Cómo la idea de un hacker para hacer de internet un lugar más seguro se ha convertido en un elemento indispensable de los sistemas operativos Windows, Linux y Mac

Jason A. Donenfeld siente una curiosidad por absolutamente todo; desde por ciudades antiguas como por las últimas tendencias en criptografía. Cuando no está trabajando en WireGuard, conocido por ser uno de los protocolos VPN más seguros del mundo, este experto en seguridad disfruta explorando la basta red de túneles de piedra caliza que hay en los subsuelos de París.

Donenfeld, de 32 años, llegó a París en 2010, tras conseguir un trabajo de verano escribiendo algoritmos para empaquetar formas. Se mudó definitivamente a la capital francesa en 2012, cuando consiguió un puesto como investigador de vulnerabilidades.

Su trabajo investigando las vulnerabilidades de las empresas le llevó a dudar cada vez más de la seguridad de los populares protocolos de redes privadas virtuales, los VPN. Consideró que el ritmo frenético al que se complicaban los protocolos, sus pobres implementaciones y la criptografía, a menudo desfasada, suponían una superficie de ataque muy preocupante. En 2015 comenzó a trabajar en WireGuard.

WireGuard es un protocolo VPN open source que es muy reconocido por su alto nivel de seguridad. En los pocos años que han pasado desde que Donenfeld lo desarrolló, WireGuard ha sido integrada en sistemas operativos como Linux, Mac, Windows, así como en iOS, Android y otros tantos.

El CEO de Signal detalla cómo se han convertido en una alternativa clave a WhatsApp sin plan de negocio ni rondas de financiación

Las VPN extienden redes privadas sobre las públicas, y permiten a los centros de datos de distintos continentes conectarse directamente entre sí. También deja a los usuarios enviar y recibir datos como si sus ordenadores o teléfonos estuviesen conectados directamente a redes privadas.

Pueden ser algo engañosas. Aunque usuarios y compañías puedan pensar que una conexión VPN siempre va a ser segura, la realidad es que este no es siempre el caso. En parte, debido a lo dificultoso que resulta implementar protocolos caducos, complejos o inseguros como IPSec u OpenVPN.

"Cuando digo que no me siento cómodo con las implementaciones de OpenVPN o IPSec, hablo desde la experiencia, porque he encontrado un montón de errores en este tipo de software", detalla.

Donenfeld detalla que el tiempo que ha invertido irrumpiendo en este tipo de sistemas es lo que le ha permitido aprender cómo se pueden defender.

"El cómo evitas que te detecten en una red puede ser un problema similar al cómo evitas que los ciberatacantes sepan de ti", detalla.

Esta startup de cibersegurdad envía un disco duro encriptado con bitcoins a sus solicitantes de empleo para detectar a los hackers con más talento

Parte de la reivindicación de WireGuard es cómo mantiene la seguridad mediante distintas vías, eliminando todo tipo de vulnerabilidades. Es de alta velocidad. Utiliza técnicas de defensa profunda, una serie de mecanismos para cada capa e información. Y es difícil de asaltar: solo transmite datos cuando es necesario y permanece invisible cuando la gente escanea desde sus servidores.

Además, es fácil de auditar. Al contrario que otros protocolos VPN, WireGuard tiene menos de 4.000 líneas de código, lo que significa que los investigadores en seguridad pueden revisar todo el código en una sola mañana. Y a menudo lo hacen.

"Es un proyecto comunitario"

El año pasado, WireGuard se fundió en el influyente kernel de Linux, que propició su rápida propagación a Windows, MacOS, iOS, Android y OpenBDS, así como en distribuciones del propio Linux como la canónica Ubuntu, Debian, Oracle Linux, el CentOS de Red Hat, Fedora y SUSE Linux.

Llegar hasta aquí no fue fácil. Donenfeld quería mantener un diseño sencillo y coherente en el que pudiese tomar decisiones cuidadosamente, estudiando cada paso. Por eso le llevó tiempo desarrollar por sí mismo WireGuard antes de que se lanzase al mercado. Solo compartió código con un par de códigos y criptógrafos.

"Contactó conmigo por primera vez cuando estaba desarrollando WireGuard y reunió varios protocolos criptográficos que quería que revisara. Propuse pequeños cambios, pero desde luego lo que había hecho era muy bueno", reconoce Jean-Philippe Aumasson, criptógrafo, escritor y cofundador de la compañía de seguridad Taurus Group.

Pero Donenfeld quería cambiar completamente algo tan elemental como la criptografía y la arquitectura de Linux, algo para lo que encontró algo de resistencia. Linux es muy popular, así que introducir cambios puede ser demasiado disruptivo. Por eso, para llegar hasta donde él quería, tuvo que empezar poco a poco, incrementando el calado de sus modificaciones, y de acuerdo con las ideas de otras personas que se subieron a bordo de la aventura.

"Así es como se desarrolla un kernel en general; es un proyecto comunitario, tienes que alcanzar consensos", defiende. "Hay una gran diferencia entre desarrollar un código open source y decir 'aquí lo lleváis' y volver a una cueva, e interactuar verdaderamente con este mundillo. Yo elegí interactuar e incluso intimar con él, lo que supuso incluso descubrir cómo se trabaja con distintas facetas".

El proceso involucró trabajar con otros desarrolladores e investigadores, dar charlas y conferencias incluso en la Kernel Recipes, en la sede de Mozilla en París, para conectar con la comunidad de desarrolladores. Todo ello mientras trabajaba en WireGuard.

España puede convertirse en una superpotencia en ciberseguridad con una fórmula sencilla: más soberanía tecnológica, una visión estratégica y una apuesta decidida por el talento

"No quería comprometer la seguridad con intermediarios. No quería hacer que WireGuard dependiese de una seguridad que no satisfaga a nadie prometiéndome que lo arreglaría más tarde. Eso nunca me hubiese resultado aceptable. Así que encontrar algo que fuese escalable y que se pudiese adaptar a mis ideales de seguridad fue un proceso muy difícil", reconoce.

Donenfeld también escribió una capa de compatibilidad para WireGuard, para que la gente pudiese subir el código en sus propios kernels —lo más profundo de un sistema operativo— antes de que se lanzara. Esto supuso una increíble tarea de escribir código del kernel para que fuese compatible con variaciones y versiones de Linux que se remontasen hasta 2013. Pero también implicaría que para cuando Donenfeld liberara WireGuard, ya habría gente usándolo.

Un intercambio de ideas

El trasfondo de Donenfeld no es el habitual en la industria, pero su mayúscula curiosidad y su trayectoria han ido a su favor.

"Hay una trayectoria muy bien definida que lleva a la gente a conseguir trabajos como profesionales criptográficos reconocidos y de prestigio", avanza Thomas Ptacek, investigador de seguridad en Fly.io. "Suele suponer sacarse una carrera, después un máster con algún programa de alguna compañía criptográfica bien conocida, y después trabajar un tiempo en un laboratorio de investigación fuera de la facultad".

Al contrario, Donenfeld se graduó en Matemáticas y Filosofía en la Universidad Columbia de Nueva York. Se crió en Cincinnati. Aunque su trasfondo no es el común, Donenfeld ha conseguido desarrollar el primer protocolo VPN formalmente verificado, lo que quiere que ha sido matemáticamente probado para ser seguro.

La directora general del INCIBE quiere que España sea el quinto país más ciberseguro del mundo: así planea conseguirlo

Donenfeld trabaja en WireGuard mayoritariamente desde casa, en el piso superior de un bloque de apartamentos que parece haber aprovechado la estructura de unas antiguas habitaciones para el servicio doméstico. Antes de la pandemia, solía trabajar desde distintas azoteas y cafeterías de París, con su portátil con Linux mientras exploraba la ciudad.

Cuando no está picando código, Donenfeld disfruta siendo parte de la escena jazzística de la ciudad. Toca una guitarra D'Angelico NYSS-3 y ha tocado en clubes como Le Caveau des Oubliettes. Últimamente ha escuchado mucho temas de John Coltrane y Bill Frisell. 

WireGuard también se financia con donaciones, algo atípico en la industria del software. Como reconocimiento a sus donantes, Donenfeld ha enviado miles de correos postales con el logo de WireGuard, que se inspira en una piedra grabada con una serpiente de la mitología Griega que vio cuando visitaba un museo en Delphi.

Guerra, espionaje, extorsión y muertes: estos han sido los mayores hackeos e incidentes informáticos en el año de la pandemia

Solo han pasado unos años, pero Donenfeld asegura que ha recibido las suficientes donaciones como para trabajar en WireGuard a tiempo completo y para contratar a otros desarrolladores para algunas tareas específicas. Dice que siempre intenta mantener el proyecto al menos un año más.

"He recibido ofertas de trabajo de compañías de Silicon Valley que sin duda me supondría una mejora en mis ingresos, al menos mejor que como autor de códigos open source", asegura.

Si alguna vez se encuentra con que ya no tiene las suficientes donaciones como para seguir mejorando WireGuard, siempre puede dedicarse al mundo de la seguridad como freelance.

La meta de Donenfeld es seguir desarrollando software profesional, de alta calidad, gratuito, open source y que pueda aprovechar toda la comunidad.

"El open sourcing y el interactuar con toda la comunidad es de hecho una gran manera de mejorar software, y eso es gracias a un estupendo intercambio de ideas", mantiene.