Una mente brillante

La noticia es que hoy por la tarde, el campanense Ezequiel Fernández (32) es uno de los oradores de la "H4ck3d – Security Conference" organizada por la facultad de ingeniería de la Universidad de Palermo. El objetivo de la reunión anual es difundir y concientizar sobre conceptos y problemáticas dentro del campo de la Ciberseguridad, tanto a partir de experiencias de los expositores como así también de investigaciones que los mismos realizaron dentro del área.

Junto a su amigo y compañero de investigaciones, el costarricense José Bertin, en la sede de la calle Mario Bravo de la UP, Ezequiel presentará una serie de diferentes fallos que han encontrado en equipos industriales "atacándolos" de manera remota, es decir, desde sus computadoras personales, y documentarlas. El tema, descripto así, suena muy específico y aburrido. Cosa de nerds. Pero estamos hablando de personas que, por ejemplo, podrían "apagar" a la ciudad de Campana o hacer que los robots de Toyota en Zárate se vuelvan "locos". Y no se trata de simple ficción de Hollywood. Si la falla existe, ellos la pueden encontrar.

Realizando estas investigaciones, y de manera completamente autodidacta, hace un año que Ezequiel encontró trabajo en Santiago de Chile como consultor en seguridad informática para la firma Inside Security, y desde entonces no deja de escuchar nuevas ofertas. "El cliente –explica sobre su oficio- que puede ser un banco, una industria, o una cadena de hipermercados, pide que le revises una aplicación completa o el formulario de usuario y contraseña para ingresar a un sistema. Mi trabajo es encontrar fallos, evidenciarlos, documentarlos y presentarlos al cliente. Para mí es súper divertido: me pagan por romper cosas…", dice con una sonrisa.

La historia de Ezequiel y su pasión con la seguridad informática, parece un guion escrito para una película pochoclera con final feliz. Criado en el seno de una familia de condición humilde, y cursando su primaria en una escuela de islas, la informática para Ezequiel era uno de sus tantos sueños.

La primera puerta se abrió gracias al programa "Sorpresa y media", que conducía Julián Weich en canal 13. Ezequiel tenía 10 años y Adriana Masdeu, su mamá, en secreto escribió al programa para que le hagan a su hijo una casa en el árbol que tenían el patio. "Pasaron dos años, y la producción se contactó con ella. Era muy simple sorprenderme porque literalmente yo me iba a la escuela muy temprano a la mañana y no volvía hasta las cinco de la tarde. Y de última, si hacía falta más tiempo, cuando bajaba de la lancha me podían llevar a otro lado con cualquier excusa antes de volver a casa", recuerda.

Así, Ezequiel, con 12 años, en 1998 fue el niño de Campana sorprendido por Weich con una casa en el árbol del patio de su casa. El formato del programa incluía media sorpresa más. Y esa media sorpresa era una computadora. "Le preguntaron a mi mamá qué podía ser y de todas las opciones, ellos eligieron una Pentium con Windows ’95. ¡Al mes ya la había desarmado tratando de entender cómo funcionaba!" dice, con otra sonrisa.

La casa en el árbol se convirtió en la casa de Ezequiel por varias temporadas, hasta que ni durmiendo en diagonal pudo continuar ocupándola. Era su mundo. Pero le faltaba algo que ahora le resultaba indispensable: una conexión a internet. "Me iba –relata- a la biblioteca Octavio Amadeo y exprimía al máximo la media hora gratis diaria que te daban de internet por ser socio de la biblioteca. Me llevaba disquetes de 3,5 y me bajaba manuales de seguridad informática, manuales de redes, cómo hackear tal cosa… no tenía muy claro los contenidos, pero los descargaba y los leía. No entendía mucho, pero estaba convencido que después de leer eso a futuro me iba a servir. Entonces lo leía, tomaba notas, y algunas cosas me fueron quedando. Tres años después de esa rutina, pude acceder a mi primera computadora ajena. Para mí era un juego. Me parecía muy loco y explotaba con eso. Y siempre usando el internet de la biblioteca pública de Campana…"

Al costarricense José Bertin, su compañero de investigaciones con quien hoy expone en la Universidad de Palermo, lo conoció en otra convención de la especialidad que se realiza en la Argentina, la EKO Party, durante 2015. "Luego de su exposición, quedé tan impresionado que fui a felicitarlo cuando bajó del escenario. Una cosa llevó a la otra y comenzamos a trabajar juntos, vía internet. En nuestra lista de hallazgos de fallas en seguridad informática hay cámaras, routers, modems, casas completas (domótica), tanques de combustibles, equipos sismógrafos, tomógrafos, heladeras, televisores, PLCs, sensores de todo tipo. Tenemos trabajos realizados a unos sistemas utilizados por las industrias de primera línea, llamados "SCADA", que reciben y administran la información de los distintos sensores conectados, por ejemplo, a una línea de montaje o producción. Estos sistemas, además de recibir datos, cuentan con la posibilidad de enviar instrucciones a la línea para cambiar algún comportamiento: desde apagar o encender un interruptor, a cambiar temperaturas de un horno, o las velocidades de un motor, etcétera", explica.

Si bien un título profesional es importante, y por ser autodidacta Ezequiel no lo tiene, a la hora de conseguir trabajo hay que demostrar los hallazgos encontrados. Además de una recomendación de su socio y amigo costarricense, Ezequiel acumula 20 patentes CVE (Common Vulnerabilities and Exposures) a su nombre, que fueron otorgadas por la MITRE, corporación norteamericana dedicada al tema que se financia con fondos de la National Cyber Security Division de los EE.UU. Así ingresó a las filas de la chilena Inside Security.

Otra casualidad, hizo que Ezequiel encontrara una falla que no estaba buscando, pero que recientemente le significó una de sus patentes más reconocidas en el ambiente informático. "Buscando equipos industriales, que son mi terreno, encontré un SCADA de General Electric. Pero en esa dirección de IP había otros servicios corriendo, entre ellos un DVR, equipo que se utilizan para manejar cámaras de seguridad. No son mi especialidad, pero entré y muy fácil. Cómo tenía tiempo, casi por diversión, simulé que no me había aceptado y empecé a investigar: logré que el aplicativo del usuario me diera todas las credenciales. Escribí un post al respecto en mi blog y me olvidé. A la semana, un tipo escribió un artículo sobre mi hallazgo, y explicando que no había un exploit (software para tomar partido de una falla) para ese equipo. Me puse a escribir el explotit, que además es una pavada, y en el medio me desayuno que hay conectados en el mundo 355 mil DVRs con esa falla. El tema llegó hasta China y Rusia, se escribieron infinidad de artículos al respecto… No era lo que estaba buscando, pero se trata de uno de los hallazgos más importantes de mi carrera. Uno pone un DVR para manejar las cámaras de seguridad, y se puede transformar en tu enemigo con una herramienta muy simple. Hoy existe una ingenua tendencia a conectar todo a Internet. Y las corporaciones no son la excepción. Pero lo hacen subestimando o simplemente sin detenerse a pensar en las potenciales amenazas existentes", concluye el dueño del visitadísimo blogspot "Capitán Alfa".

“Hoy existe una kamikaze e ingenua tendencia a conectar todo a Internet. Y las corporaciones no son la excepción", dice el dueño del visitadísimo blogspot “Capitán Alfa".

Cuando vuelva a Chile, junto a su socio, Ezequiel publicará una nueva investigación que, especula, "hará más ruido" que su hallazgo en la falla de los equipos DVRs. No adelanta mayores detalles, pero a través de un cable modem, asegura que se puede ver "todo lo que hay conectado en una casa" incluyendo un Smart TV. Ergo, desde la cámara del Smart, se pueden ver todos los movimientos de una familia e incluso escuchar las conversaciones. "Al principio, pensamos que estábamos innovando. Pero llegamos a la conclusión de que los servicios de inteligencia de primera línea ya deben tener la herramienta hace rato. En todo caso, nosotros vamos echar un poco de luz a un tema que está en sombras". En ese mismo sentido, también dijo que un teléfono celular perfectamente puede ser utilizado para escuchar a su dueño, aun estando apagado. Es decir, ser utilizado como micrófono por los servicios de inteligencia. Más aún: es probable que eso sea posible aunque se le saque la batería. "El teléfono, además de la batería, lleva una pequeña pila para que no se pierda la configuración ante la falta de energía. Es decir, si hay energía disponible, no me consta, pero es posible. Que yo sepa, una forma de anular el teléfono mientras no queremos ser escuchados, es ponerlo dentro de un horno a microondas, que por su blindaje funciona como una Jaula de Faraday. Eso lo dijo Edward Snowden". Por supuesto, aclaramos que no hay que encender el horno… y "gugliaremos" al tal Snowden.