Hackers éticos en la universidad
La Complutense cuenta con un grupo de hacking que practica en entornos reales. El CERN, el laboratorio de investigación en física de partículas, les permite atacar su cíber infraestructura
José Luis Vázquez-Poletti 6/02/2019
En CTXT podemos mantener nuestra radical independencia gracias a que las suscripciones suponen el 70% de los ingresos. No aceptamos “noticias” patrocinadas y apenas tenemos publicidad. Si puedes apoyarnos desde 3 euros mensuales, suscribete aquí
Todo empezó hace un año y medio, cuando estudiantes de las dos principales asociaciones de la facultad (ASCII y LibreLab) se propusieron, prácticamente a la vez, crear un grupo hacker. Antes de asustarnos y pensar en barcos atacando a otros en alta mar entre gritos y olor a pólvora es necesario definir ciertos conceptos.
La Real Academia de la Lengua define hacker como “pirata informático” (sic), pero también como “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”. Es esta última definición la que más se acerca, pero sin llegar a ser completa, al concepto de hacker que es comúnmente aceptado en el mundo de las TIC. Los estudiantes que siguen las asignaturas de Ciberseguridad aprenden que un hacker también se distingue por tener curiosidad y ganas de aprender, lo cual le impulsa a la búsqueda de información y al intercambio de la misma. Además, su motivación es doble: mejorar algo del entorno y, más importante todavía, disfrutar con todo el proceso.
Desde un punto de vista científico, hay que considerar que esta definición se basa en aspectos observables. Hacker no es sólo el gran Kevin Mitnick1 y el vilipendiado Tsutomu Shimomura2, sino también el aclamado Linus Torvalds3, quien no tiene especial interés en la Ciberseguridad.
El grupo de hacking ético de la Facultad de Informática de la UCM nace como un espacio de intercambio entre entusiastas y curiosos de la Ciberseguridad, contando con estudiantes, profesores y personal administrativo
El grupo de hacking ético de la Facultad de Informática de la UCM (FDIst: FDI security team) nace como un espacio de intercambio entre entusiastas y curiosos de la Ciberseguridad, contando con estudiantes, profesores e incluso personal administrativo y de servicios. El centro se ha volcado con FDIst desde el primer momento ya que, en palabras del profesor y anterior decano Daniel Mozos a Tribuna Complutense: “En una Facultad de Informática se espera que aparezca algún grupo de hacking ético en algún momento y por eso le prestamos todo nuestro apoyo, sobre todo teniendo en cuenta que los estudiantes han mostrado mucha iniciativa, con muchas ganas de hacer cosas”.
El nivel de conocimientos no supone un problema. La actividad principal del grupo, su hilo conductor, viene en forma de talleres de temas específicos. Estos van desde las criptomonedas hasta la injustamente infravalorada ingeniería social, pasando por la socorrida seguridad WiFi, o incluso los sistemas incorporados en consolas de videojuegos relacionadas con cierto intrépido fontanero italoamericano.
La mayoría de los talleres son impartidos por los propios estudiantes que o disponen de una serie de conocimientos previos o han decidido investigar algún tema particular para luego mostrar sus hallazgos a los demás. Un ejemplo de esto último fue una conferencia, que contó con la asistencia de numerosos profesores, apenas se conoció la existencia de Meltdown y Spectre4.
Allá donde las clases de teoría y las sesiones de laboratorio de los cursos regulares de la UCM se han quedado cortas, el grupo supone una extensión natural. De hecho, los estudiantes que formaron el grupo buscaban ese “algo más” que excedía el papel de la ficha docente o la tabla de créditos del sistema de gestión académica.
Si bien en los laboratorios de las asignaturas regulares los alumnos realizan ataques y construyen defensas a los mismos en un entorno muy controlado (gracias a la virtualización), FDIst les permite dar el salto hacia la realidad y practicar en entornos reales.
Dicho salto viene de la mano de un acuerdo firmado con el CERN, el centro de investigaciones que se encuentra parte en Suiza y otra en Francia, hogar de los 27 kilómetros subterráneos de LHC (Gran Colisionador de Hadrones) y lugar de nacimiento de la World Wide Web. Este acuerdo, en el marco del CERN WhiteHat Challenge, da permiso a cualquiera de los integrantes de FDIst para atacar su cíber infraestructura (redes, servidores) con el objetivo de localizar vulnerabilidades en la misma. Los estudiantes que dan con ellas adquieren el compromiso de informar exclusivamente al CERN y a cambio reciben una carta oficial de la institución certificando su hallazgo. Esto ha pasado ya al menos cuatro veces durante el curso pasado y parece que dicha carta ha supuesto una gran ventaja en alguna entrevista de trabajo.
Y no siempre es verdad que “nadie es profeta en su tierra”, puesto que la propia Universidad Complutense de Madrid también ha ofrecido un acuerdo similar, y el grupo hacker ha aceptado encantado.
Pero si impartir y asistir a talleres, así como “atacar” sistemas del mundo real no es suficiente, FDIst ofrece una serie de actividades complementarias en las que sus integrantes encuentran distintos alicientes y buscan nuevas maneras de involucrarse.
La primera de ellas es de corte competitivo. Se trata del concurso de programación de virus usando un entorno que se remonta a 1984 llamado Core War. Aunque Stranger Things5 ha puesto de moda los 80, hay que decir que el grupo ya lo hacía antes de que fuera mainstream. En Core War, los competidores desarrollan programas cuyo objetivo es acabar con los de los rivales y así hacerse con el control del sistema en el que transcurren los combates. Los enfrentamientos se realizan 2 a 2 y todo transcurre al más puro estilo velada de boxeo, presentando a los contendientes y dándoles unos minutos para explicar las mejoras introducidas en sus programas y la estrategia seguida por los mismos. Los combates son mostrados en tiempo real usando el sistema de proyección disponible (aula, sala de informática, salón de actos) y todo esto se complementa con música electrónica, que sin duda motiva a los participantes.
De hecho, las Core Wars del grupo son de dos tipos. En el primero, habitualmente a mediados de curso, se imparten unas lecciones rápidas para que los más novatos puedan diseñar su primer virus en poco tiempo y luego se realizan rondas de combates libres en las que la participación es totalmente dinámica y abierta.
El segundo, casi al final de curso, es una fiesta propiamente dicha puesto que incluso se cuenta con un DJ que pincha música en vivo según el momento de la competición. Para esta modalidad se realiza una convocatoria abierta incluso fuera de la universidad. Con los virus recibidos se realizan los emparejamientos y se definen las fases. Los participantes sólo tienen que ir el día de la competición a dar la cara y disfrutar. Además, se cuenta con premios de una prestigiosa desarrolladora internacional de videojuegos, que justamente cuenta con una franquicia ambientada en el mundo hacker.
Si bien el concurso de desarrollo de virus partió como apoyo a una de las asignaturas de Ciberseguridad (la idea original fue del profesor Juan Carlos Fabero, también embarcado en FDIst), esta actividad se ha revelado también de interés para otras disciplinas de la facultad. Este es el caso de las que involucran programación en lenguajes de bajo nivel, como ensamblador. Al utilizarse un lenguaje del mismo tipo en Core War, éste ha supuesto un aliciente más para avanzar en el conocimiento.
Como ha podido entenderse, “ejercer de hacker ético” conlleva una gran responsabilidad. Es por ello que el ingreso de nuevos miembros se ritualiza con un juramento, que es leído en voz alta por cada uno de los nuevos integrantes poniendo su mano sobre el famoso manifiesto hacker escrito por The Mentor en 1986, y dice así:
Yo _________ prometo participar en las actividades del NOMBRE_GRUPO_HACKER y contribuir a ellas en la medida de lo posible, y respetando los principios de la ética hacker.
Por ello, en mi camino para satisfacer mi curiosidad, no destruiré ningún sistema y alertaré a su legítimo propietario de cualquier vulnerabilidad que en el mismo hubiera podido encontrar. Así mismo, prometo obediencia estricta a la legalidad vigente.
Por último, prometo disfrutar con todo el proceso.
A falta de himno oficial, el ritual es amenizado con música electrónica, generalmente dubstep6.
Como parte de ese compromiso social asociado al movimiento hacker, FDIst participa activamente en la organización de la edición madrileña de la CryptoParty. Este evento gratuito y abierto se realiza a nivel internacional, teniendo por objetivo concienciar a la sociedad sobre los peligros de la red y la importancia de un uso responsable de las tecnologías en cuanto a la seguridad y la privacidad.
El resultado son una serie de talleres cortos para todos los niveles sobre ciertas tecnologías que van desde el cifrado de correos electrónicos hasta la seguridad física en forma de “cerrajería” (a fin de ayudar en la elección de la mejor “cerradura” para casa). Los integrantes de FDIst ofrecen su tiempo en forma de los propios talleres, la logística del evento, la búsqueda de patrocinadores para financiar los elementos que se regalan a los participantes… suponiendo todo esto un excelente entrenamiento para el mundo que les espera más allá de las paredes de la universidad.
La 4ª edición de la CryptoParty Madrid ya está preparándose y se espera que tenga lugar en primavera de 2019. Durante estos años ha cosechado el interés no sólo del público, que ha ido repitiendo año tras año, sino también de las instituciones que han ido sumándose a su lista de apoyos y entre las que está, por mencionar algunas, el Ayuntamiento de Madrid, la Casa del Estudiante de la UCM, el Vicerrectorado de Tecnologías de la Información de la UCM a través de la Oficina de Software Libre y Tecnologías Abiertas.
Volviendo al grupo de hacking ético de la Facultad de Informática de la UCM, los profesores participan como posibilitadores de este esfuerzo conjunto impulsado por los estudiantes, sin retribución alguna. Aceptan el entusiasmo como premio y desde luego justifica el tiempo extra invertido (y en términos informático-lúdicos, la “pérdida de family points”) para apoyar a esta nueva generación.
---------------------
Notas:
1 Uno de los hackers estadounidenses más famosos de la Historia, con innumerables delitos informáticos en su haber. La pena que cumplió en la cárcel pretendió ser ejemplarizante para el sector. En la actualidad dirige su propia compañía de Ciberseguridad con una extensa cartera de clientes que incluye empresas y estados.
2 Físico estadounidense de origen japonés (hijo de un Premio Nobel) y especialista en Ciberseguridad. La irrupción de Mitnick en sus sistemas convirtió la situación en un asunto personal, llevándole a colaborar con la justicia estadounidense para capturarle.
3 Ingeniero de software finlandés, conocido por la creación del sistema operativo Linux. El motivo fue que Minix, el sistema operativo del ordenador que usaba durante la carrea, no cumplía sus expectativas. La revolución comenzó cuando Linus publicó su primera versión animando a su mejora y evolución a los potenciales entusiastas.
4 Vulnerabilidades muy severas que permiten el acceso no autorizado a posiciones de la memoria. El abanico de procesadores afectados es muy amplio, lo cual generó un auténtico boom mediático.
5 Serie de ciencia ficción coproducida y distribuida por Netflix en la que se narra las aventuras de un grupo de chicos en un pueblo ficticio del estado de Indiana. Experimentos secretos del gobierno y una grandiosa ambientación de los años 80 con estupendos guiños a clásicos de la época adornan esta obra que no ha dejado de cosechar premios.
6 Una de las ramas del Drum & bass con origen en el reciente cambio de siglo. Sus pulsos por minuto (beats per minute, BPM) suelen encontrarse entre los 140 y los 155.
----------------------
José Luis Vázquez-Poletti es profesor de la Facultad de Informática de la Universidad Complutense de Madrid Director de la Oficina de Software Libre y Tecnologías Abiertas de la Universidad Complutense de Madrid.
-------------------------
Este artículo se publica gracias al patrocinio del Banco Sabadell, que no interviene en la elección de los contenidos.
Todo empezó hace un año y medio, cuando estudiantes de las dos principales asociaciones de la facultad (ASCII y LibreLab) se propusieron, prácticamente a la vez, crear un grupo hacker. Antes de asustarnos y pensar en barcos atacando a otros en alta mar entre gritos y olor a pólvora es necesario definir ciertos...
Autor >
José Luis Vázquez-Poletti
Suscríbete a CTXT
Orgullosas
de llegar tarde
a las últimas noticias
Gracias a tu suscripción podemos ejercer un periodismo público y en libertad.
¿Quieres suscribirte a CTXT por solo 6 euros al mes? Pulsa aquí
