Por René Mérou

Veréis; soy profesor de informática y tecnología en Baleares, España, y casi podría asegurar que la pregunta que más me han hecho el primer o segundo día, en el aula de informática ha sido: “Profe, ¿tú eres un hacker?” Si la curiosidad aprieta, no se cortan y tal y como están las cosas, la verdad es que no me extraña
.

Si tuvieseis 13 años o algo parecido, ¿no os produciría curiosidad el mundo del hacking? Pues eso hay que aprovecharlo. La curiosidad es una de las claves en el aprendizaje.

Veamos cómo, pero antes, otro enfoque...

Madres y padres

Como tutor que he sido, al presentar el curso a los padres y sobretodo a las madres, que vienen en proporción mayor, al hablar de informática, me han pedido que les hable de los peligros de internet.
Supongo que antes, lo que preocupaba era más algo de privacidad e instinto de protección, ahora creo que es más directamente la pederastia y los posibles maltratos lo que hace que pregunten “¿les vais a hablar de no poner fotos o dar sus datos a desconocidos?”.
Nos piden que hablemos de los peligros de internet, los ciberpeligros. Y es natural, lo que les preocupa sale a las noticias de los periódicos y en la tele con frecuencia y además tienen una percepción de la inseguridad muy en primera persona por el malestar en carne propia debido a virus, gusanos troyanos, phishing...
Por eso lo añado a este material, para dar un poco de guía en este asunto. Pero antes de ver cómo integro esa faceta, un último detalle que es clave para entenderlo todo.

La privacidad

Hoy en día todo el mundo asume que se esta perdiendo la privacidad, que se nos está escurriendo entre las manos e incluso, algunos más modernos, defienden que aun debe perderse más puesto que es lo que va a pasar tarde o temprano y es torpe oponerse.
No es que las comunicaciones electrónicas no sean seguras, es que hemos llegado a puntos en los que la violación de este derecho fundamental ha llegado a absurdos. Ningún juez español que yo sepa ha puesto ninguna pega a que, en los sistemas operativos de Microsoft y Apple, el Windows Media Player y RealPlayer han informado de lo que los usuarios ven o escuchan (por internet a alguien en EEUU. Ningún juez ni ningún fiscal español ha movido un puñetero dedo.
Y como éste muchos casos y mucha falta de sensibilidad. Y la impresión es que va a ir a peor.
Bien, pues manos a la obra, ayudémosles desde las clases a avanzar en los valores, los hábitos, los conocimientos y las destrezas que exige esta realidad.

¿Cómo?

Por interés en el tema, me he preparado material para una unidad didáctica sobre Hacking-ciberpeligros-privacidad. Hacking que es lo que despierta la curiosidad de los alumnos, ciberpeligros que es lo que preocupa a los padres y privacidad que es el ingrediente clave si se enfoca desde un punto de vista más técnico.
Con esos objetivos en mente he preparado un hipermapa conceptual usable a modo de presentación, que permite en unas pocas clases abordar el tema sin causar una gran desviación de la programación del curso:


Pulsar sobre la imagen superior para ir al mapa conceptual funcional
Funcionalidad

El mapa que he querido presentar en mi apreciada Kriptópolis, que ha sido para mí una referencia en el tema desde siempre, está hecho con Inkscape en forma de imagen vectorial que al clicar va pasando por las diferentes etapas de la presentación.
Uno puede clicar en zonas no señaladas y seguir digamos las transparencias o puede pulsar el botón central (de un ratón que no lo tenga asociado a otra funcionalidad) y elegir en el menú desplegable que aparece, a que momento quiere ir.
Si se sigue el orden en que aparecen las zonas del mapa, primero se verá un vistazo general para poder introducir el tema y que los alumnos lo relacionen con el mismo mapa impreso en papel que tienen.
Después, se da por iniciada la clase y pasamos a un mapa mucho menos denso pero también con una panorámica general para explicar las zonas que se van a comentar. Y luego en detalle y en grande cada una de las zonas.

Hacking

Al explicar el Hacking el mapa facilita que se mencionen las diferentes formas de entenderlo.
Ya sea como lo ven las películas que ya no tienen el personaje de la dinamita que entra en el equipo que roba el banco sino que lo han cambiado por otro que suele estar fuera en una furgoneta y que abre todo y sabe lo que pasa por todo el edificio y por donde salir cuando pasa algo.
O ya sea dividiendo el mundo entre los buenos, hackers y los malos, crackers. Que es un punto de vista bastante extendido.
O ya sea como un tercer punto de vista más incluyente y detallado defiende: que el hacking es disfrutar encontrando soluciones sorprendentes a temas complejos y eso incluye los hacklabs de Debian o los de KDE; que los crackers son hackers pero especializados en temas de seguridad y cosas como romper protecciones por cifrado y que los que realmente cometen delitos, por mucho que sepan no son hackers sino delincuentes; Ciberdelincuentes. Cada uno con unas características.
Así el profesor muestra la información plural y dice: “los medios y las películas juntan estas zonas, algún periódico y otra gente lo ve de esta otra forma, y algunas comunidades ponen especial interés en que no se confundan los detalles y que no se les clasifique mezclándoles con la delincuencia”.
En Internet podemos encontrar todo tipo de hacks, exploits o técnicas, en foros, Youtube, revistas, blogs especializados... Así que toda la información ya se encuentra al alcance de las manos de cualquiera que un día tenga curiosidad o incluso antes con las redes sociales actuales. La diferencia es que un profesor puede intentar adaptar el nivel de profundidad, puede fijarse unos criterios didácticos, puede mostrar los valores propios del tema y así, realizar su labor, ayudar al alumno a aprender a vivir en libertad. No es lo mismo ver simplemente una charla de un hacker en youtube, lo que es mucho más frecuente de lo que muchos quieren darse cuenta, que recibir una clase de un profesor de una forma más integral.

Valores

Una de las claves del hacking son sus valores. Privacidad, Ética hacker, transparencia, libertad, habilidades técnicas y naturalmente todo lo relacionado con seguridad. La sección de los valores de los hackers es clave a la hora de contagiar precaución en privacidad y por eso toca asuntos como el sexting o la precaución con las contraseñas.
Si se trata de aprender a vivir en una realidad que tiene las tentaciones de las que luego se habla, creo que es necesario comentarles las experiencias de la gente en la red y la valoración de riesgos que ayuden a desarrollar una actuación responsable.
Por ejemplo, yo suelo comentar que los equipos de seguridad no se han quedado parados en sus posiciones de partida. Tanto las medidas de seguridad como la complejidad de los ataques han ido incrementándose en una carrera como la de los cañones y las murallas: más alto dispara el cañón, pues más fuerte y alta la muralla y viceversa.
Alumnos de secundaria o incluso bachiller, no pueden esperar meterse en la CIA y que entren a la primera sin que pase nada. Lo que ocurrirá es que estarán en un honeypot, en un ordenador trampa en el que pensarán que hacen algo pero lo único que lograrán serán las risotadas de los vigilantes que estén viendo lo que hacen en sus monitores. Y luego las consecuencias.
Hay que enseñar que experimentar es interesante pero que no es lo mismo probar cosas en tu casa con tu pc que probarlas con el pc de una agencia de seguridad o una empresa cualquiera. Tienen que saber que las penas son muy duras y eso sin encontrarse con un sicópata al otro lado que casualmente tenga conocimientos técnicos, detecte el ataque y les coja manía.

Ciberpeligros

Nada más empezar la clase y con el mapa en su primera vista, abro el navegador y les demuestro lo sencillo que es enviar un email haciéndose pasar por otra persona. No dura más de tres minutos y me ayuda a enseñar en detalle como confirmar que un email es falso. Esto les abre los ojos.
No necesito ir luego más allá de decirles que si yo hago eso en 3 minutos, no se pueden imaginar lo que puede hacer la mafia contratando a gente técnicamente muy hábil, trabajando en equipo y 12 horas al día durante meses.
El mapa nombra y enlaza términos como el grooming y así puedo seguir explicando y solo tengo que ir ajustándome al tiempo que me he marcado inicialmente con la flexibilidad que decida.

Eventos y tipología

Por supuesto no puedo explicar el mundo del hacking sin nombrar al menos algunos de los eventos que se realizan y dar algunos detalles. Y lo mismo pasa con los tipos de hackers. Les resulta bastante interesante que explique que si el hacktivista es más activo en intentar conseguir efectos sociales, que el hacker artista le gusta el comunicar y la estética y ya no digo lo interesante que es explicar diferentes tipos de hacking a software o hardware.
Se hace un poco más difícil, por lo complejo técnicamente, explicar o más bien introducir algunos términos, sobretodo a edades tempranas; pero al alumno, que su curiosidad le tiene excitado, no se lo parece, es todo atención.
Para que se vea el grado de aceptación de estas sesiones, he de decir que suelen los alumnos mostrar su sorpresa y agrado hasta tal punto que llegan a aplaudir. Y no solo cuando otros profesores me invitan a hablar este tema en sus clases, incluso en mis propias clases a alumnos que les enseño otras cosas y están acostumbrados a mí, me lo han agradecido con aplausos y otras formas como pedir que continúe así el curso. Es algo extraordinario, no suele pasar. Y resulta gratificante.

Mi experiencia

No hay formación para los profesores sobre el mundo del hacking, muchísimos simplemente lo desconocen del todo y la reacción es no querer entrar por miedo, por no querer meterse en líos.
Un ejemplo de mi propia experiencia con el email falso: el primer año que empecé a hablarlo en clase cometí un par de errores, intenté dar un poco de mi experiencia a chicos que no eran exactamente mis alumnos y no coordiné el tema con otros profesores del departamento. Y de entre los cinco grupos míos y uno que no lo era, hubo un alumno que decidió, unos meses después, buscar la forma de hacer algo que yo había mostrado que se podía hacer para que viesen el peligro. Les demostré que era fácil hacerlo y les enseñé a detectarlo; quería que supiesen cómo actuar.
Mis compañeros se sintieron mal y muy decepcionados conmigo. El director del centro tuvo que intermediar con el padre que también se sentía enfadado por la respuesta del niño: "me lo ha enseñado un profe" sin entender la situación. Se podría resumir en que todos mis jefes y mis compañeros de departamento pensaban que eso no se debía enseñar.
Yo me disculpé y dije que si lo hubiésemos hablado y coordinado antes, esto no hubiese pasado y les dije que prepararía material didáctico y lo coordinaría con el siguiente departamento que me tocase. Fueron comprensivos y la tensión se relajó.
Y es cierto. Al año siguiente, sin tener aún el material, lo comenté con mi nuevo departamento y recibieron la idea con muchísimo interés y acabé dando clases sobre este tema a grupos de otros profesores.

Libre

Uno de mis objetivos es parar la idea extendida de que el hacking es un mal para la sociedad, lo que es consecuencia de la falta de comprensión del término. Miro siempre de comentar que si quitamos al hacker del mapa los que se aprovechan de que haya agujeros de seguridad para hacer daño a la gente van a estar más tranquilos.
Que los hackers en la práctica, con sus valores, con su full disclosure, con su activismo, no solo o no son el peligro, sino que son muchas veces los que detectan los fallos de seguridad y avisan y ayudan a ser conscientes de los peligros y a que sean corregidos.
Cuando alguna vez me preguntan compañeros "¿Qué tal el día?" de vez en cuando respondo excitado: "hoy les he dado una clase de hacking". Algunos abren los ojos en un gesto de sorpresa y preocupación. Lo que no saben es lo que disfrutamos y lo fácil que es hacerlo bien, mejorando su educación.
Me gustaría que otros profesores supiesen que pueden usar este material y compartir conmigo sus dudas si quieren, que yo les hecho una mano en lo que pueda. Se usa en dos o tres sesiones dependiendo el nivel, desde segundo de ESO a bachiller.
Todo el contenido del mapa es libre. Puede usarse sin tener que pagar y adaptarse a lo que se necesite e incluso venderlo, que yo estaré encantado de ver que alguien lo usa. Y de hecho, así ha sido cuando me he dado cuenta de que en una conferencia en Perú, al otro lado del mundo, a alguien le ha resultado útil a la hora de explicar algo.
Si me informáis de que lo habéis usado me daréis un gustazo y si detectáis algún error o posible mejora comentádmelo que me interesa y así todos tendremos las mejoras compartidas.

Por René Mérou
@ http://www.kriptopolis.com/mapa-conceptual-hacking