquè tot dependrà dels mecanismes de seguretat dels fabricants de dispositius i dels que nosaltres incorporem. Amb un seguit de bones pràctiques podem minimitzar molt els riscos. Estem més exposats però no estem venuts.


Identificar-me. Si ja sou usuari verificat, us heu d'identificar. Vull ser usuari verificat. Per escriure un comentari cal ser usuari verificat.
Nota: Per aportar comentaris al web és indispensable ser usuari verificat i acceptar les Normes de Participació.