Hackers sin sombrero

La encrucijada de Vento y Camagüey parece una tierra lejana cuando el sol de las tres de la tarde calcina las calles habaneras. En esa intersección, una inmensa señalética anuncia: Escuela de Correos de Cuba, está enclavado el Centro Principal Tecnológico

Postal de dicha empresa.

Quien me recibe es la pieza clave del rompecabezas que supone hacer un artículo sobre hacking en Cuba. Encargado, mayormente, de administrar las bases de datos de la institución, Ernesto González Díaz cuenta ya no pocos años de trabajo (14) en el ámbito de la programación y sus últimos proyectos apuntan hacia la informatización de los servicios postales y aduaneros.

De camino a su hábitat de buróes y computadoras, como para suavizar un ambiente tal vez tenso por la presencia de un huésped ajeno, le pregunté el porqué de decidirse a pactar un consorcio con ciertos códigos matemáticos. Para sorpresa de esta reportera, Ernesto se había entregado al arte de los ceros y unos nada más y nada menos que a causa de un platonismo adolescente llamado Yudith.

A Yudith le encantaban los libros. A él le encantaba Yudith. Ella quería ser ingeniera de casco o de oficina y él, con tal de seguirla en su ensueño adolescente de apenas 18 años, fue a parar hasta la Cujae, aún sin saber que el mundillo de los números habría de ser su propio derrotero. Y así, años cuesta arriba, se hizo Ingeniero automático, músico, poeta y un tanto loco.

Alter egos del consumismo

Luego de esquivar par de oficinas seriadas, el futuro entrevistado, ya más obsequioso, me muestra puertas que conducen a habitaciones oscuras y frías que empañan gruesos cristales y donde solo puedo alcanzar a ver carcasas gigantes con un montón de lucecitas parpadeando.

“Este es el data center” —murmura—. “Está compuesto por varios servidores, entre ellos el clúster.

Aquí hay servidores con 256 gigabytes de RAM (memoria de acceso) cada uno; todos son profesionales y de altas prestaciones.

Ya desde el espacio reducido de su oficina compartida, colmada de gavetas y archivos, es muy perceptible el repiqueteo de las teclas y algún que otro murmullo sobre el último juego de Industriales. Esto no parece ni remotamente la madriguera de un hacker, al menos no como las de películas y archiconocidas series que inundan los emporios del consumo.

Ernesto, tirando códigos con letras verdes en una consola del sistema, se pone a disertar: “El concepto de hacker está muy malinterpretado. Precisamente, los medios, tanto la prensa como la televisión, el cine e incluso la literatura, han creado en el imaginario popular una definición que se encuentra muy distante de la realidad y de lo que los programadores entendemos y asumimos como tal”.

Ernesto González comparte gran parte de su día con códigos matemáticos en el Centro de Desarrollo de Aplicaciones Postales

Lo cierto es que el término tiene diferentes acepciones.

El Diccionario de la RAE, en su segunda acepción, establece que hacker es una “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora». Por su parte, el diccionario de los hackers vaticina que es “todo individuo que se dedica a programar de forma entusiasta, o sea un experto entusiasta de cualquier tipo, quien considera que poner la información al alcance de todos constituye un bien”.

Existen tres bifurcaciones definidas: hackers se llama a los expertos informáticos que utilizan sus conocimientos técnicos para superar un problema; los crackers, que son quienes actúan con propósitos ilícitos, y los piratas informáticos, quienes regulan la reproducción, apropiación y distribución con fines lucrativos y a gran escala de contenidos.

Tras bambalinas

El tema del hacking resulta casi desconocido para la mayoría de las personas en Cuba. Sin embargo, desde hace más de diez años, el país cuenta con una Resolución (127/07), cuyo artículo 26 refleja que “ninguna persona está autorizada a introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, así como información contraria a interés social, la moral y las costumbres, excepto aquellas aplicaciones destinadas a la comprobación del sistema instalado en la organización para uso por especialistas expresamente autorizados por la dirección de la misma”.

Artillada y con fuego a ráfaga voy al grano

—¿Hay hackers en Cuba?

—Tenemos de los “buenos” y de los ”malos“. Estos últimos intentan atacar sitios web, y algunos servidores con información corporativa, o crear virus por una red institucional, como el ejemplo de los sitios universitarios que muchas veces están infestados de virus, algunos propagados por usuarios, de manera inocente, y otros que, con toda intencionalidad, los propagan.

“Desde la década de los 70 del siglo pasado, se está haciendo en Cuba una suerte de trabajos de hacking en el término original de la palabra, es decir, considerando hacker a aquel programador de alto nivel”.

“Igualmente, hay programadores en el país que han dedicado su talento y conocimientos a desarrollar algún tipo de virus, pero no es necesario ser un gran programador para ello; hace falta más talento para hacer algo útil y bien hecho que para desarrollar un virus”, detalla el especialista sin quitar los ojos del monitor.

—¿Cuáles son los espacios más vulnerables a un ataque?

—En Cuba, las mayores incidencias de este tipo son los ataques a portales web. Hay una diferencia entre portal web y aplicación web, el primero es de carácter informativo-descriptivo sobre una entidad, organización o personas. Por lo general, se encuentran en Internet.

“Una aplicación web está desarrollada para la gestión de los procesos de negocios de una institución y, usualmente, se encuentra alojada en la VPN (red privada virtual) de la organización. Por ende, las aplicaciones web son menos propensas a los ataques, los cuales como regla son realizados desde el interior de la entidad. En muchas ocasiones, los portales y las aplicaciones interoperan entre sí, información. No obstante, existen normativas de seguridad que, de ser tomadas en cuenta, minimizarían los riesgos ante estos ataques”.

“Otro ejemplo de piratería informática lo constituye la fuga y filtrado de datos de empresas, instituciones y organizaciones, que no preservan y protegen debidamente información que puede ser sensible para la entidad. Estas incidencias se producen, por

lo general, desde adentro; es decir, los causantes son personas con acceso a esta información, que la utilizan de manera inescrupulosa. Algunos de estos episodios han derivado en procesos penales”.

—¿Por qué cree que ocurren dichos ataques?

—Por no cumplirse muchas de las medidas de seguridad que debieran asumir los usuarios se difunden virus y códigos maliciosos en las diferentes redes corporativas, que en la mayoría de los casos crean daños notables a la integridad de los datos de una

empresa, y en los servicios que ofrecen. Para hacer muchas de estas cosas no es necesario tener grandes conocimientos de informática y mucho menos de programación, pues la mayoría se hacen con códigos y aplicaciones desarrollados por otras personas”.

Cargo baterías para la próxima estocada de interrogantes, mientras González Díaz rememora detalles específicos de sus viajes al Uruguay y Suiza, por solo citar algunos lugares donde Cuba tiene convenios para los servicios postales, los cuales, tras bambalinas, aseguran, en cuestión de minutos, que un giro proveniente de Madrid o Lisboa aterrice de forma virtual en la mayor de las Antillas.

Las peripecias de este entrevistado no solo se ciñen a tierras lejanas. Acá, en sesiones alternas a sus funciones, es también profesor universitario en la Cujae de las disciplinas de Lógica y Algoritmos,

Introducción a la Informática, Programación, Inteligencia Artificial, Sistemas Operativos, Matemáticas Discretas, por solo mencionar algunas afines a las asignaturas que también impartió en la Universidad Ciencias Informáticas.

Capturas de pantalla de la sección de rastreo de envíos de correos de Cuba

—¿Se considera hacking su trabajo?

—En el año 2009, que fue cuando empecé a trabajar en empresas como SITRANS, perteneciente al Ministerio del Transporte, desarrollé la primera versión de la Intranet Corporativa con tecnología PHP-MySQL, HTML, JavaScript y el CMS (sistema de gestión de contenidos) Joomla. Para la implementación de dicha intranet, fue necesario desarrollar más de diez bases de datos en un servidor MySQL y más de 20 sitios web en PHP y HTML, todos vinculados entre sí mediante un sitio principal desarrollado con Joomla”.

“Desde el 2012 hasta hoy, con el Grupo Empresarial Correos de Cuba, he trabajado en el desarrollo de sistemas para asegurar la transferencia de giros internacionales y la gestión de la actividad de las oficinas de correos, teniendo como principal responsabilidad el módulo de Envíos Internacionales.

He trabajado en el desarrollo de aplicaciones que permiten poner a disposición de las personas información relacionada con servicios postales, como la APK de Correos de Cuba; la página de correos, y sus servicios de rastreo y seguimiento son ejemplo de ello, trabajo que desarrollo junto a varios profesionales de la empresa”.

Los proyectos mencionados por el programador, si bien no tienen el objetivo de atacar ni dañar, son un tipo de hackeo, pero del llamado en los lares tecnológicos hacking ético.

El curso de hacking ético, ofrecido por La Universidad de las Ciencias Informáticas y otras instituciones que de forma más selectiva también lo imparten, consiste en el estudio de pruebas de penetración a aplicaciones web. En tales sesiones se les enseña

a los cursantes cómo utilizar ciertas herramientas y procedimientos para saber si la aplicación web que se analiza es vulnerable o no. Ernesto se vuelve a otros puestos de batalla, donde están quizás muchos de sus alumnos ya hechos y derechos. Es de los que da crédito a sus retoños.

“Es una responsabilidad que no asumo  o lo yo; se desarrolla gracias a un equipo que genera aplicaciones, las cuales, de forma segura, intercambian datos entre ellas de forma automática, un trabajo que a veces es invisible para los usuarios de las aplicaciones, y que, evidentemente, es parte importante de  los servicios que garantizan la seguridad y transparencia de la información.

Según los términos de la blogosfera, a estos individuos les han puesto hasta sombreros, en unaespecie de homenaje al cine de Oeste. Dependiendo de los propósitos de cada hacker, hay ciertos colores para identificarlos: blanco, negro, gris… Los “hackers de sombrero blanco” suelen trabajar con compañías en el área de seguridad informática para proteger el sistema ante cualquier alerta.

Le pregunto, entonces, a mi interlocutor si integraría el gremio de los sombreros blancos.

Él cavila un rato. Debe ser porque prefi ere no llevar sombreros ni etiquetas comunes, más bien se trata de una devoción particular, de una sed solo saciada cuando estrangula caracteres en el teclado: “Lo correcto —señala— sería desmitificar la idea absoluta construida a partir de este actor de la cibersociedad, ilustrado en las farándulas como el joven incomprendido y aislado que viste ropas oscuras con capucha”.

¿Cavernícolas digitales?

Según declaraciones de Gonzalo García Pierrat, director de organización y control de la Ofi cina de Seguridad para las Redes Informáticas (Osri) al diario Granma, “uno de los grandes vacíos legales es que no existe una vía directa para sancionar a una persona  por introducir programas malignos o acceder sin autorización a una red”.

El analfabetismo digital, la desactualización tecnológica y la tecnofobia siguen siendo un talón de Aquiles. Si algunos foráneos ven a Cuba como una postal de los cincuenta por sus autos, un hacker probablemente la perciba como una tribu de recolectores, cazadores y pescadores.

La nueva reforma constitucional, aún en proyecto, abre una ventana a lo que pudiese ser una actualización de ciertas pautas y vacíos legales. En el ámbito de los recientes debates del Proyecto de Constitución de la República de Cuba, el artículo 11, (Título I: Fundamentos Políticos) establece los límites en los que Cuba tiene jurisdicción y responsabilidad estatal. En consonancia con tal tópico, se han planteado varias líneas encaminadas a retratar mejores entornos online.

El ejercicio del poder supremo del Estado dentro y fuera de su territorio, en los casos de extraterritorialidad debe valerse, entonces, para adecuar este concepto a la realidad que presenta el ciberespacio y así proteger los derechos fundamentales de los ciudadanos en cualquier dimensión en que estos interactúen. Al añadir esa dimensión al artículo, se asegura el derecho del Estado para establecer normas encaminadas a regular el uso adecuado y el comportamiento en la red en función de garantizar la libertad y seguridad de todos los ciudadanos. Acaso sería esta la hoja de ruta indicada para navegar, sin naufragios, en las aguas virtuales cubanas.