Hay un equipo de hackers en las oficinas de Microsoft que se dedica solo a una cosa: encontrar la forma de vulnerar y atacar Windows y el resto de productos de la compa√Ī√≠a, y gracias a ello mejorar su seguridad. Se llama el equipo rojo y, he conversado con uno de sus miembros para saber c√≥mo operan.

Los equipos rojos no son ninguna novedad en compa√Ī√≠as de software y tecnolog√≠a, pero s√≠ deber√≠an ser la norma. Muchas empresas tecnol√≥gicas dedican sus esfuerzos en materia de seguridad a resolver los problemas despu√©s de que surjan. Quienes tienen equipos rojos intentan descubrirlos antes que otros, adelantarse a ellos. Es seguridad preventiva y no solamente correctiva.

Recientemente tuve la oportunidad de visitar el campus de Microsoft en Redmond, Estados Unidos, y conocer c√≥mo trabajan varios de sus equipos, en especial en materia de seguridad. En la visita pude conocer a miembros de los equipos rojo y azul, investigadores de seguridad que trabajan en conjunto como en una especie de juegos de guerra. El primero intenta romper los productos de la compa√Ī√≠a, el segundo intenta adelantarse y solucionar los exploits o vulnerabilidades que encuentren antes de que lo hagan los del equipo rojo.

Sin embargo, quien robó mi atención fue el equipo rojo. Aunque ya sabía de su existencia en este tipo de empresas, conocer desde dentro cómo funciona un equipo que parece salido de la serie Mister Robot y que se dedica a atacar a su propia empresa era algo que prometía ser interesante. Efectivamente, lo es.

El equipo rojo de Microsoft se dedica a tres cosas o fases principalmente, y lo que haga en el día dependerá de en qué fase del proyecto se encuentran. Jordan Rabet, ingeniero senior de seguridad para Microsoft, y parte clave del equipo rojo de la empresa lo explica así:

Advertisement

El primer aspecto o fase es la que puede sonar m√°s ‚Äėsexy‚Äô o interesante, ya que tiene que ver con encontrar las vulnerabilidades. Cada vez que le explico a alguien lo que hago les parece genial por el hecho de ser hackers, pero en realidad esta primera fase puede ser muy aburrida. Normalmente se basa en leer c√≥digo durante d√≠as, o incluso semanas, intentando entender qu√© hace, ya sea teniendo el c√≥digo fuente a la mano o haciendo ingenier√≠a inversa si no lo tenemos.

De hacker de consolas de videojuegos a uno de los responsables de seguridad en Microsoft

Jordan Rabet.
Photo: Filmateria Digital para Microsoft.

Jordan es la persona que se rob√≥ mi atenci√≥n por completo en las oficinas de Microsoft. Su trabajo y su pasado como hacker de consolas de videojuego me hicieron entender que Microsoft busc√≥ hackers conocidos, famosos en la comunidad por haber logrado jailbreaks o exploits, para que hicieran lo mismo con sus productos. ‚ÄúEste tipo de hackers tienen la experiencia y conocimiento necesarios para hackear productos como los que hace Microsoft‚ÄĚ, me coment√≥. Antes de entrar a Microsoft, Jordan fue el responsable del jailbreak de la consola Nintendo 3DS, y de su homebrew. Es lo que llam√≥ la atenci√≥n de Microsoft y lo que les decidi√≥ a contratarlo tras ver una publicaci√≥n en Reddit y un v√≠deo en YouTube.

Volviendo al d√≠a a d√≠a del equipo rojo, la segunda fase de su trabajo es la que el grupo disfruta m√°s, seg√ļn explica el hacker: ‚Äúlo m√°s importante de la primera fase es entender c√≥mo funciona el c√≥digo, qu√© hace y c√≥mo cree que funciona la persona que lo cre√≥, adem√°s de descubrir si cometieron errores y d√≥nde. La segunda fase se basa en encontrar la forma de romperlo, desarrollar un exploit o, en general, encontrar una forma de hacer que el c√≥digo haga lo que queremos que haga‚ÄĚ.

No es un trabajo f√°cil. Durante el proceso, como cualquier hacker, deben superar una serie de restricciones y protecciones que haya implementado Microsoft en el producto, y a la vez hacerlo sin ser detectados. ‚ÄúEs como un puzzle, un rompecabezas‚ÄĚ, asegura el miembro del equipo rojo. Los hackers de este tipo son muy necesarios. Las personas que desarrollan jailbreaks son muy h√°biles para hackear cualquier otra cosa, en el caso de las consolas, Rabet asegura que est√°n a la par en seguridad en muchos aspectos con un iPhone, un dispositivo que tiene tu correo electr√≥nico, datos bancarios y m√°s. ‚ÄúLas consolas lo que quieren es proteger propiedades intelectuales y por eso su seguridad es tan buena‚ÄĚ, a√Īade, ‚Äúy es por esto que muchos de los miembros del equipo [rojo] fueron contratados del mismo modo que yo‚ÄĚ. Son hackers.

Advertisement

Photo: Gizmodo

En primera línea durante las crisis de Spectre y Meltdown

El equipo rojo de Microsoft tiene apenas 4 a√Īos funcionando, pero ha sido una pieza clave a la hora de mejorar la seguridad de los productos de la compa√Ī√≠a. Y es que adem√°s de trabajar buscando sus propias vulnerabilidades, tambi√©n resultan muy √ļtiles en escenarios cr√≠ticos de la vida real, como las recientes crisis de Spectre y Meltdown. Una vez se descubrieron esas vulnerabilidades, el equipo de respuesta de Microsoft en materia de seguridad (Microsoft Security Response Center, o MSRC) contact√≥ al equipo rojo con una pregunta clave: ‚Äú¬Ņpueden convertir o usar esto como un arma, crear exploits?‚ÄĚ

El trabajo del equipo rojo en ese caso se bas√≥ en encontrar la forma de aprovechar Spectre y Meltdown para hacer da√Īo, para atacar Windows, Azure y los productos de la compa√Ī√≠a, con la intenci√≥n de adelantarse a los criminales o atacantes que quisieran hacerlo tambi√©n. A estas alturas, las vulnerabilidades todav√≠a no se hab√≠an hecho p√ļblicas.

El trabajo de Jordan y su equipo incluso permiti√≥ descubrir y explotar una vulnerabilidad en Google Chrome que los llev√≥ a contactar a Google, Apple, Mozilla y el resto para reunirse y mitigar ese problema de los navegadores antes de que fuera demasiado tarde. ‚ÄúEsto permiti√≥ que al hacer p√ļblica la existencia de Spectre y Meltdown los navegadores ya tuvieran nuevas medidas de seguridad para que fuera muy dif√≠cil y en algunos casos imposible usar esas vulnerabilidades para atacarlos‚ÄĚ, coment√≥ orgulloso, calific√°ndolo como una historia de √©xito para el equipo rojo.

Hackers sí, cibercriminales no

El equipo rojo de Microsoft está compuesto de hackers, pero eso no quiere decir que sean cibercriminales. A esta clase de personas la motiva una sola cosa: abrir ecosistemas y dar libertad, aunque el fabricante no quiera (como es el caso de Nintendo y la 3DS). Jordan no apoya la piratería, porque hackear una consola o smartphone, hacerles jailbreak, no es sinónimo de piratería.

Advertisement

‚ÄúUna de las preguntas que mas nos hacen es ‚Äė¬Ņcontratan a criminales?‚Äô No, lo que hacemos es contratar a gente que hace este tipo de trabajos de seguridad de manera interesante y responsable, no contratamos gente que hace cosas como intentar robar datos. Los que trabajan en nuestro equipo hacen investigaciones de seguridad de este tipo en su tiempo libre, pero ninguno intentan robar datos ni nada por el estilo, ni trabaja con personas sospechosas. Tenemos un l√≠mite que no cruzamos‚ÄĚ.

Jessica Payne, parte del ‚Äúequipo azui‚ÄĚ.
Photo: Filmateria Digital para Microsoft.

Las compa√Ī√≠as de tecnolog√≠a buscan a este tipo de personas, los Mister Robot, por su conocimiento y habilidades, su pasi√≥n por los ecosistemas abiertos, la libertad, y por hacer ingenier√≠a inversa para saber c√≥mo funcionan las cosas; no por su deseo de hacer da√Īo. De hecho, y aunque ya tengan un trabajo como este, siempre contin√ļan investigando cosas en su tiempo libre. Jordan, por ejemplo, me ha dicho que actualmente tiene proyectos personales relacionados a la comunidad de hacking, pero son completamente privados. Eso s√≠, aunque se mantiene enterado de lo que hace la comunidad de hackers de consolas, no est√° trabajando directamente con ellos ni en ning√ļn proyecto de este tipo.

La √ļltima fase del trabajo del equipo rojo es, quiz√°s, la m√°s importante. Una vez estudian el c√≥digo, lo entienden y lo rompen, solo queda una cosa por hacer: ayudar a que el producto sea m√°s seguro. ‚ÄúEn este momento, tras lograr hacer exploits para un producto, lo que queda es descubrir c√≥mo hacer para que sea m√°s dif√≠cil explotarlo, atacarlo‚ÄĚ, explic√≥. ‚ÄúPor ejemplo, durante los √ļltimos dos meses hemos estado trabajando en una nueva caracter√≠stica de Windows que ser√° parte del sistema operativo y funcionar√° con todos los programas que sean ejecutados, para hacer la plataforma m√°s segura‚ÄĚ.

¬ŅCu√°l es la parte m√°s divertida para el equipo? ‚ÄúSin duda, escribir y desarrollar el exploit‚ÄĚ.

Advertisement

Trabajar en seguridad para una empresa como Microsoft no es tarea f√°cil por una sencilla pero importante raz√≥n: Hay m√°s de 1.000 millones de personas usando sus productos. Seg√ļn Jordan, la compa√Ī√≠a lo est√° haciendo muy bien en materia de seguridad en parte gracias a su equipo, porque les permite ser preventivos y no simplemente reaccionar cuando las cosas malas pasan. En este aspecto, tambi√©n cree que ser una compa√Ī√≠a m√°s abierta ayuda a mejorar constantemente. Para el experto, ser cerrados es un grave error que cometen muchos.

‚ÄúMuchas compa√Ī√≠as creen que esconder lo m√°s posible va a permitirles ser m√°s seguros, y eso es algo que vemos fallar todo el tiempo. La gente es lo suficientemente inteligente para hacer ingenier√≠a inversa. Creer que cerrarse al mundo har√° que nadie quiera atacarte, o que sea m√°s dif√≠cil, es un error muy grande. No funciona. D√≠a tras d√≠a se vulneran sistemas cerrados.

Esto es algo en lo que hemos mejorado mucho en Microsoft. Cada vez somos mas abiertos, e incentivamos a la comunidad de seguridad a que participe e incluso haga ingenier√≠a inversa en algunos casos.[...] Por ejemplo, en la pasada Black Hat expliqu√© c√≥mo funciona un exploit para uno de nuestros productos porque queremos que la gente haga ingenier√≠a inversa, encuentre fallos y lo notifique para solucionarlos. Tenemos un reto para encontrar bugs recompensado con hasta 250.000 d√≥lares. Esa es parte de nuestra estrategia de seguridad. Creo que ser cerrados es uno de los mayores problemas para muchas compa√Ī√≠as, y creo que Microsoft est√° haciendo esfuerzos para no caer en esos problemas o trampas.‚ÄĚ

La gran diferencia de tener un equipo rojo es que ayuda a descubrir fallos, vulnerabilidades y la manera de explotarlos antes que otros. De hecho, ni siquiera es necesario esperar a crear un exploit antes de atacar. Seg√ļn Jessica Payne, investigadora de seguridad y parte del equipo azul de Microsoft, una vez el equipo rojo encuentra algo relativamente bueno, un fallo que pueda hacer cosas como obtener permisos, obtener c√≥digos o hacer que una app deje de funcionar, lo identificar√°n y marcar√°n para encontrar r√°pidamente si alguien m√°s, un posible atacante fuera de la compa√Ī√≠a, est√° trabajando en algo similar. ‚ÄúSi piensas en la forma de romper algo, es posible que alguien m√°s ya hab√≠a pensado en ello, o se le ocurrir√° en el futuro‚ÄĚ, coment√≥ Payne.