Alberto García es un joven vallisoletano de 24 años que, tras decidirse con 18 a estudiar una doble titulación de Licenciado en Matemáticas e Ingeniería Técnica Informática de Sistemas en Salamanca, ha pasado a dedicarse al mundo de la seguridad, a pesar de que a la informática llegó practicamente «de rebote», ya que su intención era convertirse en físico. Pese a su corta edad y gracias a una caracterítica que le define: su curiosidad, ha dado con unos fallos en las máquinas expendedoras de billetes de Metro de Madrid y Renfe que pueden llegar a vulnerar datos personales, hecho que presentó en la conferencia de 'hackers' DefCon en las Vegas el pasado mes.
–¿Cuáles son exáctamente las acciones no autorizadas que se pueden hacer desde estas máquinas?
–Existen varios tipos de máquinas. En unas cualquier usuario puede obtener descuento de tercera edad, en otras es posible acceder al sistema con privilegios de administrador pudiendo obtener datos de usuarios, entre ellos, los de las tarjetas de crédito.
–¿Cómo se dio cuenta de que había un fallo en las máquinas expendedoras de billetes?
–Soy usuario habitual de Metro de Madrid y Renfe. En muchas ocasiones se pueden ver mensajes de error o pantallazos azules, como en cualquiera de los ordenadores de nuestras casas, y eso despertó mi curiosidad.
–¿Cuánto tiempo tardó en descubrirlo?
–Toda investigación de este tipo requiere de su tiempo ya que se debe entender cómo funcionan los sistemas sin ni siquiera saber qué sistemas son. Hay que imaginarse los supuestos bajo los que una máquina funciona. Personalmente, la parte de intentar entender a ciegas como funciona es la que más me apasiona.
–¿Por qué cree que nadie hasta ahora se había dado cuenta de este problema?
– Quizá nadie se haya preocupado por entender cómo funcionan este tipo de máquinas o también cabe la posibilidad de que nadie haya querido publicar la información por miedo a represalias. Hay empresas que se asustan cuando les muestras que tienen un fallo de seguridad, pero posteriormente te lo agradecen. También existen las empresas irresponsables que a pesar de que les intentas ayudar, solo te buscan problemas. Tengo amigos que desgraciadamente han sufrido este segundo tipo de actuaciones, aunque yo espero que tanto Metro de Madrid como Renfe sepan valorar mi ayuda y no actúen irresponsablemente.
–Ante esta situación, ¿qué postura han tomado las dos empresas afectadas?
–Con Metro de Madrid enseguida conseguí contactar. Estuve hablando con el resposable técnico tratando las vulnerabilidades que a él le incumbían. Todas las dudas que tenían se las aclaré. El caso de Renfe es distinto ya que nadie se ha puesto en contacto conmigo, incluso después de haber escrito al responsable de seguridad.
–¿Los ciudadanos pueden estar tranquilos?
–Como he comentado, no son fallos fáciles de explotar. Si Renfe y Metro actúan como deben, estos fallos deberían estar corregidos en un corto espacio de tiempo.
–Presentó este problema en la conferencia Defcon pero no enseñó los vídeos que demostraban el fallo. ¿Por qué?
–Hay personas que podrían utilizar estas vulnerabilidades para su beneficio personal. Hasta que no se corrijan los fallos creo que lo más responsable es no publicar ni las diapositivas de la charla ni los vídeos con las pruebas de concepto. Yo me dedico profesionalmente a la seguridad informática. La gran mayoría de los estigmatizados 'hackers' nos dedicamos a hacer que los sistemas sean más seguros y que los usuarios puedan mantener sus datos personales perfectamente guardados.
–Usted se podría haber aprovechado, pero no lo hizo.
–Hubiese podido sacar mucho dinero vendiendo la información, incluso hubiese tenido menos dolores de cabeza que dando una charla en inglés en Las Vegas, pagándome todo de mi bolsillo. Sin embargo,me parece que lo correcto es avisar a los responsables de los sistemas para que los usuarios no sean los que acaben pagando por estas vulnerabilidades.
–Después de hallar el error, ¿recibió ofertas de alguna empresa para trabajar?
–Sí, he tenido alguna oferta para trabajar en Estados Unidos, pero de momento estoy a gusto en Madrid.
–¿En cuál trabaja ahora?
–Actualmente trabajo en una pequeña empresa llamada Sivetnet que se dedica a dar soluciones tecnológicas a clínicas veterinarias. También realizamos auditorías de seguridad.
–Tal y como está la situación laboral y viendo que ha conseguido lo que se ha propuesto, ¿qué consejos daría a los jóvenes?
–Especializarse. Hay que intentar ser el mejor en algo concreto. Es el único modo que veo para conseguir un buen trabajo.
