A finales de junio, Alex Stamos (California, 1979) dejó su puesto en Yahoo, para velar por la seguridad de casi 1.500 millones de personas. Es el máximo responsable de ese departamento en Facebook. Desde su fichaje ha pasado, como el resto de recién llegados a esa empresa, un proceso de aprendizaje de tres semanas. Tras ese periodo, los ingenieros que, como Stamos, trabajan allí -que suponen el 80% de los empleados- deciden en qué campo quieren trabajar. Le esperaba el título de director de Seguridad. Después de su llegada ha decidido que los desarrolladores de aplicaciones deben poner más atención en proteger.
Su asistencia a Defcon es un clásico. Se le considera el alma de esta cita dedicada a los hackers (piratas informáticos). Él no oculta el interés principal en esta edición: buscar a quién contratar. Quiere dar con los hackers más capaces para que trabajen en Facebook.
Pregunta: Se habla de ataques todo el tiempo, pero, ¿quiénes son los atacantes? ¿de dónde vienen?
Respuesta: Vamos a dejarlo en que la mayor parte de las veces la dirección IP (una identificación asociada a cada dispositivo que se conecta a Internet) es de fuera de Estados Unidos. Hay una guerra comercial. Casi siempre son los propios gobiernos los que pagan por atacarnos. Para los atacantes es su trabajo. El mío es hacer que cada día se frustren.
P.- La misión final de Facebook es conectar a personas en todo el mundo entre sí. ¿Cómo lo van a hacer cuando todavía hay censura?
R.- En Facebook cada punto de entrada al servicio está encriptado. Estamos reforzando también el envío de cada uno de los paquetes y poniendo especial atención a nuestras aplicaciones móviles. Somos la única de las grandes empresas de Internet que tiene un servicio oculto basado en Tor para proteger a los usuarios
P.- ¿Por qué Tor? (El navegador que hace virtualmente anónimo el punto de conexión a la Red, muy popular entre disidentes en las dictaduras)
R.- Porque es la única opción realista que funciona, que mantiene el anonimato. Aunque es una batalla constante, no vamos a dejar de investigar en ese aspecto.
P.- Acaba de decir que es la única de las grandes empresas de Internet que hace esto, ¿por qué no crean un estándar que sigan todos?
R.- Es un debate global. ¿Dónde comienza la defensa y dónde entran en juego las fuerzas del Estado? En los próximos dos años, la gente va a empezar a tener mejores sensaciones al respecto. Los gobiernos ya comienzan a tener claro qué es lo básico y que se debería hacer desde el punto de vista de la ciberseguridad.
P.- ¿Por qué atacan a Facebook? ¿Qué es lo que buscan?
R.- Es muy difícil saber qué quieren los atacantes. Vemos muchos ataques contra particulares, contra gente normal a la que quieren usurpar su contraseña. También malware, quieren meter código malicioso en Facebook para diseminar virus. Atacar a Facebook es un negocio. Nadie va a salir diciendo: “Hey, hemos gastado cuatro millones de dólares en este programa y vamos a por ellos”, pero se venden programas para atacarnos.
P.- ¿Qué retos de seguridad plantea Internet.org?
R.- Muchos. Normalmente, se tiende a atacar a los sistemas más populares. Afecta a más gente, por lo que es más rentable. En los países emergentes nos encontramos de todo, desde móviles casi obsoletos a aparatos con distribuciones de Android sin actualizar, no miro a nadie… O peor, con versiones no oficiales que son peligrosas. Con Internet.org asumimos que nuestro deber es proteger a usuarios que nunca antes han tenido acceso a Internet.
P.- ¿Qué retos tiene Internet.org en su campo?
R.-La seguridad constante, se tenga la conexión que se tenga. Proteger a alguien que está bajo una red 4G es más sencillo, pero cuando lo normal es que estén bajo un 2G muy precario en que se pierden paquetes de datos, todo se complica.
P.- ¿Qué medidas de seguridad van a poner en sus drones que dotan de conexión?
R.- Es un gran reto. Es algo totalmente nuevo. También es una responsabilidad. En seis meses lo tendremos mucho más claro. Ahora tenemos que confundirnos rápido, equivocarnos, para aprender y mejorar.
P.- Está bien que ustedes impulsen cambios, pero, ¿de qué sirve si el resto de las empresas no sigue ese ritmo?
R.- Debemos impulsar que los demás se sumen. Con Threat Exchange hemos creado un marco común de intercambio de amenazas. Formamos parte Tumblr, Yahoo, Twitter, Pinterest, Microsoft. Así podemos estar alerta y reforzarnos.
P.-Llama la atención que lo diga porque lo presentaron dos días después de la visita del presidente Obama a Stanford, cuando propuso la creación de algo muy parecido. ¿Por qué no se suman a la iniciativa del Gobierno?
R.-Nuestros abogados no creen que debamos colaborar. Con Threat Exchange hemos creado una herramienta útil para la industria, es una alianza comercial e independiente. El Gobierno puede hacer estándares o proponer algo básico, pero el debate está en hasta dónde quiero dar acceso al Estado. Si el Estado quiere compartir con nosotros, muy bien, hablemos.
P.- ¿Dónde está la frontera entre seguridad y privacidad?
R.- Es una línea delgada y difusa. En Facebook te comunicas con amigos y familiares. Tienes que confiar en nosotros, en cómo tomamos las decisiones para gestionarlo. Seguridad y privacidad, formalmente, son dos equipos separados, pero en conversación constante.
P.- En Defcon viene a buscar personas para contratar, ¿qué perfiles son los que busca?
R.- Gente distinta, diferente. Me encanta la gente con curiosidad por saber cómo funcionan las cosas, sin ser necesariamente técnicos. Gente con contexto, que no estén contaminados por la industria.
P.- ¿Cómo ve el sector de la seguridad informática?
R.- Con mucha necesidad de talento. El ataque a Sony removió mucho el sector. Es una industria grande, pero todavía no lo suficiente.Sony es una gran empresa, pero quizá no dio a los estudios la entidad que tenían. Como ellos hay, al menos, otras 1.000 empresas que podrían atacarse porque, aunque son relevantes, no toman precauciones acordes con su importancia. Tienen que despertar y tomar medidas. En los próximos 10 años, este campo va a crecer muchísimo.
Fuente: ElPaís