Aurum Speakers Series 02 – Entrevista con Chris Valasek & Charlie Miller, white hat Hackers & Expertos en Ciberseguridad
En Aurum Speakers Bureau tenemos el gran placer y el honor de representar a algunas de las personas más extraordinarias del mundo y llevarlas por todo el planeta para inspirar a la audiencia de tu próximo evento. Nuestro portfolio de conferencistas de ciberseguridad es especialmente impresionante. En esta nueva sección de nuestro blog, podrás conocerlos un poco más antes de contratarlos y de que den su conferencia. Bienvenido a Aurum Speakers Series.
En una de las últimas Encuesta Mundial de CEOs realizada por PwC en el prestigioso Foro de Davos, las amenazas de seguridad cibernética se ubicaron en el segundo lugar entre las principales preocupaciones de los directores ejecutivos de los Estados Unidos y al 50% de los CEOs les preocupa mucho los ciberataques que afectan a información empresarial y los sistemas críticos; y las disrupciones que estos causan en las tecnologías de la información.
Pero no solo las empresas y los directores ejecutivos deben preocuparse por los ataques cibernéticos. Desde las amenazas maliciosas simples que roban sus datos de navegación hasta los sofisticados ataques de phishing para obtener sus contraseñas y hackear sus cuentas en línea, las amenazas cibernéticas no dejan de aumentar para todos los usuarios. Y con el desarrollo de tecnologías como Internet of Things (IoT), cada vez más artículos para el hogar como televisores, cámaras web de seguridad o incluso lavadoras y frigoríficos, están conectados a Internet. ¿Pueden ser hackeados? ¡Por supuesto!
Y si bien es posible que no estemos particularmente asustados de que nuestro refrigerador sea hackeado, ¿qué pasa con nuestro auto? Hoy en día, los automóviles son tanto software como hardware y, por lo tanto, ofrecen servicios como navegación, reproducción de música, asistentes de voz y más. Eso significa que nuestros autos también están conectados, y eso representa una amenaza que los hackers pueden explotar. Además, los fabricantes están invirtiendo fuertemente en tecnología autónoma y las marcas como Tesla ya tienen todo el hardware necesario para los autos sin conductor sean totalmente autónomos.
En el verano de 2015, Chris Valasek y Charlie Miller lograron hackear remotamente, desde una distancia de 10 millas, un Jeep Cherokee 2014 en St. Louis mientras un reportero de la revista Wired lo estaba conduciendo. Encontraron una vulnerabilidad en el sistema de entretenimiento conectado a Internet del vehículo y lo explotaron para obtener un control completo del automóvil: desde pequeños trucos como encender los parabrisas o disparar el volumen de la radio; hasta amenazas realmente serias como girar el volante, anular completamente los frenos, o apagar el motor en medio de la carretera.
Debido a esto, Fiat Chrysler se vio forzada a retirar 1.4 millones de unidades de Jeep Cherokees y emitió una actualización para solventar esa vulnerabilidad. Lo que hicieron Chris y Charlie fue aterrador y tardó muy poco tiempo en convertirse en viral y dar la vuelta al mundo, pero lo hicieron para ayudar a Chrysler a solucionar el problema y proteger a millones de conductores que habrían estado a merced de piratas informáticos sin tan buenas intenciones. Eso es lo que hacen los denominados “White Hat hackers“, los hackers “buenos” que se dedican a protegernos.
La entrevista:
Hablamos con Chris & Charlie sobre el hacking ético, la seguridad del automóvil y los vehículos autónomos, y sobre las mayores amenazas en materia de ciberseguridad. Esto es lo que nos contaron al respecto:
- Vuestro hack del Jeep os hizo famosos al convertirse en viral y aparecer en las portadas en todo el mundo. Pero, ¿ha sido una llamada de atención para los otros fabricantes de automóviles? ¿Creéis que aún es posible que en el futuro un hacker pueda hallar una vulnerabilidad similar para controlar remotamente un auto y tratar de lastimar a alguien?
Chris: Creo que logramos que la industria automotriz despertase cuando lo hicimos. Desde ese momento, parece que los fabricantes de automóviles están invirtiendo mucho en seguridad y están trabajando arduamente para asegurarse de que eso no suceda en el futuro. Dicho esto, ningún sistema es in-hackeable, por lo que siempre es posible que en el futuro los autos puedan ser pirateados. Sin embargo, esperamos que la atención adicional que prestan estas empresas ahora nos mantenga seguros en el futuro.
- ¿Qué es un “White Hat Hacker” / o el hacking ético? ¿Cómo es el día a día de alguien que lo hace para ganarse la vida?
Charlie: Los White Hat hackers encuentran fallos en los sistemas, pero en lugar de usarlos para atacar y, por ejemplo, robar números de tarjetas de crédito o fotos personales, informamos de estas fallas a los proveedores para que las corrijan. Por ejemplo, yo encontré el primer error explotable de forma remota en el iPhone – en el mismo día en el que salió al mercado – y lo informé rápidamente a Apple para que se solucionara. Más tarde, encontré otra falla en el iPhone que permitía a un posible atacante controlar el teléfono simplemente enviando un mensaje de texto. También encontré fallas similares en dispositivos Android. Pero como las reporté todas, estos errores fueron arreglados y millones de usuarios no fueron hackeados.
Básicamente, nuestro trabajo es como el de todos los demás. He sido consultor, trabajé para la NSA (la Agencia de Seguridad Nacional de inteligencia del Gobierno de los Estados Unidos que se encarga de todo lo relacionado con la seguridad de la información), y para grandes startups tecnológicas como Twitter y Uber, etc. Pero por las noches o durante los fines de semana, en mi tiempo libre, me dedico a la búsqueda de errores. Es principalmente un pasatiempo, pero también me hace sentir bien saber que estoy ayudando a hacer que los productos que la gente usa sean más seguros. Algunos de estos fallos pueden encontrarse muy fácilmente, pero la mayoría requiere un esfuerzo considerable…
Chris: Exactamente! Algunas fallas pueden detectarse con bastante facilidad, pero diría que una falla típica en algo como un iPhone como Charlie dijo podría tomar semanas o incluso meses de esfuerzo para descubrirlo. Para ponerlo en contexto: el trabajo que hicimos para demostrar la vulnerabilidad en el Jeep nos llevó … ¡casi un año de trabajo! Nosotros fuimos los primeros, totalmente pioneros, pero hoy en día hay equipos especializados en la búsqueda de vulnerabilidades en el sector del automóvil y aun así les suele tomar varias semanas o incluso meses. No es nada fácil.
- Los autos autónomos que se manejan solos son el futuro del transporte y actualmente trabajan como arquitectos de la seguridad autónoma de los vehículos en Cruise Automation, la compañía de automóviles autónomos adquirida por General Motors en 2016 por 1 billón de dólares. ¿Para cuándo esperan que esta tecnología alcance el famoso “Nivel 5”, es decir, la plena autonomía? ¿Cuáles son los principales problemas o desafíos a la hora de lograr que los autos autónomos sean seguros?
Charlie: Los autos autónomos son realmente geniales y tengo fe en que resolverán muchos de los problemas a los que se enfrenta la conducción hoy en día, como los problemas causados por los conductores ebrios o distraídos. Además, podrán ayudar a las personas mayores o discapacitadas a mantenerse móviles. Sin embargo, como mostramos con el famoso hack del Jeep, debemos asegurarnos de que estos autos que conducen por sí mismos estén a salvo de los ataque cibernético. Chris y yo trabajamos arduamente en Cruise para asegurarnos de que los tipos de vulnerabilidades que hemos demostrado contra el Jeep no estén presentes en nuestros autos autónomos.
- Antes de Cruise, han estado trabajando para otras compañías importantes como Uber (ambos), Twitter (Charlie), IBM (Chris) y más. ¿Dirían ustedes que la ciberseguridad es una de las principales preocupaciones de las empresas en la actualidad? ¿Cómo es posible que cada pocos meses nos enteremos con un nuevo caso en el que una gran empresa ha sido hackeada y ha perdido millones de datos privados de clientes? ¿No están prestando suficiente atención a este asunto?
Chris: Cuando una empresa es hackeada, generalmente significa que hicieron algo mal. Pero hay que entender que la defensa en materia de ciberseguridad es muy difícil… Puedes hacerlo todo bien por mucho tiempo, cometer un pequeño error, y eso es todo lo que necesita el hacker para ganar. Así que siempre me pregunto, cuando leo sobre una gran brecha en las noticias, si realmente tenían una terrible política interna en materia de seguridad y era una cuestión de tiempo que les pasara, o por el contrario si tenían un gran equipo, excelentes medidas de ciberseguridad, pero un pequeño error les expuso.
Charlie: Y también depende mucho de quiénes están detrás del hack. No es lo mismo defenderse contra un adolescentes aburrido en el sótano de su casa que contra un Estado-nación que ha contratado a un equipo de los mejores hackers del mundo para atacarte… A veces poco pueden hacer las empresas delante de semejantes ataques bien preparados y coordinados.
- ¿Qué pueden hacer las pequeñas empresas que no pueden contratar a un experto en ciberseguridad para protegerse? ¿Todos deberíamos preocuparnos por estos problemas y tomar medidas para proteger nuestros dispositivos? ¿Algún consejo o sugerencia?
Chris: ¡Esa es una pregunta muy difícil! Mucho dependerá del tipo de organización de la que estemos hablando. Lo que recomendamos hacer a las empresas es primero de todo pensar qué puede salir mal en su situación particular si fuesen hackeadas.
Charlie: Exacto, ¿le preocupan los ataques de ransomware? En ese caso, asegúrese de tener buenas copias de seguridad (y realice una prueba de recuperación para asegurarse de que funcionan bien!). ¿Está preocupado por el phishing? Fomente el uso de un administrador de contraseñas como 1password y adopte medidas de autenticación de dos factores. ¿Preocupado por un posible robo de datos sensibles de sus clientes? Limite y supervise el acceso a sus bases de datos tanto como sea posible.
Chris: …¡o siempre tienen la opción de contratarnos para su próximo evento para protegerse! (risas)
Si está interesado en contratar a Chris Valasek, Charlie Miller (o ambos para un discurso combinado en el escenario) para su próximo evento, comuníquese hoy mismo con Aurum Speakers Bureau.