Project Zero, el equipo SWAT de hackers que formó Google

El británico Tavis Ormandy es una leyenda entre los expertos en seguridad informática conocidos como hackers. En la década de 1990 eran una cultura underground, como el hip-hop. Hoy una miríada de organizaciones, desde gubernamentales hasta delincuenciales, les pagan una fortuna por sus talentos. Pero Ormandy tiene una oficina en la sede de Google en Mountain View, California, y un salario.

Es una de las estrellas del Project Zero, un equipo que la compañía formó no para que vigilase su propia seguridad —algo que todas las empresas hacen— sino la ajena. En todos los rincones de internet.

No se trata de altruismo comercial: la revista Fortune explicó que los logros de Project Zero "benefician de manera indirecta el negocio central de Google, la publicidad en línea". Al proteger a los usuarios de la red se garantiza la utilidad de esos avisos.

"Las crisis de seguridad aumentan en el mundo entero", escribió Robert Hackett en su artículo sobre el equipo. "Todas las empresas se han convertido en empresas tecnológicas, y cada vez más el hackeo es un lugar común, que vacía las cuentas bancarias comerciales, espía a los individuos e interfiere en elecciones".

El Centro de Recursos sobre Robo de Identidad (ITRC) informó que en 2016 las compañías y las agencias del gobierno de los Estados Unidos denunciaron 40% más violaciones de la seguridad informática que el año anterior. Por un lado, es un rubro laboral que no logra cubrir sus puestos: Cisco estima que hay un déficit de 1 millón de empleos en seguridad informática. Por otro lado, la velocidad del desarrollo de productos hace que la gran mayoría del software se comience a usar antes de que se termine de investigar sus posibles fallas.

El peritaje determinó —para mayor fastidio de Sergey Brin, el co-fundador de Google que se molestó particularmente por el ataque— que la falla que habían explotado los hackers no estaba en el software de Google sino en el Internet Explorer 6 de Microsoft.

Para que la seguridad de su empresa no dependiera de la de otras, Brin comenzó a pensar en una estrategia distinta.

En ese momento Ormandy alertó sobre una falla en el sistema operativo Windows, y ante la falta de solución de Microsoft hizo públicos los detalles. Poco más tarde hizo lo mismo con Java, luego de que Oracle no prestara atención a su advertencia sobre una vulnerabilidad de su software.

"Sin la amenaza de que un investigador la haga pública, razonó, las empresas sienten poca presión para corregir una falla a tiempo", explicó Hackett.

"Google formó Project Zero oficialmente en 2014, pero los orígenes del grupo se remontan otros cinco años atrás", rastreó Fortune. En 2009 pasó algo que cambiaría la perspectiva del gigante de Internet: un grupo de ciberespionaje asociado con el gobierno de China hackeó a la empresa, y a otras así de enormes: ingresaron a sus servidores, robaron su propiedad intelectual, espiaron a sus usuarios.

En 2014 Google formalizó Project Zero, cuyo nombre alude a las fallas que permiten ataques de día cero: agujeros de seguridad desconocidos para los cuales las empresas no tienen siquiera un día para prevenir. El ex jefe de seguridad de Google Chrome, Chris Evans, convocó a Ormandy, al también británico Ian Beer, al neozelandés Ben Hawkes y a George Hotz, un adolescente que había ganado USD 150.000 al desmantelar el código del navegador en una competencia.

La primera noticia pública de Project Zero la dio Apple en abril de 2014, cuando agradeció públicamente el hallazgo de una falla grave de Safari "a Ian Beer, de Project Zero de Google". Dos meses más tarde Microsoft combatió un código malicioso que podía burlar su protección "con la ayuda de Tavis Ormandy, de Project Zero de Google".

Evans admitió la existencia del grupo SWAT informático en la página web de Google: "Uno tendría que poder usar la web sin temor a que un criminal o un agente de un estado esté explotando un error para infectarle la computadora, robarle secretos o vigilar sus comunicaciones", explicó la razón de ser del equipo que hoy, dado que Evans pasó a Tesla, dirige Hawkes.

En sus tres años de existencia oficial, Project Zero "se ha ganado la reputación de ser el detector de vulnerabilidades más efectivo del planeta", según Fortune. Sus nombres —además de los citados, James Forshaw, Natalie Silvanovich y Gal Beniamini— no resuenan como los de las Kardashian, pero su trabajo es pionero en un área central de la vida contemporánea: la seguridad pública.

Sintentió Hackett: "El mundo tiene una deuda de gratitud con ellos por asegurar los dispositivos y los servicios que dominan nuestras vidas digitales. El equipo es responsable de una lista de mejoras en los productos de otras empresas, incluidos el descubrimiento (y la colaboración para corregirlos) de más de 1.000 errores en sistemas operativos, antivirus, administradores de contraseñas, archivos de código abierto y otro software".

LEA MÁS: