No pain, no gain. A hackear este 2021

"No pain, no gain", probablemente hayas escuchado esta frase en más de una ocasión. Una expresión recurrente que se utiliza hasta la saciedad en diferentes entornos, en una época donde el culto al cuerpo, el deporte, y el auto cuidado están más de moda que nunca. Si hace 20 años la práctica diaria de deporte estaba reservada a unos pocos, hoy en día prácticamente todo el mundo intenta dedicar todo el tiempo que puede a ejercitar su cuerpo. No sólo por este fin en sí mismo, si no también por los beneficios que ello aporta a su mente. En la actualidad nadie pone en duda las bondades que la práctica regular de algún tipo de ejercicio físico tiene para nuestra psique y para nuestra salud, a todos los niveles.

Este conocido leitmotiv comenzó a asociarse en primera instancia al mundo del culturismo. Si esta expresión ha trascendido al mainstream y es tan popular a día de hoy es porque refleja a la perfección esa contradicción inherente al deporte: es necesario sufrir para obtener resultados. En esas últimas repeticiones a la hora de levantar la barra con un sinfín de discos por cada lado en un press de banca, o en las odiosas sentadillas, así como cuando aún te queda un un asalto más que aguantar en el ring. Cada uno puede pensar en el ejemplo que quiera, sea cual sea el deporte que practique, la sensación es parecida. Hay que sobrellevar esos momentos en los que uno se ve tentado a abandonar, a dejarlo para mañana o para otro día. Esos momentos en los que sacamos fuerzas de flaqueza y sufrimos lo indecible, son los que hacen que todo valga la pena. No pain, no gain.

Obvia decir que todo esto tiene sentido siempre que ese sufrimiento esté dentro de unos límites saludables. Ya sabemos de sobra que los extremos son malos, pero lo cierto es que la frase tiene ese punto motivador e inspiracional porque apela a la épica, al sacrificio, al esfuerzo, constancia y al coraje. Esos valores tan asociados al deporte que nos hacen vibrar y estremecernos, incluso cuando no somos nosotros los que lo practicamos, si no que lo disfrutamos desde el sofá viendo a esos profesionales bendecidos por los dioses.

Son valores que en realidad aplican a cualquier ámbito de la vida, como por ejemplo el profesional. Sobre todo en una disciplina tan compleja como lo es el hacking en particular. Si hay algo de lo que sabemos los que nos dedicamos a esto es que sin esfuerzo, no hay recompensa (ahí va una versión española de la frase). Que hay que dedicar muchísimas horas a leer, experimentar, errar, volver a leer, volver a experimentar y volver a errar un número indeterminado de veces hasta lograr nuestro propósito, o no. Ya que, en este terreno, contamos con la complejidad añadida de que el sufrimiento no garantiza los resultados. Aquí, en muchas ocasiones, podría haber mucho de “pain”, pero poco de “gain”. A veces, hemos de invertir horas y horas en seguir un camino que puede conducir a un laberinto sin salida. Los llamados rabitt holes. Igualmente, todas las horas que se dediquen a estudiar e investigar siempre aportan algo y no caen en saco roto, en ocasiones el sufrimiento no se ajusta a la ganancia. No compensa en términos de coste-beneficio. Afortunadamente asociado a la figura de un hacker va siempre la pasión que a uno le mueve por resolver un reto, superar un obstáculo, romper los límites que la tecnología nos ofrece o satisfacer nuestra ansia de conocimiento. Ya que sin dicha pasión, sería imposible reunir las dosis de paciencia, perserverancia y constancia que se requieren para esta filosofía del “Try Harder” (archiconocido lema del OSCP).

El mundo cambia y evoluciona constantemente. Y si no, que nos lo digan a nosotros después de este 2020. Como decía Heráclito, todo fluye a cada momento. En el mundo de la seguridad, como no podía ser de otra manera, también cambian cosas constantemente. De hecho, la aproximación ha cambiado desde hace casi ya una década. Cuando antes se intentaba evitar a toda costa que los incidentes se produjeran, con el paso del tiempo se ha asumido que esto no es posible. Ello ha derivado en la necesidad de crear un plan de respuesta a incidentes, de cara a que las organizaciones sepan cómo reaccionar cuando un incidente se produzca. Asumiendo que en algún momento esto va a pasar, sí o sí.

Proceso de “Incident Response” del SANS

En los últimos años hemos sido más consciente que nunca de la fragilidad en este sentido. No exigimos que ningún sistema ni organización sea perfecto y esté siempre al 100% en términos de integridad, confidencialidad y disponibilidad. Nos hemos acostumbrado a ver que todo tipo de organizaciones, sea cual sea su tamaño, pueden ser víctimas de ransomware, brechas de datos o cualquier tipo de incidentes. A día de hoy, no se juzga a las empresas por sufrir incidentes, sino por cómo reaccionan ante los mismos.

Tenemos diversos ejemplos curiosos de cómo la confianza de los usuarios puede variar de un extremo a otro ante problemas de seguridad. Compañías tecnológicas que un día están al alza y otro a la baja, o lo contrario. Blackberry jamás volvió a recuperarse de aquella caída que sufrieron sus usuarios en 2011. Se enfrentó con ello a un daño reputacional irreparable, que coincidió con la penetración en el mercado de Apple y Android. Hay veces que la red te da una segunda oportunidad, y otras que no.

Durante los primeros meses de confinamiento allá por marzo del pasado 2020, usuarios y organizaciones comenzaron a convertirse en beta testers de las diferentes alternativas de videollamada disponibles en el mercado, por motivos evidentes. Una de las que generó más atención y acogida fue Zoom. Precisamente a raíz de esto, comenzaron a descubrirse y conocerse diversas vulnerabilidades que ponían en riesgo la seguridad y la privacidad de los usuarios. Hasta tal punto que el CEO de la compañía tuvo que emitir un comunicado para acallar las críticas y pedir la confianza de los usuarios. Un gesto como este, es entendido si se acompaña de un trabajo en la senda de la mejora continua En este sentido, Zoom logró recuperarse y a día de hoy continúa siendo ampliamente utilizada como aplicación a la hora de realizar videollamadas personales, corporativas o eventos.

Otra aplicación mundialmente conocida, que hasta ahora ha ocupado el trono en lo que a sistemas de mensajería instantánea se refiere, WhatsApp, ha sido noticia por sus problemas de seguridad a lo largo de la historia. Desde comenzar por tan siquiera cifrar las conversaciones, pasando por utilizar correctamente el cifrado pero exponiendo el número de teléfono de los usuarios (lo que motivó mi herramienta WhatsApp Discover allá por 2014) hasta terminar modificando completamente su protocolo y adoptando el cifrado punto a punto de Moxie Marlinspike en 2016. Hasta la fecha, mediante mejoras y actualizaciones, WhatsApp ha ido reponiéndose de todos y cada uno de los problemas, manteniendo la confianza de los usuarios. Sin embargo, es ahora cuando parece que quizá se le hayan acabado las oportunidades. No a causa de un problema de seguridad. En este caso, a raíz de una decisión voluntaria que afecta a la privacidad de los usuarios. Un cambio en los términos de condiciones que ha generado muchísimo revuelo en las últimas semanas, y que ha provocado un éxodo de más de 25 millones de usuarios a Telegram en tan sólo cuestión de unos días. Veremos cómo afecta finalmente esto a lo largo del tiempo.

Lo que parece que está claro, es que en esta vida nada es permanente. Mucho menos el éxito de un modelo, tecnología o la continuidad de negocio. De hecho, lo acontecido en el pasado 2020 ha traído consecuencias graves en muchos sectores, donde profesionales independientes, pymes y grandes multinacionales afrontan la necesidad de adaptarse al nuevo escenario y reinventarse para seguir buscando su queso. Para muchos que con mucho esfuerzo habían podido alcanzar un equilibrio o una posición en el mercado, quizá la nueva normalidad que ahora vivimos, haya vuelto a colocarles en la casilla de salida. Terrible e injusto, pero cierto. Por fortuna o por desgracia, no nos queda otra que ser resilientes, seguir aprendiendo de nuestros errores y trabajando cada día por diferentes objetivos. Por contribuir a una sociedad digital más segura, diseñando sistemas y tecnologías más seguros, así como por lograr nuestras metas profesionales y personales, individuales y colectivas. Y esto, sólo podremos hacerlo a base de mucho sacrificio, esfuerzo, perseverancia, y constancia. Con épica o sin ella, pero dando cada día lo mejor de nosotros mismos.

No pain, no gain y a hackear este 2021.