José Pino ha identificado vulnerabilidades de compañías como Facebook, Microsoft y Dropbox.
A los 8 años, José Pino empezó a indagar cómo funcionaban los programas que tenía instalados en su computador. La mayoría del tiempo se la pasaba recluido en su casa de Tumaco, Nariño, de donde es oriundo, pues sus padres, asustados por problemas de orden público, no lo dejaban salir a jugar.
Los PC y los libros se convirtieron en sus mejores aliados. Desde las paredes de su cuarto soñaba con ser como el cofundador de Apple Steve Jobs; se imaginaba en un ambiente rodeado de pantallas y teclados; todo lo que tuviera que ver con la informática atrapaba su atención y lo apasionaba como nada en el mundo.
Su corta edad no fue impedimento para aventurarse a fondo en el universo de la computación. Leía libros de ciencias de la información, en los cuales conoció términos como analista informático y programador. Logró indagar sobre la estructura del ‘software’ y, con la ayuda de internet, comprender muchos conceptos. Por su cuenta identificó que a través de códigos se crean los programas informáticos que luego se ejecutan en los dispositivos.
En el camino descubrió también que los sistemas tienen fallas que pueden poner en riesgo la seguridad de estos. Se quedaba hasta altas horas de la madrugada investigando; entraba a foros de India y de Rusia, y utilizaba traductores para entender la información que encontraba allí. Su curiosidad y persistencia en la materia lo llevaron a aprender a programar con notable rapidez.
Hacker colombianoEntrevista con Hacker colombiano
A los 12 años fue más allá y comenzó a reportar a las propias empresas tecnológicas sus ‘vulnerabilidades’, que son fallas en los sistemas que normalmente se dan por errores de configuración, y al ser explotadas permiten que un cibercriminal pueda robar información o aprovechar para cometer abusos.
Algunas compañías de tecnología pagan a quienes descubran estos ‘agujeros’ en sus sistemas. A los 14 años, José obtuvo como retribución el agradecimiento de Yahoo tras hallar un fallo en Vizify, una plataforma de redes sociales que fue adquirida por la firma. “Gracias por ayudarnos a ser más seguros”, respondió la compañía en una carta acompañada de una camiseta, como muestra de agradecimiento.
Aunque no recibió un pago, aquel episodio fue el comienzo de un nuevo camino que marcaría completamente el rumbo y el futuro de este joven. Cada vez se interesaba más al respecto. Continuó reportando vulnerabilidades de grandes compañías de tecnología, y a los 16 años recibió por primera vez un cheque, de 1.500 dólares, de Mozilla Corporation. Desde entonces ha reportado fallas de gigantes como Microsoft, Twitter, Facebook, Yahoo, Paypal, Ebay y Dropbox. En total han sido cerca de 30 compañías a las que les ha enviado informes, gracias a los cuales su nombre está en el salón de la fama de varias de ellas.No quiso ir a la universidad
Hoy, este joven de 22 años está a la par de expertos informáticos con maestrías, especializaciones y doctorados, pese a que él decidió no asistir a la universidad. Con el conocimiento adquirido a lo largo de estos años ya ha viajado por el mundo para dar conferencias de ciberseguridad, realiza investigaciones y crea herramientas con las que busca que internet sea un espacio más seguro. También participó como conferencista en BlackHat, el evento de seguridad informática más importante del mundo, y se llevó el premio a la solución más innovadora del World Hacker Award 2019. “Cuando comencé no lo hacía por dinero sino por pasión, y, aunque los pagos y las recompensas siempre llegaban, esa nunca fue la preocupación. La idea era ser mejor cada día e incrementar la velocidad en la identificación de las fallas”, afirma.
Aunque pocos dudarían que es uno de los ‘hackers’ más destacados de Colombia, las ambiciones de Pino van mucho más allá.
El joven cuenta que ha hallado todo tipo de vulnerabilidades en los sistemas de reconocidas compañías. Hace un tiempo se dio cuenta de que era posible saltar la validación de los medios de pago para poder publicar anuncios en Twitter y Facebook sin costo. Así podía resaltar anuncios gratis en estas redes sociales que normalmente cuestan 100.000 dólares sin que las compañías se enteraran. En otra ocasión accedió a las bases de datos de cientos de miles de estudiantes de la Universidad de Harvard. Desde allí habría podido modificar las calificaciones y otros datos de los alumnos.
Cuando comencé no lo hacía por dinero sino por pasión, y, aunque los pagos y las recompensas siempre llegaban, esa nunca fue la preocupación
“Existen múltiples vulnerabilidades, todos los días vemos nuevas infecciones y ‘malware’; por eso, siempre es recomendable que tanto las compañías como las personas que están a cargo de una ‘app’ se estén actualizando sobre las nuevas fallas y nuevos mecanismos de explotación”, dijo.
El fallo que más lo ha trasnochado fue uno identificado en 2014 y que había buscado por meses. “Hallé una vulnerabilidad en Microsoft que me permitía hacer publicaciones como administrador en el blog oficial de tecnología; reporté el fallo y como a los tres o cuatro días me incluyeron en el salón de la fama”, cuenta. Las recompensas van desde un simple mensaje de agradecimiento hasta 100.000 dólares por un fallo crítico. Pero, más allá del dinero, para el joven se trata de una labor reconfortante en que resulta vital mantener la ética y los principios. En temas informáticos, confiesa, es mucho más fácil hacer el mal. “Hay algunas compañías, incluidas las latinas, en las que ni siquiera te envían respuesta o un simple gracias”, afirma.Tentaciones, a un clic
Las tentaciones están a solo un clic de distancia. Cuando era niño recibió propuestas para pasarse al lado opuesto: cometer ciberdelitos, realizar extorsiones, estafas multimillonarias… las opciones son innumerables. “El cibercrimen se convierte en una mafia como otras similares al narcotráfico; hay grupos que se dedican a sacar dinero de los bancos. Entre ellos se pelean por los accesos o las vulnerabilidades, entonces se generan conflictos y se pasan a casos trascendentales como, incluso, cometer asesinatos”, recalca. “Esto de la seguridad informática no es un juego”, agrega.
Pero su reconocimiento en el sector y mantenerse en el costado del bien también lo han puesto en riesgo en ocasiones. Ha recibido amenazas de muerte, le han enviado información detallada de su lugar de residencia y la vida de sus familiares; hasta tuvo que dejar de salir por un tiempo, cambiarse de casa y verse obligado a mantener un bajo perfil.
“Muchas veces, algunos de estos delincuentes se molestan; me han escrito y me reclaman que por qué reporto las vulnerabilidades”, cuenta. El joven ha dejado de publicar la mayoría de sus hallazgos. Pero su objetivo de aportar al mundo y ayudar a que internet sea un espacio más seguro sigue en pie. Su trabajo actual lo enfoca principalmente en la creación de potentes herramientas de ciberseguridad que han sido adquiridas por gobiernos en todo el mundo. Para 2020 ya trabaja en ocho plataformas informáticas que espera lanzar en diciembre de este año.
Su creación más exitosa hasta el momento ha sido Trape. Se trata de un proyecto que lo terminó de catapultar a la cima de la experticia de la seguridad informática en 2017 y que ya cuenta con más de un millón de descargas. Esta plataforma se enfoca en el rastreo de personas en internet; con ella se pueden identificar los movimientos detrás de una pantalla. Su objetivo es que sea utilizada para perseguir y monitorear a personas que cometan delitos informáticos o se dediquen a ilícitos como la pornografía infantil. “El señuelo es un enlace que se comparte por correo o mensajería y, al abrirlo, la persona ya está siendo monitoreada”, explica Pino.
Gracias a Trape, el joven ha podido establecer contacto con empresas desarrolladoras de herramientas en Singapur y algunas zonas de Europa. Pese a que su principal objetivo es ayudar a prevenir crímenes y que la gente se eduque y se informe sobre los riesgos con el uso de la herramienta, también es consciente de los riesgos detrás de esta potente creación, pues seguramente en las manos equivocadas también podría usarse para espiar.
“Sí, es un arma”, admite. “Pero así como cualquier objeto, depende del tipo de uso que le quieran dar las personas; el propósito principal es enseñarles tanto a compañías como a personas cómo pueden ser rastreados y cómo defenderse”, añade.‘Todo será más difícil’
Para el joven, la mayoría de las compañías son optimistas y creen que nunca van a tener un caso de explotación o ataque. “Han subestimado aplicar medidas disruptivas, y hasta que no les suceda el daño no toman acción”, dice. Además de contar con sistemas seguros, lo más importante es capacitar “a los integrantes de la compañía, porque las personas pueden resultar engañadas mediante ingeniería social y de esta manera poder acceder a los sistemas”, explica.
En su opinión, el ‘malware’ que viene para el futuro será el doble de sofisticado a lo que existe hoy, e incluso es posible que funcione con inteligencia artificial. “Todo va a ser más difícil de combatir; las personas que están detrás en el tema de defensa se deben alinear con el ciberdelincuente para poder combatirlo”, recalca.
El cibercrimen se convierte en una mafia, como otras similares al narcotráfico, hay grupos que se dedican a sacar dinero de los bancos. Entre ellos se pelean por vulnerabilidades
Pino sueña con seguir combatiendo del lado del bien. Y como ha pasado hasta el momento, sus aspiraciones no son mínimas. No solo quiere seguir contribuyendo en el área de seguridad informática, sino que está convencido de que la tecnología es la herramienta ideal para ayudar en causas como la cura de enfermedades. Su proyecto más ambicioso a largo plazo es la creación de una tecnología para mejorar el lanzamiento de cohetes. Ya está dando los primeros pasos para el desarrollo del prototipo de un módulo que se espera sea adaptado por la Nasa o por la compañía SpaceX, con el objetivo de lograr un ahorro de combustible. Y, aunque no tiene acceso físico a los cohetes, eso no le impide realizar una investigación a fondo para cumplir esta meta.
José no se ha dejado distraer en la búsqueda de sus sueños. Si no lo hizo en Tumaco, donde se enfrentaba a distracciones y obstáculos que a muchos jóvenes les impiden avanzar, menos ahora. “Pienso y me devuelvo a Tumaco, que es una zona muy peligrosa, difícil de escalar, pero eso no me frenó; desde niño, mi objetivo ha sido ser grande, ayudar al mundo y crear cosas”, afirma. Entre chiste y chanza, aún recibe propuestas: “Eh, José, ¿por qué no ‘hackeas’ un banco?”, le dicen sus amigos. Él, sin embargo, cree en el karma y en la teoría de que hacer el mal, tarde o temprano, trae sus consecuencias.