Entrevista

Miguel Ángel de Castro: «Siendo un hacker ético también se puede ganar dinero»

«Con el ataque de Alcasec al CGPJ hay lecciones aprendidas, todo el sistema público se está reforzando»

Los datos de miles de españoles, a subasta en un foro de 'piratas' ruso

Miguel Ángel de Castro en una conferencia ABC

Adriana Cabezas

Madrid

09/04/2023 a las 01:54h.

Miguel Ángel de Castro trabaja para una empresa estadounidense de tecnología y ciberseguridad, Crowdstrike. En su día a día se dedica a realizar ciberataques controlados para dar respuesta a incidentes y anticiparse a posibles amenazas, pero también colabora y asesora a las Fuerzas y Cuerpos ... de Seguridad del Estado. Es lo que podríamos denominar un hacker ético, de los buenos, los de sombrero blanco.

«Se utilizan las mismas técnicas que hacen los malos pero con permiso. A mí me gusta dormir bien y en este lado también se puede ganar dinero», confiesa. No le sorprende la última fechoría de José Luis Huertas, el joven hacker de 19 años conocido como Alcasec, ya en prisión por el ataque y robo masivo de datos del Consejo General del Poder Judicial.

-¿Cómo una persona tan joven ha podido burlar los sistemas y comprometer los datos de miles de españoles?

- Hay muchos jóvenes con muchísimo talento que se dedican a hacer lo correcto. Otros no se han guiado bien, tienen mucho conocimiento pero les falta ética. Que haya podido hacer algo así no es sencillo, pero al final los 'malos' siempre encuentran una forma de entrar. Hoy en día, el 80 por ciento de los problemas de ciberseguridad están relacionados con ataques a la identidad y la obtención de credenciales en una empresa o institución. Esa obtención de credenciales ya les permite conectarse al entorno como si fueran esa persona, lo que hace que sea difícil de detectar la intrusión de un atacante.

-¿Cómo se obtienen?

En muchas ocasiones, con phishing, una técnica que consiste en engañar a las víctimas con correos electrónicos o enlaces trampa con apariencia fiable para que compartan información confidencial como contraseñas. El sistema de cibercrimen está muy organizado. Hay personas especializadas en robar credenciales y venderlas en mercados ilegales. Otros en comprarlas y ejecutar los ataques. Es todo una cadena: los que crean el malware, los que lo distribuyen, los que lo monetizan y los que lavan el dinero. Los del cibercrimen son los mismos que venden drogas y armas. Vieron que se gana mucho dinero.

«Desde hace dos años rige el 'big hunting game', la caza mayor, ataques a empresas muy grandes»

-Alcasec había creado una aplicación para poder hacer búsquedas de datos robados al 90% de la población. ¿Qué puede pasar si esa información acaba en las manos equivocadas?

-Los datos personales se pueden utilizar para la extorsión. O me das dinero o lo publico. Además demuestran las debilidades del sistema y se ataca reputacionalmente. Yo creo que Alcasec no era un 'hacktivista' -aquel que realiza ataques para visibilizar sus ideales- era más un ciberdelincuente. Consiguió esa entrada y quiso robar todos esos datos para después venderlos. No es lo mismo que se lleven tu expediente médico que bancario o judicial. En cualquiera de los casos, si hay datos de personas importantes va a ser posible extorsionar. La información al final es poder. La gente no es consciente de la gravedad.

-Estuvo durante diez horas exfiltrando datos sin que saltara ni una sola alarma ¿es el Estado responsable, como custodio de nuestros datos, de los fallos en el sistema?

-El Estado hace lo que puede con los sistemas y mecanismos de los que dispone. Hace lo que puede para proteger su información ¿Hay cosas que se pueden corregir? Sí, seguro. Pero hay que tener una dotación presupuestaria. Es necesario que se ponga dinero y que cuando se hace una licitación el precio no sea lo más importante a la hora de seleccionar los proyectos porque luego las cosas pasan. El Estado es el custodio de los datos, sí. ¿Pero es el responsable? Es como si decimos que un médico se le ha muerto un paciente. Puede haber una negligencia pero normalmente trabaja para que el paciente esté vivo y curarlo. Hay ciberataques en todos los países, todos los días y en el ámbito público y privado.

-¿Cuál está más preparado, el sector privado o el público?

- En el sector privado, las empresas pequeñas antiguamente picaban mucho porque los antivirus tradicionales no valían, hubo que evolucionarlos, hace siete años. Las empresas medianas ya cuentan con un sistema de protección mejor. Y las muy grandes, desde el principio, tomaron medidas. En el sector público llevan dos años cambiando de sistemas de protección tradicionales a otros mas sofisticados, de última generación, y no todos lo han hecho. Están cambiando el chip, se están adaptando. ¿Se podría hacer más rápido? Seguro que sí. Pero todo el sistema público está trabajando y reforzando su sistema de protección. Se están tomando medidas. Son las lecciones aprendidas: implementar mecanismos de defensa para que esto no nos vuelva a pasar.

«Hay países que pagan porque quieren recuperar los datos. En España no se paga nunca»

-¿Cómo prevenimos los ciberataques?

-Hay muchas formas, tantas como formas de ataques. En este sector es de vital importancia anticiparse. Es importante proteger las cargas de trabajo, conocer a tu adversario, estar preparado, no confiar y crear una cultura de la ciberseguridad.

La forma de poder detectar que tengo a un atacante conectado con unas credenciales válidas es utilizando protección especifica de la identidad, más concretamente, el UEBA (User and entity behaviour analytic).Esto analiza el comportamiento habitual de los usuarios y del sistema, crea una línea base y detrás tiene una inteligencia artificial que detecta comportamientos que no se ajusten, comportamientos anómalos. Es una de las vías en las que se trabaja. Avisa de que un usuario que siempre se conecta desde Madrid se está conectando desde China, por ejemplo, a las nueve de la mañana y no es lo normal.

-El CGPJ, el Hospital Clínic, Ferrari... ¿Los hackeos están en auge?

-Hay ciberataques todos los días pero solamente se conocen los más relevantes por el gran público. Hay sectores como el industrial, el de la salud… ha habido obviamente un aumento. Los ciberdelincuentes hacen un estudio concreto a la organización que atacan. No es lo mismo una empresa pequeña o grande, ni si ésta maneja información crítica. Generalmente, antes atacaban de forma masiva a empresas de todo volumen. Desde hace dos años, aplican el 'big hunting game', la caza mayor. Se han especializado en atacar empresas muy grandes porque el rédito puede ser muy alto. Hablamos en ocasiones de millones. De cientos de miles a millones de euros.

-¿Por el pago de un rescate?

-Sí. Aunque la directriz siempre es no pagar, por una decisión de país. Hay otros países que sí pagan porque quieren recuperar los datos. El SEPE no pagó. En España la norma es que no se paga nunca.

-¿Alguna vez te has planteado pasarte al otro lado, ser un hacker de sombrero negro?

-Siendo un chaval, un profesor me dijo: con esto se puede ganar mucho dinero pero también puedes acabar en la cárcel, según lo orientes. Luego te das cuenta de que mucha gente conocida ha acabado con problemas. Y yo se lo transmito a mis alumnos: 'Todo lo que vamos a hacer aquí es absolutamente ilegal a no ser que tengas permiso'. Estoy en el lado bueno, y hago lo que creo que tengo que hacer.