Entrevista a Chema Alonso: "Todo lo que pongas en Facebook, asume que un día será público"

Por Pedro Delgado |

Chema Alonso es uno de los expertos sobre seguridad informática (hacker) más reconocido en nuestro país y en el mundo. Es ingeniero técnico de informática de sistemas con experiencia en multitud de proyectos relacionados con la seguridad. Entrevistado por Jordi Evole en Salvados, entre otros, ahora nos concede una entrevista para El Grupo Informático.

Imagen - Entrevista a Chema Alonso: "Todo lo que pongas en Facebook, asume que un día será público"

1. -Hablemos de uno de tus proyectos: Foca ¿Cómo surgió la idea de crear Foca? ¿De dónde salió el nombre?

La idea inicial de FOCA nació de un artículo que estaba escribiendo sobre cómo era posible hacer un fingerprinting de la red interna de una organización extrayendo metadatos. Necesitaba una utilidad para automatizar ese proceso y puse a uno de los compañeros de mi equipo a programar lo que yo tenía en mente. El nombre fue una broma interna, mezclada con que me gusta el animal en cuestión, que me parece divertido y que podía poner algo como “Fingerprinting Organizations with Collected Archives”. Después fui añadiendo técnicas OSINT para aumentar el reconocimiento de la red y salieron la FOCA 2 y la FOCA 3 que ya hemos liberado desde Eleven Paths. Si quieres saber todo lo que hace, puedes leerte este libro que he escrito sobre el tema: http://0xword.com/es/libros/59-pentesting-con-foca.html

2. - Las redes sociales y las apps de mensajería instantánea están de moda, todos enganchados a ellas. ¿Qué opinas respecto a la seguridad de WhatsApp? ¿Y la red social Facebook?

Sobre WhatsApp ya he escrito mucho. De hecho tengo un artículo en mi blog titulado “Cómo espiar WhatsApp” que recoge todas las formas en las que es posible robar conversaciones de WhatsApp de alguien. Desde el punto de vista forense, es incluso posible recuperar mensajes que han sido borrados con Recover Messages [http://www.recovermessages.com]y hacer que nunca se borren esos mensajes con WhatsApp Anti-Delete Protection Tool. En definitiva, WhatsApp está intentando hacerlo bien, pero aún queda mucho por avanzar.

Respecto a Facebook yo tengo una regla. Todo lo que pongas allí, asume que un día será público, ya sea por un cambio de política, un fallo de seguridad o un robo de tu credencial. Esto puede sonar un poco fuerte, pero es lo que realmente pienso. La herramienta Facebook Recover permite extraer las sesiones de Facebook que se hayan quedado guardadas en un backup o en un iPhone, con un solo clic, y es porque las cookies de sesión de la app de iPhone de Facebook parece no caducar nunca.

3. - La polémica de la NSA nos deja cada día con novedades para dejarnos más sorprendidos aún. Una paranoia que parece real. ¿Cuál es tu opinión respecto a todo esto del espionaje masivo?

Uff, yo creo que todo lo que hemos visto nos ha llevado a un estado de paranoia que ha debilitado mucho la confianza de los países, las instituciones y las personas en Internet. La red de redes es lo que más ha hecho avanzar a la sociedad en los últimos 50 años y esto ha generado una desconfianza grande en lo que es el pilar de nuestra civilización hoy en día. No debería haber pasado. Creo que se deberían poner más trabas a este tipo de acciones y que habría que luchar por construir un Internet mucho más protegido contra personas que quieran hacer daño a la Red.

4. - ¿A qué edad hiciste tu primera "trastada" con un ordenador? Entiéndase por "trastada" el uso de algún tipo de vulnerabilidad encontrada.

Yo nunca he hecho cosas malas. Digamos que empecé con la seguridad informática cuando tenía venti-pocos años }:)

5. -Desmiéntenos algunos mitos… ¿Puede Apple presumir de seguridad?

Apple tiene los mismos problemas de seguridad que las demás empresas. En el SO Windows tiene protecciones más avanzadas que Apple, pero la cuota de uso de Mac OS X es menor y hay menos malware que para Windows. En el caso de iPhone o Windows Phone, iPhone tiene poco malware, pero sin embargo es el que más fallos de seguridad ha tenido que solucionar – precisamente por su cantidad de uso -. Yo creo que pensar que algún sistema es invulnerable es lo que hace a los usuarios pensar que no deben preocuparse por la seguridad. ¡Error!

6. -¿Qué tal con Android? ¿Y Windows?

No soy muy fan de Android. Le reconozco su versatilidad y el gran ecosistema, pero no me gusta nada el sistema de permisos, la facilidad con que la gente puede subir malware a Google Play o rootear el terminal. En Eleven Paths estamos prestando mucha atención a Google Play y no deja de maravillarnos cómo se puede subir tanto crapware simplemente diciendo que son WhatsApp.

Respecto a Windows, creo que su principal problema ha sido la cantidad de muestras de malware que existen y la pobre formación en seguridad que tienen muchos usuarios. Un compañero escribió un libro llamado “Máxima Seguridad en Windows” donde explica cómo sacarle el máximo partido a las herramientas de seguridad de Windows. Es un must read para cualquiera que use Windows.

7. - Son muchos los usuarios novatos los que nos preguntan cómo “hackear”, ¿qué les dirías?

Yo les digo que estudien mucho, practiquen más y que nunca confundan el hacking con cometer delitos. Sobre este tema escribí un par de artículos que recomiendo a todo el mundo:

  1. Cómo ser hacker o cómo aprender hacking http://www.elladodelmal.com/2013/08/com ... cking.html
    -Buscas criminales, no hackers http://www.elladodelmal.com/2012/07/bus ... ckers.html

8. - ¿Algún consejo de seguridad más allá del “sentido común?

Muchos. El sentido común no acaba de resolver los problemas de seguridad. Pero creo que el único en el que voy a insistir hoy es en que hay que tener mucho cuidado con las identidades digitales, poner contraseñas robustas, usar second factor, y si es posible, poner pestillos digitales con Latch.

9. - ¿Nos puedes contar alguna anécdota que te haya marcado?

Anécdotas a lo largo de mi vida me han pasado muchas. Quizá una que tengo guardada es cuando di una de mis primeras charlas en Argentina en la Escuela del Ejercito y dije “puede que el ordenador me de un pete”. Resulta que en Argentina un pete es otra cosas distinta y un oficial se levantó y me dijo: “Si le da a vos un pete yo se lo compro”… Cuando lo entendí, estuve riéndome durante días…


Muchas gracias Chema Alonso por concedernos esta entrevista.

Comentarios

Deja tu opinión o comentario. También puedes preguntar cualquier duda en el foro.
  • Nova6K0 | El 08 Nov 2015, 20:11
    En primer lugar, que una cosa se ponga en Internet, no significa que tenga que ser de todos, respecto al cumplimiento del derecho a la privacidad e intimidad. No en vano modificando lo que dice sobre Facebook, se podría poner para cualquier cosa, por ejemplo para justificar los ataques distribuidos de denegación de servicio o DDoS.

    Que una persona, le sea más fácil violar los Derechos Humanos en Internet, no significa que haya que permitirlo. Es decir, no hay ninguna paranoia, como él dice es que a la gente no le gustaría una sociedad como en "Un Mundo Feliz" o "1984" y es más no hay justificación alguna, para ello.

    Salu2
  • PDD20 | El 08 Nov 2015, 20:20
    No hay que permitirlo pero se está tomando menos en serio por ser Internet... como si no fuera real