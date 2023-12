El algecireño Tarek Bouali se ha proclamado recientemente campeón del mundo de hackers éticos con la selección española en la competición organizada en Buenos Aires (Argentina) por HackerOne, una plataforma que facilita la colaboración entre grandes empresas (como Google, Apple, Facebook, Microsoft, Inditex y Tesla) y hackers éticos para detectar vulnerabilidades en sus sistemas de seguridad.

Bouali, de 28 años, graduado en Ingeniería Informática, es ingeniero de seguridad en Factorial (https://factorial.co), una herramienta de gestión de recursos humanos, pero en el campo de la ciberseguridad se formó de manera autodidacta con recursos disponibles en línea, como libros y conferencias, además de la práctica continua en entornos virtuales y reales en plataformas especializadas, como HackerOne.

Pero, ¿en qué consiste el hacking ético? "Un hacker ético es una persona que se dedica a la ciberseguridad, que tiene los conocimientos técnicos y la pasión por entender como funcionan los sistemas y poder sacar a la luz vulnerabilidades de seguridad. La diferencia entre un hacker ético y un ciberdelincuente es que el hacker descubre vulnerabilidades en un marco legal y contribuye a mejorar la seguridad de las empresas e instituciones para proteger los datos de sus usuarios. En cambio, un ciberdelincuente es aquel que aprovecha sus conocimientos técnicos para descubrir vulnerabilidades y sacar provecho de ellas, por ejemplo por medio de la extorsión. Entonces podemos decir que el hacking ético es la rama del conocimiento que se dedica a la protección de los sistemas informáticos", aclara Bouali.

El ingeniero informático algecireño, que pasó por los colegios San Francisco y General Castaños e hizo la ESO entre el IES Kuursal y IES El Getares, cuenta cómo comenzó a interesarse por ser hacker. "Desde muy joven me sentí atraído por el mundo de la informática. Mi padre tuvo mucho que ver, ya que él fue quien me compró mi primer ordenador, con el que empecé a aprender sobre Linux -un sistema operativo, como lo es Windows-, administración de sistemas y desarrollo web. Pero sin dudas, desde el momento en que conocí el increíble mundo del hacking sentí una conexión especial con algo que de verdad me apasionaba. Con 16 años recuerdo que entraba a canales del IRC -un primitivo sistema de chat- de hacking a buscar información y conectar con la comunidad. Entonces todo era mucho más underground, pero había un sentimiento de comunidad fuerte donde la información fluía, se compartía y entre todos se colaboraba para aprender nuevas técnicas", recuerda.

"En aquellos tiempos era bastante inexperto y joven, y enlacé mis conocimientos de desarrollo web con la seguridad, emprendiendo varios foros de hacking para ayudar con la difusión del conocimiento, si bien ninguno llego a prosperar lo suficiente. En muchos casos debido a hackeos, ya que por mi falta de experiencia no guardaba copias de seguridad y acababan desapareciendo", señala.

A pesar de tener los conocimientos necesarios, Tarek Bouali afirma que nunca ha llevado a cabo actividades maliciosas. "Nunca tuve una tendencia real hacia el hackeo malicioso, aunque en mi adolescencia, cuando estaba aprendiendo, hackeé alguna vez el wifi del vecino porque mis padres me quitaban internet, o hice algún defacement (vendría a ser como un grafiti en la fachada un edificio) de alguna que otra web. Sin embargo, mi intención era meramente investigativa y no animo a nadie a hacerlo. Hoy en día todo ha evolucionado mucho y quien quiera investigar puede hacerlo en muchos entornos virtuales para aprender hacking sin necesidad de atacar entornos reales en producción", confiesa.

Bouali ha podido descubrir vulnerabilidades críticas en grandes multinacionales, como PayPal, Twitter (actualmente X), o importantes grupos de aerolíneas. "Es algo muy gratificante, más allá de la recompensa. Saber que proteges datos sensibles de miles, y, a veces, millones de usuarios, para que no acaben en manos de ciberdelincuentes, es realmente un sentimiento que no tiene precio", afirma.

Con esta trayectoria, este algecireño formó parte de la selección española de hackers éticos, que se ha proclamado campeona del mundo. En esta primera edición, la cita comenzó el pasado marzo con 29 equipos y una participación de 677 hackers. El elenco lo formaron 22 países, varios de ellos con más de un cibergrupo, como EEUU o India.

"HackerOne es una plataforma de bug bounty, un programa de recompensas, algo relativamente reciente que cada vez adoptan más instituciones y empresas, en el que se ofrece una recompensa económica al hacker que reporte una vulnerabilidad en un programa concreto. En HackerOne (existen otras) participan cientos de empresas de relevancia global, como Twitter, PayPal, Sony, IBM, Shopify... Esto va generando un ranking de hackers por país. La selección española de la HackerOne Ambassador World Cup fue formada en base a este ranking. Inicialmente, fuimos seleccionados unos 20 para participar del mundial. Ya cerca de la final presencial, que se llevó a cabo en Buenos Aires (Argentina) fuimos seleccionados los 10 hackers con mayor rendimiento de España durante los seis meses de competición. Allí, el equipo de HackerOne me seleccionó entre los mejores 20 para competir en la gran final presencial que se disputó entre España e Israel, y de la que resultamos campeones mundiales", explica Bouali.

Para el hacker bueno, el hecho de que España haya logrado el primer puesto en un mundial de ciberseguridad posiciona al país "dentro de las potencias mundiales en ciberseguridad". "Es algo aún bastante novedoso y posee una relevancia especial a nivel global porque se trata de unos de los campos con mayor horizonte y que mayores desafíos presenta a futuro", destaca.

Uno de los factores a los que se tiene que enfrentar un hacker es el rápido y continuo avance de la tecnología, como afirma Tarek Bouali. "Es un desafío mantenerse actualizado con las últimas herramientas y técnicas. También la cantidad masiva de información disponible puede ser a veces abrumadora. Por ello es importante aprender a filtrar y priorizar la información según la relevancia y la credibilidad. También hay que mantener una fuerte constancia y motivación para tener éxito en el bug bounty. Este campo presenta desafíos significativos, especialmente al buscar vulnerabilidades en entornos de producción que han sido sometidos a pruebas por numerosos hackers. En este entorno altamente competitivo, la perseverancia y la capacidad para ir más allá son cruciales para superar los obstáculos y destacar en la identificación de vulnerabilidades. Sin dejar de lado el instinto u olfato que muchas veces nos va guiando", explica.

Los ciberdelitos están en auge en los últimos años en toda España, según puede comprobarse en los balances de criminalidad. Con esta situación, ¿un hacker ético podría ayudar a la Policía en la resolución de algún caso?. "En términos técnicos estimo que sí, si bien nunca he realizado este tipo de investigaciones cibernéticas. En mi caso estoy volcado de lleno en detectar fallas en los sistemas porque esa es mi especialización. Nunca he sido requerido en ese sentido", responde Bouali.

Con sus conocimientos, este hacker ético hace algunas recomendaciones para protegerse de posibles ataques cibernéticos. "Siempre es recomendable instalar actualizaciones regulares de software, realizar auditorías de seguridad recurrentes y la promoción de la concienciación en el equipo de desarrollo y el resto de empleados. Además, hago énfasis en la colaboración con hackers éticos externos por medio de programas de bug bounty, que dan como resultado el fortalecimiento continuo de las defensas contra posibles amenazas", destaca.

Si alguien quiere aventurarse en este mundo, Bouali lanza algún consejo. "Comienza por entender los fundamentos de redes y sistemas operativos. Comprender cómo funcionan las redes, los protocolos y los sistemas es esencial. Aprende a programar en al menos un lenguaje como Python, muy utilizado en hacking ético. Familiarízate con scripting para automatizar tareas. También es importante manejar Linux, ya que muchas herramientas de hacking se ejecutan en entornos basados en este sistema operativo. Interioriza los comandos básicos y por último, estudia ciberseguridad en general, es decir, comprender los principios de la seguridad de la información, tipos de vulnerabilidades web, firewalls...", recomienda.

"La motivación y el criterio son claves a la hora de sostener un aprendizaje continuo. Existe en la actualidad multitud de recursos gratuitos disponibles, sin necesidad de acceder a una formación exclusivamente académica o reglada. Creo que actualmente las formaciones regladas pueden caer en cierta falta madurez a la hora de dar respuestas más acordes a este tiempo. A veces los programas académicos son demasiado superficiales, pueden funcionar bien como una introducción, pero a la hora de enfrentarte al mundo profesional, te das cuenta de que no son suficientes. También ocurre que hay certificaciones muy prestigiosas, que requieren de grandes conocimientos y mucho estudio, como son las OSCP, OSWE, CEH, entre otras", reflexiona este experto en ciberseguridad.