Un «hacker» gallego: «Los funcionarios gallegos están seguros ante los ciberataques»
GALICIA
Antonio Fernandes, definido como «pirata ético», reclutó un equipo de 15 cazarrecompensas para avisar a la Generalitat de los agujeros de seguridad en su web
04 mar 2022 . Actualizado a las 20:35 h.Antonio Fernandes es un hacker vigués y divulgador de ciberseguridad que estos días ha estado pendiente de la ciberguerra que libran Rusia, Anonymus y las ciberbrigadas internacionales que apoyan a Ucrania. Sigue de cerca los avisos de la Administración gallega a sus funcionarios de Sanidad, Xustiza o Educación para que cambien sus contraseñas ante el alto riesgo de un ciberataque. «Esa recomendación proviene directamente de la CCN-CERT [el centro criptológico nacional]», aclara. Insiste en que los ciberataques han existido siempre, pues el año pasado los sufrieron el Ministerio de Trabajo o el INE.
«No pongamos el grito en el cielo porque ciberataques siempre ha habido, llevamos muchos años sufriéndolos, no veo un especial repunte hacia la ciudadanía. La Ciberguerra Fría siempre ha existido, hasta que hubo la invasión de Ucrania nos daba igual que un Gobierno hackease a otro, a nadie le importaba. La OTAN debería tener cuidado porque es difícil atribuir el ataque a un país, pues hay mucha falsa bandera y oscuros intereses», explica.
Este experto defendió a la Administración pública en febrero del 2021, cuando aceptó el encargo de la Agencia de Ciberseguritat de Catalunya para reclutar a un red team (equipo malvado) de 15 hackers o cazarrecompensas y atacar la web de la Generalitat para buscar agujeros de seguridad y parchearlos. Colaboró así en el primer proyecto piloto de bug bounty: los piratas reciben recompensas por detectar agujeros. «Coordiné a una serie de hackers éticos para que buscasen fallos en donde nos dejase la Generalitat. Ahora bien, la Administración también contrata periódicamente a través de concursos a auditoras de seguridad, hacen exámenes de penetración y tienen a red teams que operan las 24 horas y los 365 días del año», explica.
Estos ejercicios de cazarrecompensas ya son habituales en la Administración pública y en la empresa privada. «Hay que testear, buscar vulnerabilidades en los servidores o engañar a los empleados. Una vez que están identificados los agujeros, se mejoran y solventan. Se hacen una vez al año. Los participantes en los programas de recompensas siguen unas reglas de juego y si ven algo, les pagan», dice.
Fernandes recalca que en Galicia, con la Amtega —la agencia gallega de tecnología—, «los funcionarios están bastante seguros. Están haciendo muchas cosas, como el nodo gallego de ciberseguridad o el curso para la Administración Pública. Pero pese a las buenas intenciones de algunos funcionarios muy dedicados, les faltan recursos». Y anima a Xunta, empresas y policía a crear más empleos de ciberseguridad.