el llanero solidario

Entrevista con un hacker bueno
Porta look de ejecutivo. Está acostumbrado a viajar a otros países por su
trabajo de consultoría informática.

Leonardo Correa lcorrea@clarin.com

Una de estas tardes bien frías y grises, en la que los virus que más afectan
son los de la gripe, decidimos darle vuelta la cara a los gérmenes y
agarramos para el otro lado. Fuimos en busca de los virus que más nos
interesan, los virus informáticos. De entrada nos planteamos llegar hasta el
hueso. Y telefónicamente pactamos una cita con un hacker que trabaja para
grandes empresas previniendo ataques. Es algo así como un agente no secreto
que hackea a las empresas que se lo piden. Sabe meterse de prepo en casi
cualquier sistema informático. Sentados en su oficina de un piso 11 del
macrocentro, lo esperamos un minuto, quizás menos. Imaginábamos dar con un
pelilargo de barba de ocho días y bigotes mal cortados, como un
antinarcóticos de la policía. O con un nerd de lentes y sonrisa permanente.
Pero no, el tipo es la contracara.

Vestido para matar

"Que tal, yo soy Ezequiel", nos sorprendió estrechándonos la mano. Espigado,
peinado hacia atrás, simpático, a Ezequiel Sallis le sentaba bien ese
prolijo traje azul. Pero ni bien comenzó la charla, el saco parecía de otro.
Su sonrisa fresca y la forma de pedirle el café a su compañera de trabajo de
la empresa de seguridad I-Sec, no son propias de un ejecutivo. Pero Sallis
debe vestirse de empresario porque trabaja para empresarios. Si su look
fuera el de un hacker de película, sencillamente no tendría trabajo. Y
trabajo le sobra.

"Con mi mujer ya tenemos ganas de tener nuestro primer hijo, pero tengo
tanto trabajo... Estoy de acá para allá. En unos días vuelvo a viajar por
una semana. Voy a hacer una tarea de consultoría en una empresa de Puerto
Rico."

-¿Para qué le sirve a una gran empresa contratar a un hacker?

-Yo puedo decirles qué problemas tienen sus sistemas, puedo meterme en ellos
como cualquier otro hacker y les digo donde están flojos. Hago Penetration
Testing y Ethical Hacking. Penetration Testing es cuando te contratan para
algo específico. Por ejemplo, si quieren saber si su base de datos es
inviolable, te contratan para que trates de entrar ahí. En cambio, el
Ethical Hacking no tiene un objetivo específico. Tratás de meterte en todos
lados y sembrás pruebas. Es decir, colocás un archivo en el sistema o tomás
datos secretos y se los contás. Eso se hace para demostrar que entraste.

La ética es lo que cuenta

A lo largo de la charla, Sallis aclara una y otra vez que él es un hacker
ético desde siempre y no desde que trabaja para empresas. "Empecé con
programitas tontos, ingresando a cuentas de e-mail de amigos y de novias, a
los 13 años. Más tarde empecé a ver hasta dónde podía llegar. Me metía en
empresas con fama de seguras. Decía: 'A ver si puedo entrar'. Y entraba y
salía sin dejar rastro, y siempre sin hacer daño. Se debe diferenciar entre
el hacker que hace daño y el que no. Eso es muy importante. Hoy, ya no entro
donde no me lo piden. Pruebo mis programas de hacking en cuatro computadoras
que tengo en red, en casa."

-¿Tenés esos programas acá?

-Sí, los llevo en la notebook. ¿Querés verlos? Ezequiel invita a pasar a una
pequeña oficina contigua de 2 por 3. Sobre el escritorio espera su portátil
extrachata. La enciende. Ingresa a una carpeta llamada Security Tools y se
dispone a exhibir lo suyo. Es un auténtico arsenal. Prueba cada una de las
herramientas y todas funcionan.

Un verdadero arsenal

Tiene cracking de contraseñas, para ingresar en cuentas vedadas;
diccionarios para crackear passwords, que incluye los más usados de la
Argentina, como por ejemplo el término capo; herramientas de correo
electrónico con las que se puede mandar fácilmente un e-mail con remitente
de otro.

También tiene señuelos, que sirven para que un desprevenido entre en una
página web que no es la que parece ser y, sin saberlo, envíe información al
hacker. Y crawlers que sirven para bajar páginas web e investigarlas off
line, y mucho más.

"De todos modos, aclara, esto sólo no sirve. Para hackear hay que tener
creatividad. Una contraseña podés conseguirla sólo con llamar por teléfono a
la mesa de ayuda de la empresa en cuestión. Y, aunque parezca mentira, con
solo decir un nombre de alguien que trabaja ahí, algunos te la dan. O podés
ir al Google y empezar a buscar información ahí. Y vas buscando y buscando y
te aparecen sectores de sitios de Internet que si entrás por la dirección
web de la página te dicen 'no disponible'. Pero si vas por Google, sí podés
entrar." Así Sallis encontró los gastos de campaña de uno de los partidos
políticos más importantes de la Argentina para la última elección a Jefe de
Gobierno de la ciudad de Buenos Aires.

"Si en ese buscador empresa, van a aparecerte muchas direcciones de e-mail
de esa empresa. Ahí
ya tenés otra punta. Después le mandas un troyano a esa cuenta de correo . Y
si el destinatario pica, ya estás adentro de la empresa, porque con el
troyano todo lo que esa persona tipea te llega a vos. Un troyano se consigue
en Internet por 300 dólares."

-Siguiendo el camino que trazás, el nivel de inseguridad es altísimo.
-Depende de la empresa. Hay que seguir ciertas pautas. Nosotros recomendamos
manejarse con la norma ISO 17799, que explica desde cómo dar de alta un
usuario hasta cómo configurar un servidor. Porque no sirve de nada tener
celo en la protección de lo que está en la PC si mandás a imprimir
información confidencial a una impresora que está en el medio de un salón al
que todos tienen acceso. O si tenés en el pizarrón del departamento de redes
el diagrama de red de la empresa. Para alguien como yo, eso es fundamental.
Voy con este aparatito le saco una foto y listo. Después, el sistema es mío.