Ciberseguridad

15. Seguridad de internet, hackers y rivalidad entre estudiantes

Laura Viviana Manrique Gómez [00:55:55] ¿Cuándo recuerdas que comenzaron a suceder eventos de seguridad, de hackers, de personas que querían intervenir, llegar a los servidores, dañar? No sé, ¿recuerdas esos primeros?

Gonzalo Ulloa [00:56:13] Uy sí, sí, sí, claro, como no lo voy a recordar. Fue con unos estudiantes de la Universidad de los Andes, que los hicimos expulsar. Claro. Había una guerra entre los estudiantes de la Universidad del Valle y los estudiantes de la Universidad de los Andes. Como los estudiantes de la Universidad del Valle estaban manejando los servidores, los de la Universidad de los Andes querían entrar a los servidores a piratearlos. Yo tenía un muchacho que era alumno mío, muy inquieto, pero era de esos que es lengua negra, es horrible, todo le parecía mal, nos criticaba todo el tiempo. Le dije, “Gustavo, mira, en vez de criticarnos, ayúdanos, ¿si? Ayúdanos, sentate a trabajar con nosotros en vez de estar criticando. Vea, es que esto no funciona, es que se les cayó, es que tiene un hueco de seguridad, no sé qué. Ayúdenos”. Entonces se volvió nuestro oficial de seguridad y él era muy inquieto en ese tema. Se dedicó a perseguir a los de la Universidad de los Andes que querían entrar a los servidores de nosotros, que los teníamos bien configurados pero de todos modos teníamos huecos de seguridad. Entonces Gustavo los pilló, le hizo la perseguidora, recogió pruebas y las mandamos a la Universidad de los Andes. Y allá como que les hicieron un proceso disciplinario y expulsaron a los muchachos. Yo no soy partidario de expulsar a un muchacho cuando hace travesuras porque todos los que hicieron internet hicieron travesuras. Todos fueron inquietos y eso es una muestra de la inquietud de un muchacho. Eso es más bien una muestra.

[00:57:58] Tuve un muchacho que lo expulsamos de la universidad, yo era el decano de ingeniería en Icesi, y lo expulsamos de la universidad porque hizo un fraude, se le metió al computador de un profesor y le sacó un examen. Pues sí, pero el profesor tuvo la culpa de dejar ese examen. Está bien, sancionémoslo, pero no lo expulsemos de la universidad. Un muchacho brillante. A nadie se le había ocurrido que él podía entrar por ahí. Pues él entró y lo pirateó. Y hoy en día tiene una compañía de internet, no se graduó, y sigue siendo un tipo brillante, un autodidacta. Entonces, ¿cómo vamos a echar a esa gente. Les digo, en esa situación, ustedes a Steve Wozniak lo hubieran echado de la universidad? ¿A Steve Jobs lo hubieran echado? Bueno, Steve Jobs no hizo travesuras, Steve Jobs se retiró muy temprano. Pero Steve Wozniak si, lo cogieron pirateando la red telefónica y haciendo la caja azul para hacer llamadas internacionales. Todo el mundo hace esas travesuras. Larry Ellison, el de Oracle, también. Todos. Entonces, ¿cómo vamos a cortar la creatividad de la gente? Entonces yo sí soy muy liberal en ese sentido, hay gente más conservadora, pero en Icesi no pude ganar. Todos lucharon, intenté que lo readmitieran pero no, no fue posible. Pero bueno, lo lamento. Y sigue siendo amigo mío. Ahora somos fotógrafos de pájaros ambos y nos vemos en el campo. Pero tengo buenas relaciones con ellos. Y con Gustavo Barreto, que es el hijo del muchacho este que nos hacía travesuras, Gustavo es muy querido, pues es medio hijo mío, hijo putativo.

10. Ciberseguridad

Entrevistador [00:35:05] ¿Cómo fue tu entrada a la ciberseguridad? ¿Cómo llegaste a conocer, a absorber información alrededor de esta temática?

Pedro Villegas [00:35:23] Qué pregunta tan interesante. Pero mira. Mi primera experiencia con eso fue el lado de los hackers, yo creo. Porque en la Pontificia Bolivariana había muchos estudiantes costeños. Pues, no muchos, pero algunos, lo mismo que en la Universidad de los Andes. Entonces ellos venían y una llamada a larga distancia costaba, o sea, no era trivial, o ibas a Telecom, que era un sitio, o ellos se quedaban en una residencia o un lugar que contrataban, pero digamos que llamar todos los días a la casa, no estaba en el presupuesto de un estudiante. O sea, eso no era una posibilidad. Entonces ellos encontraron un sistemita de hackear los teléfonos públicos. Pero el teléfono era de disco, ¿Se acuerdan? Marcó el uno, dos, y eso realmente lo que tiene detrás es un swich. Si es el 1 hace tic, si es dos hace tic tic, si es el ocho, tic, tic, tic, tic, tic. Entonces ellos descolgaban el teléfono. Cuando utilizaba la moneda eso activa el disco, pero ellos encontraron que descolgaban el teléfono y solo con eso, colgando, marcaban. Entonces 236 era tic tic, dos, esperaban un poquito, tic tic tic, tres, y luego seis. Eso es súper sofisticado, pero es que nosotros éramos ingenieros electrónicos y sabíamos cómo funcionaba la central telefónica, y estos iban y hackeaban los teléfonos DPM así.

Eso de hecho terminó siendo una fuente de pérdidas para las empresas. Luego las empresas cambiaron los discos por los tornos, para hacer lo que tenemos ahora, pip, pip, pip. Entonces empezaron a construir aparatitos que hacían pip, pip y lo ponían en la bocina. Sí, pero eso hacían ellos. Yo creo que ese fue el primer fraude que hubo. Sí, como de ese tipo de cosas que son recursos. Tal vez en su momento no eran la preocupación, pero yo creo que es lo que pasa normalmente. En este mundo, aprovecho para contarte, hay un dilema entre funcionalidad y seguridad siempre. Si lo hago seguro no lo usa nadie. Y ahora es más evidente. Ustedes ven, las compañías que son más exitosas logran una poca fricción, pero suficientemente seguro. Ese es el reto. Entonces ahí yo creo que estamos privilegiando la funcionalidad. Pues si no me conecto con nadie, ¿Qué puede pasar? Pero en la medida en que aumenta la adopción, hay más gente, pues también llegan los defraudadores. En los datafonos esto pasaba. Esto que te digo que era solo usar unos minutos, luego empezó a pasar con los temas de internet.

No sé si te acuerdas un fraude, eso vale la pena que lo consulten un poquito, pero un fraude de los primeros que se hizo en Colombia, un tipo del Banco de la República que terminó en Suiza, en Alemania y luego lo capturaron, ¿Se acuerdan? Nieto, Prieto, algo, fue usando sistemas electrónicos. ¿No lo tiene en el radar?

14. Historia de la Ciberseguridad

Entrevistador [00:54:39] ¿Cuáles son para ti los hitos entre los 90 y comienzos de los 2000, para pensar cómo es el proceso de la aparición y formación de la ciberseguridad?

Jorge Giraldo [00:55:07] Bueno, pues el internet es el primer hito porque inicia en el 94. En el 95 yo creo que es el primer ataque que recibe alguna empresa aquí en Colombia, que fue el que recibí. En ese año me mandaron a estudiar eso en la Universidad de los Andes. En ese tiempo poco mandaban a alguien afuera a pegarse una conferencia. A mí me mandaron a una conferencia. Vine aquí a enseñar todos esos temas de ciberseguridad. Yo creo que las primeras eran de ataques y de aprendizaje. Yo estuve muy metido en el sector financiero, entonces te puedo decir que la entrada, por ejemplo, de PSE fue un hito importante porque se unieron todos los sistemas bancarios. Antes cada banco tenía su forma de hacer comercio en línea, se unieron crearon ACH hace mucho tiempo para otras cosas, pero en ACH se crea todo el tema de comercio electrónico. Yo creo que ese es uno de los puntos que armándolo de esa forma con lo que hoy en día conocemos como PSE se hizo un impulso muy grande. Antes era cada banco con cada comercio, eran conexiones independientes. Lo que se armó es que cada comercio con ACH, y PSE con cada banco el comercio electrónico comenzó alrededor del 2002, 2003. En 2002, debió haber sido la explosión del comercio electrónicoy a eso el tema de ciberseguridad ayudó mucho.

En el año 2005 empezaron los primeros ataques de phishing, que impactó mucho. Hace cinco años comenzaron los ataques de ransomware, es lo que hoy en día estamos sufriendo. Antes, ataques a las páginas web hubo por todos lados. Bueno, digamos que el tema de los primeros grandes ataques fue el “graffiti” a las páginas. Entonces están las páginas y los grafitean una calavera, cualquier cosa. Eso debe haber sido en el año 98. Empezamos a ver esos ataques, que las páginas de aquí no estaban muy bien aseguradas y entraban y les grafiteban las páginas. Se armaban unas listas completas de cuáles son las páginas que se han hackeado aquí en Colombia. Luego está el tema de PSE, luego lo de phishing, luego los troyanos en el año 2010, en el 2015, por ahí ransomware. Digamos que es como la historia de los de los grandes ataques.

Ha habido ataques masivos. Los virus masivos como I Love You, WannaCry y algunos otros ataques masivos en diferentes épocas que también nos han afectado en Colombia. A partir de cierto momento, ya lo que pasa aquí es porque ya ocurre en todas partes. Entonces debemos ir al mismo ritmo que al nivel mundial. Una de las ventajas en ciberseguridad es que nosotros teníamos como unos tres años de atraso antes de que un ataque, cuando ocurría un ataque a nivel internacional, aquí se demoraba como tres años. Hoy en día esa diferencia ya no la tenemos. Hoy en día ocurre un ataque a nivel internacional y aquí, al día siguiente, ya está ocurriendo. El nivel de experticia que necesitamos aquí en ciberseguridad es alto. El problema es [la fuga de talento], a todo el mundo lo están llevando a trabajar a todas partes.

7. ISP y nuevos vínculos laborales

Claudia Sastre fue una de las que más ayudó en esos servicios web, ya empezábamos a ofrecer servicios. Luego yo creo que todos, casi que todos los que estábamos allá en la universidad y que trabajamos en el mundo de internet ya años posteriores, años 96 por ahí 97, todo este grupo de personas que sabíamos mucho nos empezaron a contratar empresas, los Prestadores del servicio de internet (ISP) en Colombia. Ahí empezaron a nacer los Prestadores del servicio de internet (ISP) y se empezó a masificar esto. Digamos que antes era muy de las universidades, muy algunas empresas importantes, no sé, Ecopetrol tenía su conexión a internet, pero eran muy poquitas empresas. Cuando empiezan a nacer los Prestadores del servicio de internet (ISP) en Colombia, que yo creo que en más o menos año 96, empiezan a contratar ¿A quiénes? Pues a los que saben de esto, entonces yo terminé trabajando en Entelco. Me acuerdo que era del grupo Empresas Públicas De Medellín, (EPM) que armaron la red de Multi Punto Net en ese en ese tiempo, hace mucho tiempo. Yo empecé a trabajar allá, había otros compañeros míos y todos nos fuimos a empresas competidoras. Claudia Sastre terminó trabajando en El Tiempo armando la página de internet de El Tiempo. Ella fue de las primeras que puso El Tiempo que es hoy en día, como la página más vista en Colombia y fue de las primeras que trabajó allá como como webmaster. Todos nos fuimos a crear los Prestadores del servicio de internet (ISP) y a crear ya los servicios y masificar los servicios.

Bueno, y después de eso, si viene toda la explosión de todas las cosas de internet, los buscadores que primero era Yahoo, luego Google. Bueno, ya nos alineamos al mundo y son las historias de a nivel mundial. Digamos que desde antes que yo estuviera trabajando no conozco esa historia del nacimiento per sé de internet. Me acuerdo Hugo Sin allá agarrado con los de la EAFIT no, los de la Universidad del Valle y los de la Universidad Nacional.

14. Seguridad informática

Milton Quiroga [00:52:09] en la Universidad de los Andes yo cree la especialización en seguridad de la información eso se convirtió en maestría y pues ahora mis destrezas son todos en el tema de criptografía, infosec, seguridad de la información. Entonces, si por alguna razón quisieras tener como la visión desde el punto de vista de seguridad de la información, como los primeros fraudes que sucedieron, de por qué sucedieron todo eso. Tengo información de primera mano que te podría colaborar.

Laura Manrique [00:52:40] ¿Estamos hablando de más o menos qué fechas?

Milton Quiroga [00:52:45] De los primeros fraudes, digamos económicos, porque antes, como te decía, cambiar la abejita Conavi por la casita roja de Davivienda eran medio travesuras, pero los primeros fraudes. Yo creo que el primer fraude sí importante fue el de Valledupar de AV Villas en el 2007. Siendo completamente estrictos, pues lo de Roberto Soto Prieto con los 13 millones y medio de dólares fue por un medio telemático. Pero yo creo que tal vez el fraude de AV Villas en el Festival Vallenato, lo que consiguió es que los bancos se dieron cuenta. Oiga, mire, estamos sacándole mucho provecho a esta tecnología, pero esto tiene sus consecuencias. Lo que se dice es que una empresa en promedio dedica el 10% de su presupuesto a temas de IT y de ese 10% el 24% va a seguridad de la información. Lo que te quiero hacer notar es que es un fenómeno bastante, bastante complejo.

Entrevistador [00:55:55] Quería hacerle una última pregunta con respecto al tema de las de la educación y el papel que tuvo la Universidad en la formación de sus primeros ingenieros. Qué tipo de materia, de tema, de habilidades se daban al principio y se consideraban importantísimas para dotar a los primeros ingenieros. Y esto de pronto contrasta con el papel del ITEC y la formación ya de número de ingenieros profesionalizados, sino a nivel técnico.
#

1. Primer robo digital

Milton Quiroga [00:00:15] Yo voy a tratar de darles todo el contexto. Precisamente hace unos días me veía con un amigo y conversamos de todos estos temas, de cómo se introdujo internet en el país y todo. Voy a tratar de darte todo el contexto que pueda. Mi énfasis en este momento es en seguridad de la información. Tú te reuniste con Pedro Villegas, que tuvo un esfuerzo heroico en su momento en Grupo Aval por tratar de cambiar la tecnología de Grupo Aval. Hizo unas cosas maravillosas y yo le ayudé en temas de interconectividad y por eso viene la relación de amistad con él. Él fue estudiante nuestro en la Universidad de los Andes, Pedro Villegas él hizo la especialización en telemática. Bueno, yo ahí les voy dando contexto, pero cuando tú me digas arranco.

Milton Quiroga [00:03:02] Lo que imagino es contarles algunos hitos para darles el contexto de todo este fenómeno del internet en Colombia. El primer contexto que yo quiero darles es un robo que sucedió, Roberto Soto Prieto se robó 13 millones y medio de dólares en 1984. Él era empleado del Banco de la República y básicamente envió un mensaje de Télex al Chase Manhattan Bank diciendo: “Giren este dinero a esta cuenta”. Roberto Soto Prieto cogió el dinero y se lo robó. Eso quedó impune durante mucho tiempo. El Chase Manhattan Bank lo reconoció por la póliza de seguros bancarios que tenía y le devolvió a Colombia el dinero. Roberto Soto Prieto siguió dando vueltas e incluso estuvo en el Museo de Arte Moderno de Bogotá y aparece como uno de los benefactores del Museo de Arte Moderno de Bogotá, del MAMBO. Me imagino que de los 13 millones y medio de dólares alguna parte le dio al Museo de Arte Moderno de Bogotá. Cayó preso por narcotráfico en 1993. Una carrera delictiva lo que el tipo llevaba y pues básicamente lo agarraron en Alemania por mula. Yo creo que terminó sus días. Te lo digo porque fue fraude a través de sistemas electrónicos, que esa fue la polémica con los abogados.