Ralph Echemendia: "Si Snowden hagués treballat per a mi, l'hauria matat"

Expert en seguretat informàtica, ha investigat filtracions com la d’un disc d’Eminem abans que sortís a la venda i d’imatges de la pel·lícula 'Crepuscle' un any abans de l’estrena. Parla de tecnologia amb la veu i l’actitud d’una estrella de Hollywood amb ressaca.

Ralph Echemendia ha participat en el congrés de tecnologia i salut World of Health IT, que es va fer la setmana passada a Barcelona. / PERE VIRGILI

Va néixer a Cuba però ha crescut i s’ha format a Miami, on de ben jove va començar a creuar els límits de la llei amb un Commodore 64. Ara fa temps que ha canviat de bàndol, si trenca sistemes informàtics ho fa amb el consentiment de la víctima, i es dedica a protegir la propietat intel·lectual de grans estudis discogràfics i productores de cinema. Ha passat per Barcelona per participar en el congrés de seguretat informàtica i salut World of Health IT.

L’anomenen “el hacker ètic”. ¿A la seva manera, no ho són tots, d’ètics?

L’ètica depèn de cada persona. Però ho diuen perquè a mi no em poden pagar perquè pirategi algú altre, qui em contracta és a qui hackejo.

Va ser assessor tècnic per a la pel·lícula Snowden . ¿La filtració d’Edward Snowden és ètica?

Ell creu que ho és i que va actuar per defensar el món, no només els EUA. Però si hagués treballat per a mi l’hauria matat. Aquest és un debat molt important i ell va haver de deixar la seva vida... però jo no ho hauria fet. I la majoria dels que conec al sector que treballen amb aquesta mena de dades, tampoc.

Va començar a potinejar ordinadors quan era molt jove.

Cap als 14 anys.

Com va arribar a ser el hacker de Hollywood?

Quan vaig començar no m’ho plantejava com una feina, era una afició. Però després d’anys trencant sistemes, com que tenia contactes amb el món de la música, quan hi va començar a haver incidents com el cas d’Eminem, em van avisar a mi. Perquè controlava la tecnologia i també la manera de relacionar-me en aquests ambients. No pots entrar com la policia en un estudi de gravació, trencaries el procés creatiu.

Quina mena de feines li demanen?

Abans eren més els serveis ofensius, em contractaven empreses perquè trenqués el seu sistema i els expliqués com ho havia fet. Els últims cinc anys em diuen que els han piratejat i em demanen què poden fer.

Per què ha canviat? ¿Els atacs han augmentat molt?

Sí, però més que això és que ara són molt més públics. Fa deu anys no hi havia lleis que deien que una organització ha de dir al món que ha patit una bretxa, ni aquests casos sortien tant a les notícies. D’atacs n’hi ha hagut sempre però abans ningú no ho sabia i ara ho sap tothom.

És difícil hackejar algú?

No. La gent es pensa que per entrar a un correu electrònic has de trencar Google. Però no, has de hackejar la persona. Li envies un correu que sembla que ve de Google i acaba en una web que sembla Google però no ho és i d’aquí en treus la contrasenya. Això funciona amb set de cada deu persones. Fa uns anys vam fer una mena d’experiment: vam crear una identitat que simulava un jove especialista en seguretat, amb comptes de Facebook i LinkedIn falsos; i en menys d’un any teníem fins i tot generals convidant-lo a parlar en conferències.

El punt més dèbil és l’ésser humà.

Sempre. I fins i tot el tècnic que darrere d’un teclat és una persona.

Cada setmana hi ha notícies de grans filtracions de dades. ¿Confiem massa en les grans companyies d’internet?

Els grans proveïdors de tecnologia prenen mesures de seguretat però per protegir-se ells, no per a tu. Pensem que la responsabilitat és seva, o del govern, però protegir-te només ho pots fer tu mateix. No és que hàgim de ser tècnics però hauríem de saber una mica més bé què fem, és sentit comú. La majoria pensa que això [diu assenyalant el mòbil] no l’afectarà mentre camina pel carrer però, més que mai, la tecnologia afecta el món físic.

Quines són les principals amenaces informàtiques de les organitzacions mèdiques?

L’accés físic als sistemes és molt fàcil. Pots entrar a un hospital amb un Raspberry Pi, un petit ordinador de la mida d’una targeta de crèdit, i endollar-lo a llocs que no es poden controlar, com un lavabo, aixecant el fals sostre i agafant un cable. També hi ha molts sistemes que es parlen l’un a l’altre, i si entres en una organització és senzill accedir a totes les que s’hi comuniquen. A més, si tinc l’usuari i la contrasenya d’una infermera, ¿com sabràs si em connecto que no sóc ella? Aquí hi entra l’analítica del comportament: si una infermera es connecta fora del seu horari o es descarrega terabytes de dades hauria de saltar una alarma.

Quin consell de seguretat donaria a un internauta qualsevol?

Que sigui més conscient del món on viu, què publica i què fa a internet. Tot el que publiquis a internet existirà per sempre i et pot afectar de moltes maneres. No és com un tatuatge, que es pot eliminar. Tothom que consumeix tecnologia ha de saber què està consumint. Tu no et menjaries un tros de carn que fa pudor, oi? Doncs el mateix, però en tecnologia ens el mengem.

¿I al cap d’una organització amb dades de milers de persones?

Tothom és important per a la seguretat, no només els tècnics. Sempre dic que quan hi ha un problema de seguretat en una empresa el més important és el que neteja, perquè té les claus de totes les portes.

Més continguts de