Empresa busca ‘hácker’

“Puedes acompañarnos ahora o, si quieres, esperamos abajo hasta que vayas a comprar el pan”, le dijeron. Al salir del portal le pusieron las esposas y fue a comisaría. A. G. I. se lo olía. Era noviembre de 2012. Desde agosto, este experto en pirateo informático de 26 años que prefiere no dar su nombre, sabía que tarde o temprano recibiría esa visita.

La policía española se lo llevaba al calabozo durante algo menos de un día a comienzos de noviembre. La culpa, asegura, la tuvo su curiosidad. Vio una máquina expendedora de billetes en Atocha estropeada, se puso a investigar y descubrió que todos los archivos donde se guardaban las tarjetas de crédito de los clientes estaban accesibles en Internet, sin cifrar.

Cumple todos los requisitos para cubrir un puesto que no se publica en los listados de Linkedin, sino que se demuestra poniendo a prueba contraseñas, sistemas de seguridad, vigilancia y control. Sus formas rozan la frontera de la ley. Según Glassdoor, una web de comparación de perfiles y salarios, el salario de este tipo de háckers oscila entre 180.000 y el millón de dólares. Los expertos consultados prefieren no dar su suelto exacto, pero asegura que no se corresponde con la realidad.

“Mandé un correo a Renfe, pero nadie dijo nada”, se excusa con cara de no haber roto un plato. Profundizó en su conocimiento hasta alcanzar la hazaña que todo hácker sueña, presentar el caso en la DEFCON, la conferencia anual en Las Vegas. “Normalmente lleva más tiempo, introducirse en un sistema es sencillo de contar, pero tiene mucha reflexión y estrategia detrás”, aclara.

El salario de este tipo de hácker profesional oscila en EE UU entre 180.000 y un millón de dólares

Tras la charla comenzó su persecución, cuando su travesura comenzó a cobrar rango de hazaña. Por suerte, un acuerdo verbal y el compromiso de ayudar a solventar el fallo fueron suficiente para recobrar la libertad.

Entre el público se encontraba otro joven español, A. P., mánager senior de una empresa estadounidense, que también prefiere reservar su identidad. Allí mismo, se fijó en su compatriota. “Este tipo es peligroso, pero creo que lo podemos convertir”, pensó. Entonces habló con su jefe y su paisano entró a trabajar como penetration hacker (experto en colarse). En agosto hizo un año que comenzó la relación laboral y en octubre cumplirá el primero en San Francisco.

Esta modalidad va más allá de pantallas y teclados. Si hace falta físicamente, o con un disfraz, por todos los medios posibles en las empresas hasta conseguir una base de datos concreta, la clave del garaje o el sistema de turnos. “Me lo tomo como un reto y me pagan, muy bien, por romper cosas”, confiesa en el argot, para referirse a reventar la seguridad.

La pizza es su mejor aliada. “A todo el mundo le gustan, así que haces de repartidor y tienes el acceso casi asegurado a muchísimos lugares”, dice con expresión pícara. Nunca se ha lucrado por los ataques, es lo que se llama “sombrero blanco”, búsqueda de errores para alertar de los mismos, documentarlo y que se corrijan. Solo ataca a su compañía y a empresas integradas en esta. Una decena en los últimos dos años y varios edificios por toda la Bahía. El trabajo no termina nunca. Las comprobaciones son constantes. Cuando termina, comienza la ronda de nuevo para buscar nuevas filtraciones.

Quizá no sea el chico más popular de su empresa: “Pisas demasiados callos como para caer bien. A nadie le gusta que le digan que lo ha hecho mal, pero reflexionan y se dan cuenta de que es bueno ponerse a prueba”. A. P. dice que le parece natural que haya fallos: “La proporción es indicativa. Por cada 12 o 15 que crean algo, hay uno para ponerlo a prueba. Los humanos cometemos errores, por supuesto”. Él busca los que haya en el software. A. G. I. usa la ingeniería social, algo así como el conocimiento de los mecanismo humanos para caer en trampas. “El hombre es el eslabón más débil de la cadena. Donde hay un persona, puede haber una vulnerabilidad”, apunta.

Ambos tenían la sensación de que en España estarían mucho más limitados para crecer en este campo. “Aquí te valoran, te sientes importante en la empresa. Te preguntan qué quieres hacer y te dejan hacerlo. A ver hasta dónde llegas”, dice A. P. Su compatriota, que estudió ingeniería informática, cree que la formación tendría que estar más cerca del mundo real: “Sales sin tener ni idea y aprendes cuando empiezas a trabajar. Aquí tener becarios es una cuestión social, de aprendizaje, no una forma de explotación”.

“Aquí te valoran, te sientes importante. Te preguntan qué quieres hacer y te dejan hacerlo. A ver hasta dónde llegas”, dice Á. P.

El perfil de estos expertos en la sombra se busca, pero apenas se cuenta. No aparecen ofertas en Linkedin o se pone. “Funciona por recomendación, al ver las habilidades de cada uno y cómo resuelve los problemas”, expone A. P. De ahí que una demostración brillante en DEFCON abra las puertas al mundo laboral.

En esa misma conferencia está Jaime Blasco (Madrid, 1986), director de Alienvault en EEUU, que ha trasladado la firma a San Francisco hace un año y medio. Sus pasos fueron bastante parecidos. De la denuncia a la prevención. “En estas conferencias haces contactos y descubres técnicas buenas, lo más difícil es dar con las personas adecuadas”, aclara.

Para el consejero delegado de Reputation.com, Michael Fertik, dedicados a limpiar referencias negativas a marcas y personas en la Red, es una contradicción, como si el lobo cuidase de las gallinas. Tiene una opinión muy distinta: “No me gusta y no contrataría a alguien que ha hecho algo ilegal o en la frontera. Yo quiero gente en la que no pueda confiar, quizá con el tiempo vayan demostrando que sí, que están del lado de los buenos, pero en principio no me interesan”.

Google ha creado su propia división, una especie de comando de renegados, para trabajar en la sombra. Forman parte del denominado ‘Project Zero’. Anunciado a mediados de julio, es la reacción directa a Heartbleed, la mayor brecha de seguridad conocida hasta el momento, descubierta por uno de sus trabajadores. Oficialmente, su misión se define con un eufemismo, el análisis de programas. George Hotz es una de sus estrellas, venerado en la comunidad programadora por un logro épico, saltarse el código de seguridad de la PlayStation 3. Apple también sumó para sus filas a Peter Hajas, al creador de un jailbreak, el sistema que se salta el candado de iOS y permite instalar programas ajenos a su tienda.

Kevin Mahaffey (San Diego, 1984) saltó a la fama en 2004. Junto a sus dos socios, John Hering y James Burgess, se plantaron cerca de la alfombra roja en la ceremonia de los Óscars. Entonces no había smartphones y el bluetooth era la forma de comunicación entre móviles. Ataviados con una mochila compatible con esta tecnología se introdujeron en los teléfonos de los famosos. “Llevábamos tiempo alertando a los fabricantes del fallo y no nos contestaban. Queríamos que se arreglase y la mejor publicidad era algo así, a lo grande”, justifica. Hoy es director técnico y cofundador de Lookout, dedicada desde 2007 a la seguridad en el móvil. Cuentan con 60 millones de usuarios en todo el mundo.

Cuando contrata, se siente reflejado en muchos de los candidatos, pero deja claro un matiz: “No importa si han ido a la universidad, sino qué saben hacer, que rompan cosas, pero para hacer el bien, explicando el porqué de todo. Romper por romper no tiene sentido”, insiste.

Confiesan que el salario no es lo más importante, sino sentirse útiles, aportar. Son mentes curiosas que encuentran motivación en el reconocimiento. A. G. I. lo cree así. Aspira a un visado bastante peculiar, el mismo con el que residen en Estados Unidos premios Nobel, deportistas de élite y grandes magnates.