Puede ser un estudio jurídico, una empresa informática, una intendencia, un ministerio o una mutualista. Es un hecho: los ataques informáticos son cada vez más habituales y atrás de las amenazas están desde grandes organizaciones con oficinas, estructuras jerárquicas y buenos salarios hasta personas que actúan solas o cibercriminales ocasionales.
Y aparecen palabras en inglés inentendibles para la mayoría de la población pero jerga familiar para quienes saben de ciberseguridad. Como ransomware, un tipo de programa dañino que consiste en encriptar los archivos, paralizar la operatoria y pedir un rescate —en general con moneda virtual— a cambio de restaurarlos y no filtrarlos al público.
O data extortion, donde los atacantes suelen permanecer mucho tiempo en forma silenciosa en la red comprometida y eligen de un modo más delicado “qué llevarse”. Eso también les permite observar el movimiento de la compañía y clasificar mejor los datos filtrados, armando “lotes curados” de archivos para vender, según explica a El País Mauro Eldritch, quien se presenta como hacker y speaker.
O pentesting, que es una prueba de penetración, es decir un ataque a un sistema informático pero con la intención noble de encontrar vulnerabilidades.
Los protagonistas centrales de este artículo están vinculados a esta técnica: son los hackers éticos, personajes que usan las mismas modalidades de la piratería pero con la mira en hallar debilidades y reportarlas a las empresas. Muchos se han profesionalizado y montado consultoras. Cuando explota una crisis, hacen de bomberos para salir al rescate y a veces hasta deben negociar con los hackers “malos”. En el último año los casos que llegan se han duplicado “por lo menos”, cuenta Andrés Gómez, cofundador de la empresa de ciberseguridad Nexa, centrada en hacking ético. En eso coincide Santiago Rosenblatt de Strike (“es exponencial lo que están creciendo los ataques”) y el argentino César Cerrudo (“los ciberataques son cada vez más exitosos y causan pérdidas millonarias”).
Inicios precoces de los hackers
Rosenblatt interrumpe una intensa agenda para conversar un rato con El País. Pasó los últimos días en Montevideo pero este fin de semana viaja: “Este año tocar vivir en Nueva York”, dice, “en el 2023 abrimos instalaciones en México y me fui para allá; el año que viene creo que será la costa oeste”. Es un muchacho de 28 años que se ha convertido en uno de las figuras del momento: fundó Strike, startup que en 2022 recibió 5,4 millones de dólares de parte de inversores en una ronda semilla.
Ingeniero de sistemas, dice que empezó cuando tenía algo así como tres años de edad —desarmaba y armaba sus juguetes para ver cómo funcionaban— y que, creer o reventar, hackea desde los seis. Se crio en una casa entre Pocitos y Punta Carretas y la influencia familiar influyó: sus padres son ingenieros; su madre trabajaba en una empresa de seguridad informática y le llevaba pendrives con programas de hacking.
El arranque precoz se repetirá en las historias de casi todos los entrevistados.
—Mi diversión era hackear desde mi computadora —dice y menciona videojuegos, consolas y las transmisiones de la NBA o fabricar “cédulas truchas”.
El clic lo hizo a los 14 cuando encontró un error en un sitio web —no quiere decir cuál— que le permitió comprar una PlayStation, una Smart TV, un microondas y una tele chiquita para la cocina solo pagando ocho dólares de la época por el envío. Fue al local de cobranza pero no se llevó los productos: reportó la vulnerabilidad.
—Me di cuenta que esto era real.
Y lo que empezó como un juego mutó a un trabajo: una década después terminaría en Presidencia y asesorando a empresas como DLocal y PedidosYa. Estudió ciberseguridad e inteligencia artificial en Oxford, tuvo ofertas para sumarse a Amazon pero optó por fundar Strike, donde hoy son 38 empleados esparcidos por el mundo: trabajan para más de 100 empresas. Los contratos van desde 2.000 a 200.000 dólares por año.
—¿Qué es el hacking ético?
—Básicamente utilizar los mismos conocimientos de un cibercriminal pero para ayudar a las empresas a resolver sus problemas. Igual yo creo que va mucho más allá de lo tecnológico. Es una mentalidad, una forma de vivir. Es entender que no siempre hay que ir por un determinado camino, hay otras opciones.
—O sea, ¿es como un hacker bueno?
—Exacto. Si querés, llamalo hacker bueno. Pero yo a los malos los llamaría cibercriminales.
En Strike han encontrado de todo en las exploraciones: accedieron a cuentas de más de un millón de dólares o a paneles de administración de bancos donde podían ver todos los usuarios y la cantidad de dinero y contraseñas.
Muy lejos de Pocitos, en la otra punta del país, Andrés Gómez (36 años) nació y se crio en Artigas, donde en su adolescencia en los primeros 2000 solía participar en foros y chats en los que se conversaba mucho de hacking y malware. Leía la revista española Hack x Crack, que estaba llena de tutoriales sobre hacking.
Mucho después, ya en Montevideo y tras una formación de años, suele competir en desafíos internacionales con programas de recompensa en diversas empresas.
—Yo he buscado vulnerabilidades, me han pagado en Apple, en MercadoLibre, en Microsft y otras plataformas. Es mi vida hacker nerd —cuenta Gómez.
Pero sobre todo hoy lidera los servicios en Nexa, con 35 empleados, que tiene un foco fuerte en el mercado local y en particular en la banca, salud y gobierno entre una treintena de clientes al mes.
—¿Y cómo te ganás la confianza de esas empresas? Porque podés acceder a datos que son sensibles.
—Vendemos confianza. En la parte ofensiva trabajamos con 10 bancos locales a los que hackeamos para prevenir que otros los hackeen. Pero además damos el servicio de respuesta incidente y forense, cuando hay extorsión y secuestro de datos.
—Eso es como apagar incendios.
—Contener el problema, entender qué pasó, recuperar la empresa y prevenir futuros ataques. En el último año crecieron mucho los secuestros con extorsión. Hemos llegado a tener cuatro casos en paralelo en el último trimestre, lo cual no era común. Tuvimos casos de empresas grandes a las que se les borraron 15 años de información. Les preguntás: pará, ¿y los respaldos? “Los perdimos”. Eso es crisis, es caos.
—¿Las empresas pagan por las extorsiones?
—Recomendamos no pagar para no fomentar el acto delictivo pero la decisión final siempre es de ellos. Y por eso nosotros tenemos negociadores expertos para interactuar y determinar la viabilidad de la transacción segura.
—¿Cómo se aseguran de que, si pagan, les devuelvan la información?
—Es sencillo: deben cumplir para que el negocio, que maneja millones de dólares, se sustente. Lo mismo en filtrar en la dark web si no se paga. La información será expuesta.
Son “muchos más” los casos en los que se ha recuperado la información que los que se negoció para recuperarla, dice Gómez.
Pero no es simple.
—Es un trabajo minucioso y estresante. Cada empresa es un mundo. Es nuestro servicio más caro y el que no te queremos vender. Nos acaba de pasar un caso internacional en cinco países de un phishing: tuvimos un mes entero de trabajo, los primeros 14 días en blanco con mucha frustración. No teníamos de dónde agarrarnos. Al final les pudimos responder el 100% del caso.
Hackers siempre de gira
Mauro Eldritch está en Colombia, luego viaja a México y Estados Unidos. Viene hablando en conferencias sobre un malware norcoreano que descubrió, también sobre un nuevo vector de ataques Web3 que “permite crear componentes maliciosos inmortales” y sobre “cómo perfilamos y desensamblamos una campaña de spear phishing de un grupo cibercriminal mercenario”. Es quizás el hacker más famoso por estos lares, se presenta como rioplatense (“si nací en Uruguay o Argentina es la pregunta más comprometedora que me podés hacer”) y tiene 33 años.
Estudió seguridad ciudadana en un instituto universitario policial pero básicamente dice que aprendió “rompiendo” cosas. Recorre el mundo dando charlas: dirige la empresa Birmingham Cyber Arms y lidera un grupo que creó una enciclopedia del cibercrimen rioplatense.
—Reportamos filtraciones casi a diario, tanto de entidades públicas como privadas, grandes y pequeñas.
—¿El trabajo remoto aumentó los problemas?
—Sí. Creció la superficie de ataque y el perfil de amenazas. En una organización seria uno no espera tener de vecino en la misma red a un menor de edad que descarga juegos piratas en un equipo desactualizado y sin protección antimalware; ni espera tener que lidiar con el router por defecto que en su mayoría no ha visto una actualización o una clave robusta en años.
Cesar Cerrudo (49) es argentino pero desde principios de la pandemia vive sobre la Mansa de Punta del Este con su familia. Desde allí se ha dedicado a trabajar en la concientización sobre la ciberseguridad. Es uno de los protagonistas de un evento en el Antel Arena el 8 y 9 de octubre con entrada gratuita y escribió la Guía de seguridad de un hacker, que dentro de poco se distribuirá en todas las escuelas públicas. Se hizo famoso hace 10 años cuando demostró que se podían hackear los semáforos de Nueva York y otras ciudades estadounidenses.
—No lo hice porque sería ilegal. Pero comprobé que, si quería, podía —dice—. Tenía la tecnología y el conocimiento para modificar los datos y alterar el funcionamiento del sistema de tránsito.
—¿Qué es ser un hacker hoy?
—Me defino como hacker profesional. Porque la mayoría entiende lo que es ser un hacker por lo que ve en las películas.
—Mucha gente le da carga negativa.
—Pero el termino hacker se originó como algo positivo. La mayoría de los hackers son buenos.
Lo que se cobra por el hacking y dónde estudiar
¿Cuánto cobran los hackers éticos por su trabajo? En el mercado local el valor hora del servicio de hacking ético varía entre 60 y 100 dólares y en el mercado internacional entre 90 y 180 dólares. A veces, claro, están semanas y semanas trabajando en busca de resolver un problema grave.
¿Y dónde se estudia? Varias universidades tienen formaciones. En la ORT hay tres opciones, que reúnen un total de cerca de 80 estudiantes al año. Se trata de un posgrado —el diploma de especialización en ciberseguridad— y dos cursos cortos de cuatro meses: certificado en ciberseguridad y curso de hacking ético y gestión de incidentes.
La Universidad de la República, en tanto, ofrece una maestría en seguridad informática; la UTEC una especialización en ciberseguridad; la Universidad de Montevideo un curso de actualización profesional en ethical hackers, otro de ciberseguridad empresarial y un programa ejecutivo de dirección estratégica de la ciberseguridad.
Pentesting: "Esto lo puedo hacer yo"
Rodrigo Tumaián (36), CEO y cofundador de Prometeo, una startup de tecnología para el sector financiero, es otro de los precoces. A los nueve años leyó un artículo del finlandés Linus Torvalds, conocido por el desarrollo de Linux.
—Él permitía colaborar. Cada uno aportaba —cuenta desde Ciudad de México, en un viaje de negocios—. Ese concepto me pareció brillante y de un espíritu muy noble: había personas dispuestas a compartir el conocimiento y que no hubiera dinero en ese proceso.
En la adolescencia entró a leer en comunidades de hacking (“me maravillaba el no entender”) y la semilla del tema ciberseguridad quedó plantada. Ya de grande armó su compañía de openbanking y un día contrató un servicio de pentesting para un cliente.
—Cuando vi el resultado del pentesting por el que había pagado, me di cuenta que no era malo pero que perfectamente lo podía hacer yo.
Y empezó. Lo hizo con resultados que nunca imaginó y que le divertían mucho, desde acceder a bases de datos de empresas grandes con control total a llegar a documentos y contratos, números de cuentes bancarias, correos.
—Cada vez que arrancaba un pentest le avisaba a mi esposa: “mirá que voy a arrancar un pentest”. Porque el nivel de obsesión era tal que me desaparecía de la humanidad. Solo pensaba en cómo vulnerar el sistema del cliente.
Un pariente lo llegó a definir como “el policía bueno de la ciberseguridad”; a él le parece “simpático” pero no le gusta mucho eso de “bueno”. Dice que en el fondo es solo cumplir un servicio por el cual le pagan. Hoy no lo hace más por un tema de tiempos. Pero le sirvió: el diferencial de su empresa es que tiene muy buenas prácticas de ciberseguridad.
A Mateo Martínez, de 42 años, experto en ciberseguridad y cofundador de las empresas Krav Maga Hacking y Lugapel, tampoco le gusta mucho eso de la diferencia entre buenos y malos.
—Se habla mucho de hackers de sombrero blanco y de sombrero negro —dice en su oficina en el World Trade Center, donde trabajan unas 20 personas—. Pero lo que hay son profesionales dedicados a la ciberseguridad y delincuentes. Un contador puede hacer fraude, un periodista puede escribir noticias falsas, esto es lo mismo. Va en la ética. Por suerte es un rubro súper necesitado y bien pago.
—Las empresas uruguayas ya entienden que hay que invertir...
—Sí, las empresas y organismos grandes saben que es parte de sus controles de seguridad. La banca tiene asumido el hacking ético como un estándar para cada liberación de plataformas importantes. Las empresas más chicas quedan más hacia atrás. Y ni hablar las personas: dos o tres veces por semana nos escribe gente a la que le hackearon el Facebook o la cuenta de Instagram. Y te piden: “Ayúdenme, no sé qué hacer”.
Los problemas legales de los hackers
Pablo Brum (40) viaja en un tren en Japón, a donde llegó por trabajo y paseo. Vive entre Estados Unidos y Uruguay y tiene una trayectoria algo distinta a la de sus colegas. Licenciado en estudios internacionales con maestría en seguridad internacional de la Universidad de Georgetown en Estados Unidos, no estudió programación y entró al tema por el lado de la seguridad convencional. Las vueltas de la vida, en 2013 leyó sobre una empresa de tecnología de ciberseguridad, CrowdStrike, que estaba pisando fuerte: se postuló y quedó como analista en inteligencia en temas de ciberseguridad. Allí estuvo ocho años, luego pasó por Mercado Libre y hace unos meses se independizó como consultor independiente con Polo Cyber.
Aunque él no se dedica directamente al tema, conoce bien de hacking ético. Y alerta que buena parte de las tareas se pueden “automatizar” porque hay una serie de ataques ya conocidos pero que es clave la parte creativa cuando “hay que empezar a mirar otros entornos”.
—Entonces hay que navegar manualmente los sitios. Habiendo trabajado en los lugares donde trabajé, tuve oportunidad de ver muchos casos así, de personas que dedican horas a encontrar algún defecto de seguridad en una gran plataforma por el cual esperan cobrar una recompensa.
—¿Y hay problemas legales?
—Sí, incluso en los países más avanzados sigue habiendo casos polémicos de hackers éticos, pentesters o denunciantes de vulnerabilidades que son llevados a juicio o no les pagan por sus hallazgos. Es todo un tema en el ambiente.
Quiénes están atrás de los hackeos
En los últimos tiempos hubo varios ataques cibernéticos que tuvieron notoriedad, como Geocom (la empresa que administra red de POS), el estudio jurídico Guyer & Regules, la Intendencia de Paysandú y el Ministerio de Transporte, entre otros. Pero, todos los expertos lo dicen, la mayoría de los hackeos no trascienden.
“Todos los días hay ataques”, dice Mateo Martínez, de Krav Maga Hacking y Lugapel. Lo mismo sostiene el hacker argentino César Cerrudo: “Esto pasa en forma permanente; las empresas lo ocultan porque, si se sabe, quedan mal. Nos enteramos de los casos en los que no pagan o la información se publica en internet”.
Andrés Gómez, cofundador de Nexa, se pregunta: “¿Por qué Uruguay y la región se han vuelto un blanco interesante?”. Y responde: “Los ataques han sido muy exitosos, se han pagado secuestros y, si la industria funciona, van a seguir pegando”.
¿Quiénes son los atacantes? “Lo más grosso es el crimen organizado”, dice Martínez. Rodrigo Tumaián, CEO y cofundador de Prometeo, explica que para los integrantes de muchos de estos grupos criminales “es básicamente un trabajo de ocho horas con cierta dedicación de recursos y capacitaciones, asociada a la búsqueda de ransomwares”. Entonces tira abajo un mito: “Las películas generan una fantasía de luz de neón y capucha. Pero es más una cuestión estética, son personas trabajando con sus objetivos maliciosos”.
Santiago Rosenblatt de Strike dice que es “un rubro particularmente lucrativo” y que a estas organizaciones de cibercriminales “se le puede llamar empresas que se especializan en diferentes cosas”.
Mauro Eldritch le pone nombre a algunas de estas organizaciones: ExPresidents, dedicada a las filtraciones, el cartel de Data Extortion G0DHAND y grupos establecidos de ransomware como Cactus, Lockbit, Knight o Play, que “se cobraron varias víctimas en Uruguay”.
Gómez, de la empresa Nexa, revela un detalle del nivel de organización que existe: “Hemos tenido casos en los que nos dicen: dejame hablar con mi jefe y vuelvo a vos”.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.