Selecciona Edició
Connecta’t

Empresa busca ‘hacker’

Algunes companyies se serveixen de 'pirates' perquè els examinin els punts febles

Joves especialistes espanyols fan carrera als Estats Units

Assistents a una fira informàtica a Londres.
Assistents a una fira informàtica a Londres. BLOOMBERG

“Pots acompanyar-nos ara o, si vols, ens esperem aquí sota fins que vagis a comprar el pa”, li van dir. Quan va sortir de casa seva el van emmanillar i el van portar a comissaria. A. G. I. ja s'ho ensumava. Era novembre del 2012. Des de l'agost, aquest expert en pirateria informàtica de 26 anys, que prefereix no dir el seu nom, sabia que tard o d'hora rebria aquesta visita.

La policia espanyola el portava al calabós durant gairebé un dia al començament de novembre. La culpa, assegura, la va tenir la seva curiositat. Va veure una màquina expenedora de bitllets espatllada a Atocha, es va posar a investigar i va descobrir que tots els arxius on es guardaven les targetes de crèdit dels clients estaven accessibles a Internet, sense xifrar.

Compleix, doncs, tots els requisits per cobrir una feina que no es publica als llistats de Linkedin, sinó que es demostra posant a prova contrasenyes, sistemes de seguretat, vigilància i control. Les seves formes freguen la frontera de la llei. Segons Glassdoor, un web de comparació de perfils i salaris, el salari d'aquest tipus de hackers oscil·la entre els 180.000 i el milió de dòlars. Els experts consultats prefereixen no dir quin és el seu sou exacte, però asseguren que això no es correspon amb la realitat.

“Vaig enviar un correu a Renfe, però ningú va dir res”, s'excusa amb cara de no haver trencat cap plat. Va aprofundir en el coneixement del sistema fins que va aconseguir la gesta que tot hacker somia, presentar el cas a la DEFCON, la conferència anual a Las Vegas. “Normalment requereix més temps, introduir-se en un sistema és senzill d'explicar, però hi ha molta reflexió i estratègia al darrere”, aclareix.

El salari d'aquest tipus de 'hacker'  professional oscil·la als EUA entre 180.000 i un milió de dòlars

Després d'aquesta xerrada van començar a perseguir-lo, quan la seva entremaliadura va començar a tenir rang de gesta. Per sort, amb un acord verbal i el compromís d'ajudar a solucionar l'error en va tenir prou per recuperar la llibertat.

Entre el públic hi havia un altre jove espanyol, A. P., mànager sènior d'una empresa nord-americana, que també prefereix reservar la seva identitat. Allà mateix es va fixar en el seu compatriota. “Aquest paio és perillós, però crec que el podem convertir”, va pensar. Llavors va parlar amb el seu cap, i el seu paisà va entrar a treballar com a penetration hacker (expert a colar-se). A l'agost va fer un any que va començar la relació laboral i a l'octubre farà un any que és a San Francisco.

Aquesta modalitat va més enllà de pantalles i teclats. Si fa falta es fa físicament, o amb una disfressa, per tots els mitjans possibles a les empreses fins a aconseguir una base de dades concreta, la clau del garatge o el sistema de torns. “M'ho prenc com un repte i em paguen, molt bé, per trencar coses”, confessa en l'argot, per referir-se a rebentar la seguretat.

La pizza és la seva millor aliada. “A tothom li agraden, així que fas de repartidor i tens l'accés gairebé assegurat a moltíssims llocs”, diu amb una expressió múrria. No s'ha lucrat mai pels atacs, és el que se'n diu un “barret blanc”, busca errors per alertar que n'hi ha, documentar-los i fer que es corregeixin. Només ataca la seva companyia i les empreses que hi estan integrades. Una desena en els últims dos anys i diversos edificis per tota la badia. La feina no s'acaba mai. Les comprovacions són constants. Quan acaba, torna a començar la ronda per buscar noves filtracions.

Potser no és el noi més popular de la seva empresa: “Trepitges massa gent per caure bé. A ningú li agrada que li diguin que ho ha fet malament, però reflexionen i s'adonen que és bo posar-se a prova”. A. P. diu que li sembla natural que hi hagi errors: “La proporció és indicativa. Per cada 12 o 15 que creen alguna cosa, n'hi ha un que ho posa a prova. Els humans cometem errors, per descomptat”. Ell busca els que hi ha al programari. A. G. I. fa servir l'enginyeria social, és a dir, el coneixement dels mecanisme humans per caure en paranys. “L'home és la peça més feble de la cadena. On hi ha un persona, pot haver-hi una vulnerabilitat”, apunta.

Tots dos tenien la sensació que a Espanya tindrien moltes més limitacions per créixer en aquest camp. “Aquí et valoren, et sents important a l'empresa. Et pregunten què vols fer i t'ho deixen fer. A veure fins on arribes”, diu A. P. El seu compatriota, que va estudiar enginyeria informàtica, creu que la formació hauria d'estar més a prop del món real: “Surts sense saber res i n'aprens quan comences a treballar. Aquí tenir becaris és una qüestió social, d'aprenentatge, no una forma d'explotació”.

“Aquí et valoren, et sents important. Et pregunten què vols fer i et deixen fer-ho. Fins on arribis”, diu A. P.

El perfil d'aquests experts a l'ombra es busca, però amb prou feines s'explica. No apareixen ofertes a Linkedin. “Funciona per recomanació, en veure les habilitats de cadascun i com resol els problemes”, exposa A. P. Per aquest motiu una demostració brillant a DEFCON obre les portes al món laboral.

En aquesta mateixa conferència hi ha Jaime Blasco (Madrid, 1986), director d'Alienvault als EUA, que ha traslladat l'empresa a San Francisco ara fa un any i mig. Els seus passos van ser bastant semblants. De la denúncia a la prevenció. “En aquestes conferències fas contactes i descobreixes tècniques bones, el més difícil és trobar les persones adequades”, explica.

Segons el conseller delegat de Reputation.com, Michael Fertik, dedicada a netejar referències negatives a marques i persones a la xarxa, és una contradicció, com si el llop tingués cura de les gallines. Té una opinió molt diferent: “No m'agrada i no contractaria algú que ha fet una cosa il·legal o en la frontera. Jo vull gent en qui pugui confiar, potser amb el temps van demostrant que sí, que són al costat dels bons, però en principi no m'interessen”.

Google ha creat la seva pròpia divisió, una espècie de comando de renegats, per treballar a l'ombra. Formen part de l'anomenat Project Zero. Anunciat a mitjan juliol, és la reacció directa a Heartbleed, la bretxa de seguretat més gran coneguda fins al moment, descoberta per un dels seus treballadors. Oficialment, la seva missió es defineix amb un eufemisme, l'anàlisi de programes. George Hotz és una de les seves estrelles, venerat en la comunitat programadora per una gesta èpica, saltar-se el codi de seguretat de la PlayStation 3. Apple també va sumar a les seves files Peter Hajas, el creador d'un jailbreak, el sistema que se salta el cadenat d'iOS i permet instal·lar programes aliens a la seva botiga.

Kevin Mahaffey (San Diego, 1984) va saltar a la fama el 2004. Amb els seus dos socis, John Hering i James Burgess, es van plantar prop de la catifa vermella a la cerimònia dels Òscars. Llavors no hi havia telèfons intel·ligents i el bluetooth era la manera de comunicar-se entre mòbils. Amb una motxilla compatible amb aquesta tecnologia es van introduir als telèfons dels famosos. “Feia temps que alertaven els fabricants de l'error i no ens contestaven. Volíem que s'arreglés i la millor publicitat era fer una cosa així, sonada”, justifica. Avui és director tècnic i cofundador de Lookout, dedicada des del 2007 a la seguretat al mòbil. Tenen 60 milions d'usuaris a tot el món.

Quan contracta, se sent reflectit en molts dels candidats, però deixa ben clar un matís: “Tant se val si han anat a la universitat, sinó què saben fer, que trenquin coses, però per fer el bé, explicant el perquè de tot. Trencar per trencar no té sentit”, insisteix.

Confessen que el salari no és el més important, sinó sentir-se útils, fer aportacions. Són ments curioses que troben motivació en el reconeixement. A. G. I. ho veu així. Aspira a obtenir un visat força peculiar, el mateix amb el qual resideixen als Estats Units premis Nobel, esportistes d'elit i grans magnats.