Jóvenes y autodidactas: los 'hackers' españoles asaltan Europa

A sus 28 años, aunque trabaja en una consultora, Adrián Losada dedica su tiempo libre a aprender todo lo que puede sobre ciberseguridad. Tiene el privilegio de haber participado en diversos retos, pequeños, online, "nada serio" y sin más premio que, tal vez, el haber participado. "Todo lo que he aprendido ha sido de forma autodidacta", confiesa a Teknautas. La aventura, sin embargo, no es baladí: poco a poco ha conseguido sumergirse en el sector y la experiencia le acaba de llevar hace poco más de un mes hasta Suiza para representar a España en el primer campeonato de hacking europeo.

Ha compartido la aventura con Kalrong, Xassiz, Marcoscars02, dj.thd, PatatasFritas, Albert, JKS, DarkAnHell y Jimeno. Son tres gallegos, dos catalanes, un burgalés, un canario, un extremeño, un madrileño y un riojano. Todos ellos de entre 18 y 30 años, sin trabajo en el sector ni certificaciones de seguridad (como marcaba el guion de la convocatoria).

Los jóvenes 'hackers' tuvieron que meterse en el papel de trabajadores de una empresa cuya misión era proteger un producto y mejorarlo

Los jóvenes, junto a todo tipo de profesionales técnicos, han creado el primer equipo español de hackers, una selección que, a partir de este año, se irá renovando para las futuras ediciones del European CyberSecurity Challenge. Este evento, aunque en ediciones pasadas estaba restringido a alemanes, suizos y austriacos, este año ha contado también con la participación de España, Reino Unido y Rumanía.

El único requisito para las tres delegaciones era contar con un campeonato propio a nivel nacional que, en el caso de España, es el CyberCamp. Del celebrado en 2014, que reunió a alrededor de 750 candidatos, fueron seleccionados los 40 mejores jóvenes talentos. Después, fueron elegidos los diez primeros de entre los que cumplían con las exigencias del juego internacional, como explica desde Incibe Raúl Riesco, que también fue jurado en el evento europeo y encargado de la formación del grupo.

"El objetivo era crear un equipo de donde no lo había", dice Riesco, y por eso, como en cualquier deporte, construir la cantera implicó analizar los puntos fuertes y débiles de cada uno de los miembros (cinco menores de 20 años y cinco mayores). También examinar de forma exhaustiva las cualidades individuales de cada uno para decidir cuáles iban a ser sus roles. Esto implicaba no solo determinar quién sería el capitán, sino también tener algo parecido a delanteros y defensas, "como si fuera fútbol". Hubo que detectar a los "líderes", quiénes eran buenos en ciertos ataques y en los diferentes retos a los que podían enfrentarse.

Lo más importante, sin embargo, era conseguir que personas que siempre compiten de forma individual (y muchas veces desde la Red, sin verse las caras) lo hicieran conjuntamente. El mayor esfuerzo se destinó a "que se integraran, que supieran jugar unos con otros y ayudarse", explica Antonio Ramos, que tuvo la misión de entrenar a los hackers.

Hay países que han pedido asesoramiento y quieren que los españoles compartan sus métodos porque “se quedaron sorprendidos“ de su buen juego

Añade que, como en muchos grandes deportes, "necesitas al mejor masajista, al mejor dietista, al mejor entrenador y subentrenador". Por esa razón no estuvo solo ante el desafío: contó con otros tres instructores especializados y un psicólogo de alto nivel (experto en neurociencia), que trabajaron no solo durante el evento, sino también en el (muy corto) periodo de preparación. El equipo solo contó con dos fines de semana para trazar su estrategia y conocerse.

Se organizaron en dos bloques. Durante el primero tuvieron que detectar los puntos fuertes y débiles de cada uno y del equipo en conjunto, analizar su capacidad para hablar en público y su nivel de idiomas. Este último aspecto era imprescindible no solo para las pruebas generales del europeo, sino para la explicación que uno de ellos debería dar al resto del foro sobre el trabajo que se había realizado durante el encuentro (algo que también puntuaba).

Durante el segundo entrenamiento se concentraron en aspectos técnicos. Su principal objetivo, y la mayor motivación, era automatizar y madurar todo lo que ya sabían "porque tú difícilmente les vas a enseñar algo", dice Ramos. Debían focalizarse, como si de la preparación de un examen se tratara, en las cosas que sabían que "iban a entrar". Losada reconoce que "un día y medio no da para mucho".

Sin embargo, la capacidad de estos jóvenes es alta. Al fin y al cabo, han tenido que pasar una serie de pruebas que requieren grandes competencias antes de llegar hasta este punto. En este sentido, el factor estrategia fue muy importante. Era el capitán el que debía aprender a decidir cuál sería el siguiente paso, dependiendo de los puntos que el equipo pudiera recibir por cada acción, del perfil de los compañeros y de las oportunidades del juego.

Tenían que aprender a tomar decisiones, a descartar algún tipo de ataque en caso de estar malgastando el tiempo y a buscar alternativas. También debían decidir qué grupo de personas iban a encargarse de cada acción e, incluso, quiénes iban a ir por libre, al tener una elevada capacidad para actuar sin mayor coordinación. Todo eso en un periodo de tiempo escaso. "Imagínate hacer un equipo en dos fines de semana, es realmente difícil", dice Ramos.

A pesar de la anécdota, hay países que han pedido asesoramiento y quieren que los españoles compartan sus métodos porque "se quedaron sorprendidos" de su buen juego. De hecho, muchos pensaban que habían pasado meses formándose y practicando.

Ya en tierras suizas, los jóvenes hackers tuvieron que meterse en el papel de trabajadores de una empresa cuya misión era proteger un producto y mejorarlo. Después, las pruebas se basaban en un modelo conocido como "atrapa la bandera", donde lo más importante, y lo más difícil, es hackear a hackers. Se trata de entrar en los sistemas de los demás. "Es lo más importante en ciberjuegos y la máxima humillación", explica el entrenador.

No puedes ser cirujano aficionado, pero en esto las universidades no hay especialidades y toda la gente de valor es autodidacta

Según nos cuentan, los españoles fueron los primeros en conseguirlo, y prácticamente los únicos. Alemania, que también lo hizo, repitió el mismo ataque. En otras pruebas tuvieron que defenderse al mismo tiempo que eran atacados, hacerse con el control de un robot, enfrentarse a retos criptográficos y cerrar vulnerabilidades en el producto propio.

Las cosas salieron mucho mejor de lo esperado: quedaron primeros de entre los nuevos países que participaban (a mucha distancia del siguiente) y cuartos a nivel general. Fue el equipo más compensado, el que consiguió resolver todas las tipologías, "lo que implica que la selección se hizo bien", señala Riesco.

Ramos añade que durante un cuarto de la competición estuvieron luchando por el primer y segundo puesto porque es algo "muy dinámico, muy vivo, como el baloncesto". Cree que si la plataforma hubiera cerrado media hora antes hubieran entrado directamente los terceros porque iban "muy cerquita".

Ganar o quedar en buena posición no siempre es importante, aunque en este caso los resultados son destacables porque se trata de "los primeros europeos no apoyados por cuatro frikis, sino por los gobiernos", dice el técnico, que lo define como un asunto "de estado" que, según cree, terminará siendo como la Champions League.

Las cosas salieron mucho mejor de lo esperado: quedaron primeros de entre los nuevos países que participaban y cuartos a nivel general

A pesar de los puntos positivos, los españoles también tuvieron que sortear ciertos obstáculos. Entre otros, fue una odisea enfrentarse a la plataforma digital de juego, mientras que los austriacos, los suizos y los alemanes ya la conocían de años anteriores. Ellos, además, contaban con ventaja sobre los españoles en cuanto a su nivel de inglés. Las carencias de los nuestros hacían que les resultara más difícil que al resto comunicarse con los árbitros e incluso interpretar los desafíos.

Según Losada, otro de los "puntos flacos", y lo que hizo que todo resultara "un poco caótico", fue que los diferentes jugadores apenas se conocían. Además, y a pesar de haberlo intentado antes de llegar a la competición, fue sobre el terreno de juego cuando realmente se dieron cuenta de cómo distribuir a los jugadores. Su descoordinación inicial hizo que tuvieran que acabar improvisando. "En mi caso, yo iba preparado para hacer unas pruebas y al final me dediqué más a coordinar al resto del equipo, a decir qué le hacía falta a cada uno y cómo podíamos solucionar los problemas".

Falta de profesionales en el sector

De los diez chicos seleccionados solo uno tenía carrera. El equipo es consciente de que, visto desde fuera, lo lógico sería pensar que nueve de ellos serían ingenieros en telecomunicaciones y que uno, muy excepcional, procediera de formación profesional. Sin embargo, casi todos los elegidos son autodidactas: uno era ingeniero electrónico, otro un teleco y el resto estudiaban o habían salido de algún ciclo. Entre ellos Losada, que no tiene carrera, solo un módulo en sistemas informáticos que, dice, no le ha servido de mucho.

El currículum apenas cuenta. Lo importante es que todos cubran algún sector. "Yo, por ejemplo, controlo un poco de todo pero no domino nada en concreto", admite el jugador gallego. De hecho, el propio entrenador es matemático, no informático, y cree que se está produciendo una paradoja en la que estudiar ya no vale para nada y un título tampoco es garantía de éxito. Todo depende de sentir el hacking ético como un oficio donde lo que cuenta es la pasión.

A pesar de sus puntos fuertes, los españoles tuvieron que enfrentarse a obstáculos como el inglés, con el que el resto de países no tenía problemas

"No puedes ser cirujano aficionado, pero en esto resulta que las universidades no han desarrollado especialidades, están a años luz, y te encuentras que toda la gente de valor ha sido autodidacta". En la vida real, los desafíos a los que deben enfrentarse los equipos son superiores en cuanto a exigencias, horarios que se manejan o en relación al estrés de la situación. Las competiciones son como un periodo de prueba y adaptación, y compara a sus participantes con los deportistas de unos Juegos Olímpicos que acaban haciéndose profesionales.

Además, detrás del evento europeo está la idea de promocionar a jóvenes talentos que aún no son profesionales pero se acabarán incorporando al mercado laboral. Es imprescindible porque hay demasiados puestos vacantes en el sector de la ciberseguridad esperados a ser cubiertos. Tras ver el desenlace de esta competición, algunas compañías ya se han interesado por los jugadores del equipo español e incluso han empezado a entrevistarse con ellos.

Para las próximas convocatorias, mantener a parte del equipo puede ser positivo. Sin embargo, cada país debe ceñirse a las restricciones de la partida y, en todo caso, quienes quieran repetir tendrán que volver a pasar las pruebas y a batirse en duelo con cerca de 1000 aspirantes. Además, en este caso, la experiencia no es un grado, puesto que supondría una desventaja para otros países.

Este mes de noviembre se ha celebrado el nuevo campeonato nacional del que saldrá el equipo que competirá en el European CyberSecurity Challenge de 2016, en el que, si se cumplen las previsiones, se incorporarán nuevos países contrincantes. Losada se ha clasificado en cuarta posición y, a menos que cambien las reglas, volverá a formar parte del combinado nacional en la próxima entrega.

Más allá del área europea, el equipo confía en que algún día puedan disputar una competición mundial. Piensan que las nuevas generaciones lo verán como un deporte que, aunque no de masas, se asemeje a otros como el ajedrez. Por ahora, los españoles se quedan con la responsabilidad de haber representado a su país y con el recuerdo de que Europa, por fin, ha sentido sus botas.