Hay programadores, aficionados a entrar en redes ajenas y hasta creadores de virus. Pero en las I Jornadas sobre Seguridad Informática, celebradas el pasado fin de semana en Bilbao, también hay expertos de empresas de seguridad, profesores de universidad y ciberactivistas. De hecho, la mayoría de los segundos son al mismo tiempo miembros del primer grupo.

Son unas jornadas atípicas. Las organiza BlindSec , una consultora de seguridad informática, pero las charlas se centran en el hacking. 'Conocer estas herramientas es una buena forma de mejorar la seguridad', explica uno de los organizadores. Aunque en EEUU son habituales estos encuentros, donde incluso empresas como IBM los patrocinan retando a los hackers a que se cuelen en sus sistemas, en España estas reuniones no suelen tener y querer mucha publicidad.

Un ejemplo de la originalidad del evento de Bilbao es la presentación de Urtzi Larrieta. Este informático muestra las distintas capas de seguridad de un mainframe (superordenador usado por grandes empresas, como bancos, eléctricas o administraciones). Larrieta, que tiene uno en casa ocupando dos plazas de garaje, muestra los mecanismos para entrar en este equipo. En realidad, lo que cuenta es 'lo difícil e improbable que es conseguirlo', dice este enamorado de estos gigantes de IBM.

La mayoría de los que han acudido al M3 Labs , junto a la ría de Bilbao, son ingenieros o estudian para serlo. Incluso hay quienes ganarán unos créditos para su titulación académica. La práctica totalidad trabaja en departamentos de seguridad de empresas. Aquí molesta mucho la identificación que se hace entre hackers y delincuentes informáticos. 'Esos son crackers', explica uno. 'El problema no es la tecnología sino el uso que se haga de ella', comenta otro.

La segunda charla la da Iñaki Etxebarría, programador de Panda Security , la principal empresa de antivirus de España. El viernes mostró un juguete que hizo por afición, el programa GhostWriting, que inyecta líneas de código diseñadas por el hacker en un proceso de otra máquina. Aunque Etxebarría lo hizo como un reto, alguien con malas intenciones y buena formación podría colocar dentro de un proceso básico del ordenador un virus o un troyano con órdenes ocultas.

¿Y qué hace un profesor de la Escuela de Ingeniería de Telecomunicaciones de Bilbao en unas jornadas como éstas? Dani Gutiérrez, que se queda a todas las charlas, da el sábado una sobre escaneo de puertos (métodos para ver qué conexiones de entrada y salida de un ordenador están abiertas). 'Este es el típico caso de tecnología de doble uso; los administradores de sistemas deben ponerse en la piel del malo para evitar fallas de penetración en las redes propias', explica.

Esta técnica permite saber qué ordenadores están conectados, qué puertos tiene abiertos, el sistema operativo y aplicaciones instaladas o la seguridad que lo protege. Con esos datos se puede lanzar un ataque o realizar una auditoria de seguridad.

Pancake, de Barcelona, se centra en Radare , un programa que ha creado para recuperar archivos de un disco duro cuando hay un fallo. Pero también permite manipular discos ajenos de forma on-line. Son líneas y líneas de instrucciones sobre pantalla negra, ininteligibles para los profanos, pero el software de Pancake levanta la admiración de los presentes.

Para el profesor Dani Gutiérrez en las jornadas hay 'mucho sabio en potencia'. Durante la fiesta de despedida, se ha enterado de que uno de ellos ha creado un driver que no existía para hacer funcionar una máquina. '¿Cómo es posible tanto esfuerzo en su tiempo libre para que se pueda beneficiar todo el mundo?', dice. Hay que tener, a su juicio, una combinación de un nivel técnico muy alto y altruismo.

BlindSec, empresa organizadora del evento, tiene menos de dos años pero sus creadores llevan en esto de la seguridad informática más de una década. Uno de ellos ya ganó el Boinas Negras, un prestigioso torneo de hackers en el que participaban informáticos de todo el país. Mandingo y Lord Epsylon trabajaban en compañías informáticas cuando en 2004 pensaron que lo mejor sería aprovechar su conocimiento de ambos lados de la seguridad y montar su propia firma.

Tardaron tres años en concretar la idea pero ahora ofrecen servicios de auditoría lógica, legislativa (cumplimiento de leyes como la LSSI) y física. Esta última es la que conserva una parte más lúdica. Tras un acuerdo con el cliente, ellos deben intentar acceder a sus oficinas y hacerse con información sensible. Usando técnicas de ingeniería social, engañando a quién y cómo haga falta, buscan los fallos en la seguridad de la compañía que los contrata.