Sergio de los Santos, un 'hacker' malagueño que se adelanta al cibercrimen

Sergio de los Santos. /Fernando González
Sergio de los Santos. / Fernando González

El líder del laboratorio de ciberseguridad de Telefónica, responsable de innovación de Eleven Paths, será ponente en la mayor cumbre europea del sector: la Black Hat de Londres

Nuria Triguero
NURIA TRIGUERO

El trabajo de un ‘hacker bueno’ se parece bastante al de uno ‘malo’: básicamente consiste en buscar fallos de seguridad en navegadores, aplicaciones y programas informáticos. La diferencia entre ambos es que cuando el malo descubre una brecha por la que colarse, la aprovecha para sus fines (robar, chantajear, sabotear...), mientras que el bueno divulga el problema a la comunidad para propiciar que se le ponga solución. Sergio de los Santos es de los buenos. De hecho, es el máximo responsable de innovación de la división de ciberseguridad de Telefónica, Eleven Paths. Por su ‘culpa’, porque no quería moverse de su ciudad, el gigante de telefonía decidió establecer en Málaga hace casi cinco años su principal laboratorio de seguridad informática.

Desde este laboratorio, De los Santos ha liderado una investigación que ha permitido destapar una nueva vulnerabilidad en los mecanismos de seguridad de los navegadores de Internet. Y con este descubrimiento bajo el brazo acudirá a principios de diciembre a la principal cumbre europea dedicada a la ciberseguridad: la Black Hat de Londres. «Es un orgullo para nosotros porque son las conferencias más famosas y con más solera de este sector, junto con las Def Con», afirma De los Santos, que dará la charla el día 7 de diciembre junto a su compañera Sheila Berta, una joven argentina de tan sólo 21 años que se ha convertido en una valiosa pieza para el equipo de Eleven Paths.

Las conferencias anuales Black Hat fueron fundadas en 1997 en Las Vegas por Jeff Moss, un ‘hacker’ estadounidense conocido como Dark Tangent que también inició el otro evento de referencia para la seguridad informática, Def Con. Tal repercusión mundial alcanzaron estas citas que con el tiempo se crearon conferencias ‘hermanas’ en Sudamérica (Sao Paulo), Asia (Singapur) y Europa. Sergio de los Santos acudirá a esta última, que se celebra en Londres. Se calcula que habrá unos 1.600 asistentes.

Sólo dos docenas de españoles han sido ponentes en conferencias Black Hat. Y malagueños, sólo en dos ocasiones: Enrique Rando, jefe de departamento de informática de la Junta y autor de varios libros sobre seguridad informática, que acudió en 2009; y Francisco López, de Hispasec, que presentó su antivirus colaborativo Koodous el año pasado.

La seguridad del navegador

Las Black Hat tienen un duro proceso de selección de los ponentes. Las investigaciones son validadas por un comité de expertos y para superar el filtro tienen que combinar un alto nivel técnico con un tema que sea de interés para la comunidad ‘hacker’. La que va a llevar a De los Santos a Londres versa sobre algo tan sensible como la seguridad de las páginas web.

«Todo el mundo conoce el candadito o la barra verde que aparece en las páginas para indicarnos que son seguras y, por tanto, que nadie podrá acceder a los datos que suministremos, por ejemplo, los de nuestra tarjeta de crédito. Ese candadito representa el protocolo TSL... y la cuestión es que no es tan seguro: se le han encontrado muchos fallos», explica el informático malagueño. Para ‘tapar’ esas vulnerabilidades se han ido desarrollando capas adicionales de seguridad, como son HSTS y HPKP. Pues bien, De los Santos se ha puesto en la piel de un pirata de los malos para intentar eludir esos dos refuerzos... y lo ha conseguido. «Demostramos que aprovechando las debilidades de estos mecanismos se puede realizar un ataque avanzado», apunta.

Que existan estas grietas es «preocupante» puesto que «estamos hablando de la seguridad de las comunicaciones que hace posible el comercio electrónico, es decir, la base de la Red», opina. Alguien podría pensar que divulgar este fallo es poner alfombra roja a los ciberatacantes, pero De los Santos explica que es al revés. «Dando a conocer un fallo de seguridad lo estás matando», apunta. Lo esperable y deseable, a partir de que se divulgue su investigación, es que los responsables de los navegadores se pongan las pilas para arreglar estos agujeros.

El informático confiesa que esta faceta de su profesión, el «cacharreo», «es la más divertida, y la que me lleva a decir que tengo el mejor trabajo del mundo» y se congratula de que Telefónica siga «dejando jugar» a su equipo. «Hay investigaciones que están dirigidas a un producto concreto y otras más libres, como ésta, que pueden no tener una aplicación inmediata pero nos dan conocimiento que luego aprovechamos para mejorar productos. De la innovación no puede salir nada malo», concluye.

Más que de virus, últimamente de lo que se oye hablar es de las ‘injerencias’ rusas en la política interna de diferentes países, como EEUU o la propia España. En opinión de De los Santos, «no podemos hacer mucho: hemos instaurado con la tecnología actual la cultura del consumo rápido de información y desde ese punto de vista, la creación de opinión tendenciosa es muy sencilla en la Red. No es más que una fórmula de propaganda y desinformación del siglo XXI».

Contenido Patrocinado

Fotos

Vídeos