Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon ¿Es necesario crear un Carnet de Hacker en España?




¿Es necesario crear un España un registro de Hackers como existe el de personas con licencia de armas? El ministerio de Interior podría incluirlo en el nuevo Reglamento de Ley de Seguridad Privada. Aún no hay nada decidido pero la comunidad hackers advierte de que no va a quedarse de brazos cruzados. Hablamos con el presidente de la RootedCON, el congreso de Hackers más importante de España, Román Ramirez.







El ministerio de Interior trabaja en desarrollar el nuevo Reglamento de la Ley de Seguridad Privada que podría aprobarse a finales de año o principios de 2016. En él podría incluirse la obligación para todos los hackers y empresas dedicadas a ciberseguridad de tenerse que registrar –y cumplir unos requisitos- si quieren ejercer como tal. La idea parte de considerar que este tipo de profesionales y los programas que usan para realizar auditorías de seguridad informática podrían ser consideradas ciberarmadas como lo es una pistola o fusil en el mundo real.

Para aclarar qué está pasando y cuál es la posición de la comunidad Hacker española One Magazine ha hablado con una de sus referencias: Román Ramírez, responsable del mayor congreso Hacker, el RootedCON que este 11 y 12 de septiembre celebra su edición de Valencia –la nacional será en abril de 2016-. Esta es su visión

Qué es exactamente un hacker…

El término hacker está constantemente en discusiones sobre si es ésto o aquello. Voy a aportar mi visión que, ya adelanto, no coincide con la de mucha gente: para mí un hacker es una persona con una serie de habilidades de pensamiento lateral y de capacidad de pensamiento disruptivo. Una persona que sabe cómo salir de los protocolos estándares o de normas que podrían limitarle en distintos caminos.

Por eso, un hacker -repito, en mi opinión-, no necesariamente es un informático. Afirmo rotundamente que hay hackers en el espectro financiero, en el jurídico, en la ingeniería, en el arte... simplemente porque han descubierto una manera de retorcer las cosas para hacer algo para lo que no estaban pensadas.

Si tuviera que dar una definición, sería esa: un hacker es cualquiera que sea capaz de crear nuevas ideas retorciendo normas, reglas, protocolos o mecanismos, para que hagan cosas distintas para las que fueron diseñados.

¿Cómo contribuyen los hacker españoles a nuestra Seguridad Nacional?

Con muchísima investigación. Con herramientas. Organizando eventos como RootedCON. Colaborando con Fuerzas y Cuerpos de Seguridad y prestándoles todo el apoyo. Denunciando situaciones que consideramos peligrosas. Y, sobre todo, mostrando al mundo el nivel de talento con el que contamos, que es mucho y con un nivel excepcional.

¿Cuál es la actual situación de los expertos en ciberseguridad en España? ¿Existe una titulación específica? ¿Y en otros países?

No existe ninguna titulación específica. Pero, además -y quiero subrayar que esta es mi visión personal-, las universidades no forman hackers, forman profesionales. El espectro de profesionales de la seguridad es muy amplio y, muchos de esos conocimientos, se obtiene por la vía académica. Pero hay una serie de conocimientos especializados que tienen más que ver con la actitud, que con enseñar competencias. No puedes aprender eso en una universidad, ni en un centro de formación al uso.

¿Hace falta crear un carnet o un registro de hackers en España?

La pregunta es difícil de responder. Considerándome dentro de la categoría de hacker me hace poca gracia tener que ir a alguna parte, a firmar un documento y pagar unas tasas que me permitan trabajar en lo que llevo más de veinte años haciendo.

Mucha gente compara ciertos programas informáticos con armas reales…

Entiendo la preocupación que pueden tener ciertos actores con el concepto de ciberarma, y lo que puede o no hacerse con ella. Pero es que prácticamente cualquier herramienta de seguridad, o de redes, incluso herramientas de desarrollo (los debuggers, entre otra) pueden considerarse "armas" si decides emplearlas como tal. ¿Es ese suficiente motivo como para forzar a todo un colectivo a registrarse en una base de datos?

Qué les dices a los que defienden crear un registro de todos los hackers…

El argumento que escucho, a menudo, a favor de esta iniciativa es que, mediante ordenadores, se pueden cometer delitos serios y, en consecuencia, es bueno poder controlar a las personas que puedan tener herramientas o conocimientos especializados.

Pero, curiosamente, no utilizan el mismo discurso para hablar de pintores o de escritores, y ahora los lectores comprenderán el paralelismo que voy a establecer: en la Reforma del Código Penal, se incluyen mejoras en el tratamiento de delitos informáticos pero, además, en delitos relacionados con menores.

Entre otros cambios, dibujar escenas de menores practicando sexo y que queden dentro de la categoría de pedofilia, estaría al mismo nivel que la producción de películas o fotos de ese tipo. Pero no he escuchado a nadie que exija un registro de pintores y dibujantes. O de escritores. O de periodistas. O de escritores de artículos en blogs. Querer crear un carné de hacker, un registro de personas autorizadas -o visto de otra manera, de potenciales criminales y sospechosos habituales- a muchos nos podría sonar como el hecho de tener que llevar una estrella de David amarilla visible.

Pero el riesgo de las ciberarmas existe…

Sí y comprendo la preocupación con las ciberarmas y las cibermuniciones. De hecho me gusta destacar la definición que hizo de estas uno de los grandes expertos de seguridad mundiales, Raúl Siles: “las ciberarmas son los hackers que crean ‘cibermuniciones’". En este aspecto entiendo que deba existir algún tipo de control, pero el camino no es culpabilizar a un colectivo. Pero plantea muchos interrogantes. Por ejemplo, ¿qué ocurre con la innovación y los estudiantes o, simplemente, personas aficionadas? ¿Un chaval de trece años que use herramientas de seguridad tendrá que pagar una tasa, ir a registrarse y estar en una base de datos porque a alguien en las administraciones le ha entrado pánico? Claramente no puedo estar de acuerdo con ese tipo caminos. No, no hace falta. Ni en España, ni en ninguna parte.

Qué tiene de positivo crear un registro Hacker…

Veo varios motivos legítimos y alguno que calificaría como turbio. Motivos legítimos los que antes he citado; hay verdadera preocupación con el tema de las armas cibernéticas -no hay más que ver el informe de riesgos para la humanidad que publica todos los años el World Economic Forum donde ubican las ciberamenazas en la parte de riesgos ALTOS, por encima de las hambrunas, por ejemplo-.

De hecho, haciendo de abogado del diablo, un chaval con una herramienta en su casa puede hacer tanto daño como un comando de élite en una operación. Eso le da al concepto de asimetría unas dimensiones alarmantes. Luego entiendo que pueda existir esa preocupación.

Pero antes que el miedo, existe una cosa que se llama Carta Magna de Derechos Fundamentales en la que, en resumen, viene a decir que cuento con la presunción de inocencia y que no se me puede discriminar por motivo alguno. Claramente, el carné de hacker es posiblemente una vulneración de mi presunción de inocencia y, con total seguridad, un hecho discriminatorio, porque no se lo exigen a un experto en clavar clavos con un martillo -con todas las salvedades relacionadas con el impacto y el alcance de un ordenador y de un martillo-.

Y qué tiene de negativo…

Motivos ilegítimos veo dos principalmente, que se resumen en uno: las presiones de los lobbies. Existen lobbies de intereses económicos -por ejemplo, el de la propiedad intelectual- cuyos intereses se ven dañados por multitud de investigaciones de seguridad o por desarrollos tecnológicos que pueden poner en riesgo sus cuentas de resultados -herramientas de deprotección de contenidos, redes Torrent y Emule, herramientas gratuitas, publicaciones Creative Commons, obras huérfanas puestas a disposición del público, consumo de datos, voz y comunicaciones en general...-.

En las empresas, ¿quién tiene más poder el responsable de seguridad física o el de seguridad informática?

En el caso específico de la seguridad de la información, hay presiones con el borrador de Reglamento de la Ley de Seguridad Privada para supeditar a los expertos tecnológicos a los de la seguridad tradicional. Es decir, existen pretensiones de que yo, como informático con veinte años de experiencia y experto reputado, deba quedar bajo el paraguas de una persona cuyo espectro de conocimientos es absolutamente distinto al mío. Es irracional pretender que el sector de la tecnología pueda verse sujeto a unas normas ad hoc diseñados por el sector de la seguridad privada. Eso no va a funcionar. Nunca.

En todo caso, deben crearse una serie de capacidades claves que, los que quieran optar a cargos de responsabilidad, deban acreditar con exámenes o formaciones, y no solamente incluyendo contenidos de seguridad física. Esos conocimientos claves que mis compañeros de la parte física ahora mismo no tienen, pueden ser: redes, OSINT, exploiting, reversing, crimen organizado cibernético, arquitectura de seguridad... Hay que apostar por crear en las empresas grupos de conocimientos que sumen Seguridad Lógica –informática- y Seguridad física.

¿Quién debe ‘mandar’ más?…

Yo tengo una opinión ‘políticamente incorrecta’. Es compartida por mucha gente… aunque pocos lo reconocen en público. Es mucho más fácil para mí gestionar a un profesional de la seguridad privada que viceversa. Simplemente el volumen de conocimientos que debería adquirir una persona es tan extenso y la comprensión de esos conceptos requiere de tanto tiempo, que para ellos sería un absurdo pretender gestionar la parte ciber. El beneficio económico o político de unos pocos, no puede ser la justificación para leyes con un componente elevado de injusticia, que puedan dañar la innovación y el talento en nuestro país.

La clave para que lo que se decida en el Reglamento sea positivo para la Seguridad…
Hay que apostar por una estrategia racional que incorpore a todos los actores involucrados -y no sólo a unos pocos de la seguridad privada-. Podría ser un motor de nuevas capacidades o posibilidades en el sector de la Seguridad. Si se cuenta con todos los actores involucrados, esta es una buena oportunidad.

Lo que está claro es que no todo el mundo puede gestionar cualquier cosa; por ejemplo, yo mismo no estoy gestionando hospitales porque, básicamente, no tengo ni idea de hospitales. Para gestionar temas ciber, uno debe conocer muy bien todo lo que implica el ciber y no solamente la parte de seguridad física (y ojo, tampoco exclusivamente la parte de seguridad lógica).

Cómo debería ser el exámen para tener el ‘carnet hacker’ en España…

Si tuviera que hacer una propuesta, crearía un examen para obtener una licencia -al estilo de los abogados en EEUU- y que, todo aquel que pasara el examen, automáticamente quedara acreditado. Sin necesidad de tener que pasar cursos -que cuestan mucho dinero-, ni tener un perfil forzosamente de FCSE/militar, e incluyendo en ese examen multitud de preguntas sobre seguridad física, seguridad patrimonial, investigación criminal, informática, ciberguerra, cibercrimen, seguridad de la información, geopolítica, seguridad ambiental y un largo etc.? Eso sería justo y equitativo, sin ser discriminatorio ni favorecer los intereses de unos pocos profesionales o empresas.

Lo que más te preocupa ante los actuales ciberataques…

Que todo el mundo puede ser víctima de un ciberataque en el mundo en el que vivimos. Al margen de buenas o malas prácticas, pretender que puedan existir fortalezas inexpugnables en un ecosistema donde cada día aparecen nuevos ataques desconocidos minutos antes... es de ingenuos.

La clave para que no hunda tu empresa o vida…

La diferencia está en cómo respondes ante un incidente y cuánta responsabilidad demuestras de cara hacia tus clientes. Hay organizaciones que optan por ignorar el incidente -como Target, en EEUU- otras como Fireeye que responden denunciando al investigador de Seguridad -mal camino- y otras que trabajan para evitar que este pueda extenderse a sus clientes.

El riesgo existe. Pero es un hecho con el que hay que vivir. Uno debe siempre trabajar en una buena arquitectura y unos buenos procesos de seguridad y, sobre todo, en tener unas muy altas capacidades de detección y de respuesta.

Cuáles serán las grandes novedades de la RootedCON de 2016…

Una de las novedades más importantes es que estamos organizando RootedCON HONG KONG. Queremos ir a mostrar el talento que tenemos y Hong Kong nos ha parecido un destino interesante, máxime cuando en EEUU el mercado de los eventos está absolutamente monopolizado.
Por otro lado, en Valencia hemos hablado sobre la LECrim y la Reforma del Código Penal con Jorge Bermúdez, nuestro queridísimo amigo y archiconocido Chema Alonso también ha mostrado "cosillas que se pueden hacer con Android" y hemos contado con los alucinantes José y David de Layakk, nos hablarán de cómo hackear 3G. Como he dicho, en España tenemos un nivel de talento en ciberseguridad excepcional.

Un consejo para vivir ciberseguro...

No vivir con miedo, pero tampoco vivir en el país de los unicornios, no dejarse engañar por vendedores de elixires mágicos pero, sobre todo, emplear siempre el sentido común: cuando algo no parece bueno o muy bien elaborado, tiene cierta posibilidad de ser malo o dañino. Paraos a pensar antes de hacer click sobre un enlace o de rellenar nuestros datos en una web.


Fuente:
http://www.onemagazine.es/noticia/24850/industria/roman-ramirez-de-rootedcom-explica-que-esta-pasando-con-el-carnet-de-hacker-que-se-quiere-crear.html

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.