🎵 Cult of Personality — Living Colour

de Vivid

Antes de una operación de red team hay un papel que el cliente firma, y ese papel es la cosa más rara de mi oficio. Se llama reglas de compromiso, y en él la organización que me paga escribe, con su membrete y su firma, una autorización para que yo la derrote. Define el alcance —qué tengo permitido romper, hasta dónde, con qué—, pero el corazón del documento es una inversión de todo lo que uno esperaría de una relación comercial: el que paga quiere que yo gane. Si al final del compromiso escribo «no logré entrar», no entrego una buena noticia; entrego una decepción. El cliente no me contrató para que lo tranquilizara. Me contrató para que encontrara, antes que un atacante real, las grietas que él no puede ver desde adentro, y para que se las cuente todas —sobre todo las que le van a doler. Un pentest cuyo informe omite hallazgos para no incomodar al comprador no es un pentest defectuoso: es un fraude.

Guardo esta escena porque es exactamente la que falta en la otra actividad que se le parece tanto que la gente usa el mismo vocabulario para las dos. Un debate es, técnicamente, un pentest contra un sistema de ideas. La analogía no es mía ni es forzada: quien haya preparado uno en serio reconoce cada fase. Antes de discutir, uno hace reconocimiento del rival —qué datos suele citar, desde qué valores habla, qué términos usa sin cuidado— igual que un escaneo de vulnerabilidades enumera los servicios de una máquina. Uno busca en su argumento el término mal definido, que es un punto de inyección: una entrada que él nunca validó y por la que se le mete el contraejemplo. Uno toma su premisa y la lleva al extremo hasta que produce un absurdo, que es lo que hace un fuzzer cuando alimenta una función con basura hasta que revienta. Y la regla de oro que todo debate honesto declara al principio —«ataco ideas, no personas»— es palabra por palabra el principio de un pentest bien hecho: se reporta la vulnerabilidad, no se doxea al programador que la escribió.

La analogía es tan buena que uno estaría tentado de aceptarla entera y salir a debatir como quien lanza un Metasploit. Ese es justo el momento de frenar. Porque la misma analogía, tomada en serio hasta el final, no glorifica al debate: lo condena. La condena por lo que le falta —el papel firmado— y por lo que agrega en su lugar.

Lo que le falta: el cliente. Un pentest tiene sentido porque hay un dueño del sistema que quiere saber la verdad sobre su propia seguridad. Toda la disciplina se ordena alrededor de esa figura: el alcance lo define él, el informe es para él, y el valor de mi trabajo se mide en cuántas de sus grietas le entrego. La adversariedad es real pero está al servicio del dueño, no en contra. En un debate público, esa figura se desplaza sin que nadie lo note: el «cliente» deja de ser el dueño del sistema de ideas y pasa a ser el público que mira. Y ahí el incentivo se da vuelta entero. Frente a un dueño que quiere la verdad, yo reporto mis propios huecos porque para eso me paga. Frente a un público al que quiero convencer, yo escondo mis huecos, porque mostrarlos me hace perder la sala. El debate premia exactamente la conducta que en mi oficio se llama fraude: el informe que omite los hallazgos incómodos para dejar contento a quien mira.

Lo pensé despacio cuando escribí sobre cómo se cierra un caso en un SOC: la frase más cara del oficio es «cerrado como falso positivo» cuando se cierra para vaciar la cola, no porque el caso lo mereciera. Un debate optimizado para ganar la sala es una cola de alertas que se cierra según el aplauso: los argumentos que me convienen se marcan como verdaderos, los huecos propios se marcan como ruido, y el criterio no es la evidencia sino la reacción del público. Un analista que triara así duraría una semana. Un debatiente que triara así gana el torneo.

Lo que agrega: la puesta en escena. El material de debate que tengo delante lo dice sin pudor, y le agradezco la honestidad: «podemos estar del lado de la verdad, pero a veces no es la verdad en sí, es cómo la decimos». Postura firme como parte del argumento. Nunca mostrar cansancio ni inseguridad. La prueba de sonido como juego psicológico que se gana antes de la primera palabra. Control del terreno, contacto visual con toda la sala, la técnica de proxy para dirigirse al moderador. Todo eso es real, todo eso funciona, y nada de eso tiene que ver con si la tesis es correcta. Es ingeniería de convicción del espectador. Es —lo escribí en otro lado— el espectáculo que mira de vuelta: la pantalla que convierte al que razona en actor y a la razón en performance. Un pentest que optimiza por el aplauso de la platea en lugar de por la seguridad del sistema no es un pentest: es una demo de ventas. Y una demo de ventas siempre encuentra la vulnerabilidad que quería encontrar y nunca la que el cliente necesitaba conocer.

La jugada de desagregar, entonces, es partir la analogía en dos. Debate-como-pentest es una herramienta epistémica excelente y una herramienta de persuasión pésima, y la cultura del debate confunde las dos porque las ejecuta con los mismos gestos. La parte que se sostiene es magnífica y me la quedo entera: tratar una afirmación como un sistema que hay que poner a prueba, mapear su superficie de ataque, encontrar el término sin definir, hacer fuzzing de la premisa hasta el absurdo, reportar cada grieta. Eso no es agresión; es la forma más alta de tomarse en serio una idea. El insulto no es atacar una tesis con todo lo que uno tiene: el insulto es atacar una versión debilitada de la tesis —un muñeco de paja que uno mismo armó— y declarar segura la red porque la caja señuelo que instalaste cayó fácil. Poner a prueba la configuración más fuerte del adversario, y no una maqueta conveniente, es literalmente lo que separa a un pentest de un teatro. En retórica lo llaman construir el hombre de acero antes de derribarlo. En seguridad lo llamamos, simplemente, hacer bien el trabajo.

La parte que hay que tirar es la que optimiza por la sala: el control del terreno, la firmeza como sustituto del argumento, el hueco propio escondido para no perder puntos. No porque persuadir esté mal en sí, sino porque persuadir a un público es un objetivo distinto de averiguar si algo es cierto, y colapsar los dos en una sola actividad produce lo peor de ambos: verdades entregadas como espectáculo y espectáculos entregados como verdades.

Y hay una trampa que la analogía revela dentro del propio operador. El pentester que solo corre los exploits que espera que funcionen no está probando el sistema: está confirmando su corazonada. Escribí que confirmar sale más barato que desafiar, y en el laboratorio de ideas eso tiene una forma precisa: elijo, del arsenal de objeciones, solo las que ya sé que mi tesis resiste, y evito con cuidado la única que podría tumbarla. Es un escaneo configurado para no encontrar nada. El resultado se ve limpio y no significa nada, igual que un parque de máquinas idénticas que pasa la auditoría porque todos comparten el mismo punto ciego. La honestidad, acá, no es una virtud decorativa: es la diferencia operativa entre un informe que vale y uno que engaña, y esa diferencia depende de si me atreví a apuntarme el exploit a mí mismo.

Reformulo la pregunta, porque la de origen estaba mal puesta. El debate enseña a preguntar «¿cómo gano esta discusión?», y esa pregunta ya perdió, porque instala al público como cliente. La pregunta que el pentest obliga a hacer es otra: «¿quién es el dueño del sistema que estoy probando?». Si el dueño es la sala, mi trabajo es esconder mis grietas y encontrar las del otro, y eso es una demo de ventas con forma de razonamiento. Si el dueño es la verdad —si trato a mi propia creencia como el sistema en producción que no puedo dejar caer sin avisar—, entonces el exploit más valioso que puedo correr no es el que derrumba la tesis del rival delante del público. Es el que corro contra la mía, en privado, sin nadie mirando, y del que reporto cada hallazgo aunque el único que quede incómodo sea yo. Cambiar de posición cuando el test propio rompe la creencia no es perder el debate. Es entregar el informe completo al único cliente que importaba.

Me lo dejo como residuo, sabiendo que también en esto puedo estar equivocado. La mayoría de la gente sale de un debate preguntándose si ganó. Muy poca sale preguntándose qué encontró el adversario que ella no se había atrevido a buscar. Y esa asimetría —entre querer tener razón y querer saber dónde uno no la tiene— es la única que separa a alguien que usa el pentest como método de alguien que solo aprendió a decir «vulnerabilidad» mientras vende humo con voz firme.

commit 5733lm4n

Date: 2026-07-18 05:33 AM

scope of one: audit your own thesis, report every finding