El estudiante uruguayo que le cuesta a Google miles de dólares pero quizá le ahorre muchos más

El año pasado, Montevideo Portal informaba sobre el caso de Ezequiel Pereira, un estudiante adolescente de la Escuela Superior de Informática del Buceo que encontró una falla en el sistema de seguridad de Google y recibió como recompensa 10.000 dólares.

Ezequiel, que se interesó en la informática con la llegada del Plan Ceibal, explicó a Montevideo Portal en aquella ocasión que no era la primera vez que encontraba fallas en el sistema y era recompensado.

Hoy, con 18 años y ya estudiante de Facultad de Ingeniería, Ezequiel volvió a encontrar otro fallo en Google, según informó ayer el diario El País y confirmó el propio estudiante a Montevideo Portal.

Ezequiel dijo a Montevideo Portal que en este caso la falla era que accediendo a unas versiones de desarrollo y prueba de un producto de Google (Google App Engine), pudo acceder a servicios internos que le permitían cambiar configuraciones y saltar limitaciones. "Podrían hasta haberme permitido ejecutar código arbitrario en los servidores de Google", explicó.

"Para acceder a esas versiones de desarrollo y prueba de Google App Engine utilicé un error que ya había reportado a Google en diciembre de 2016, por el que me habían pagado 5 mil dólares", dijo el estudiante, que aclaró que no están relacionados con los 36.000 que recibió esta vez.

Ezequiel aclaró que una vez que Google se dio cuenta de la gravedad de la falla, le pidió que dejase de investigar este fallo específico ya que podría accidentalmente romper alguna cosa sin darse cuenta. "Me dijeron que ellos investigarían por su lado y me recompensarían por el mayor impacto que determinen que podría haber tenido", contó. Aclaró que Google no le pidió que "dejara de hackearlo". "Si en el futuro encuentro algún otro fallo o algo puedo investigarlo y reportarlo sin problema, quizás hasta me vuelven a pagar si el fallo tiene algún impacto", dijo a Montevideo Portal.

"Me gusta poder decir que hackeé una de las empresas multinacionales más importantes del mundo, por lo que en ese sentido sí me llamaría hacker. Pero no soy un hacker en el sentido que la mayoría de la gente conoce, el de alguien que irrumpe en sistemas para robar información y obtener ganancias propias por medio de la desgracia ajena", agregó, al ser consultado al respecto del término "hacker" para definirlo.

De hackers y seguridad

Con respecto al rol de los hackers, Ezequiel comentó que algunos intentan mejorar la seguridad de distintos sistemas, pero "hay que actuar siempre dentro de lo permitido". "Mismo en la vida real nadie va a intentar robar un banco solo para probar su seguridad y después darles un informe si encuentran algún fallo, ya que si lo atrapan lo denunciarían por más buenas intenciones que tuviese", ilustró a modo de comparación.

Sin embargo, siente que en Uruguay las empresas no le dan la debida atención a la seguridad informática, y en los casos en que sucede algo "simplemente lo ocultan y el público casi nunca descubre que sucedió algo". "Por ejemplo, ¿cuántos se enteraron de los hackeos a UTU, que maneja datos sensibles de miles de menores de edad, a finales de 2014, principios de 2015?", se preguntó.

"En esos casos los hackers malignos tienen muchísimos incentivos, principalmente desde el extranjero, ya que pueden hacer daño casi sin atraer atención, incluso si los atrapan los trabajadores de la empresa objetivo", advirtió.

Es distinta la situación en países como Estados Unidos, aclara. "Después de varios hackeos que se revelaron al público, están buscando pila de hackers buenos para impulsar un cambio que permita asegurar los datos de millones de personas; hasta el Pentágono paga a ciudadanos por reportar fallos de seguridad (Como lo que Google ha hecho conmigo)", contó.