Hackers, Crackers, e Ingenieria - Gris, Manuel
April 28, 2017 | Author: dimitrina679 | Category: N/A
Short Description
Descripción: gggg...
Description
Contenido
Hackers y Crackers Las cajas registradoras de las tiendas en sus manos Chantaje Obteniendo las contraseñas de Gmail Las altas esferas Asalto al tren del dinero La mina de oro de las cabinas de teléfonos Accediendo a smartphones Espionaje industrial en su propia casa De carterista a hacker Los hackers de la nobleza
El espía espiado Los teléfonos listos no son tan listos A modo de resumen Breve glosario de terminología Códigos de ejemplo Direcciones útiles Aclaraciones finales
Hackers, Crackers, e ingeniería social Manuel Gris
2012 - Manuel Gris http://ManuelGris.blogspot.com Edición especial Kindle © Reservados todos los derechos. © De la presente edición: 2012 Diseño de cubierta: Reflejo Creative Número de registro: 1209302422322 No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni su transmisión íntegra (no se incluyen en este caso sinopsis, resúmenes o menciones) por cualquier medio sin el permiso previo y por escrito del autor.
Índice
Introducción Las cajas registradoras de las tiendas en sus manos Chantaje Obteniendo las contraseñas de Gmail Las altas esferas Asalto al tren del dinero La mina de oro de las cabinas de teléfonos Accediendo a smartphones Espionaje industrial en su propia casa De carterista a hacker Los hackers de la nobleza El espía espiado Los teléfonos listos no son tan listos A modo de resumen Breve glosario de terminología Códigos de ejemplo Direcciones útiles Aclaraciones finales
Sinopsis Tras el best seller de su libro "Técnicas de seguimiento", Manuel Gris regresa con su esperadísimo libro sobre seguridad informática. En "Hackers, crackers e ingeniería social" conocerás uno de los aspectos menos conocidos de los hackers mediante sorprendentes historias que te
abrirán los ojos a una realidad alternativa, a un mundo en donde nada es lo que parece. Manuel Gris nos descubre las oscuras amenazas a las que se enfrentan no sólo políticos, compañías multinacionales y gobiernos del mundo entero, sino también el ciudadano de a pie. Este libro te abrirá los ojos a la auténtica realidad hacker en el mundo de hoy.
Introducción ¿Cómo viven los hackers? ¿Cómo operan para llevar a cabo sus ardides? En este libro descubrirás la forma de actuar de muchos de los hackers y crackers, así como su manera de moverse entre el complejo entramado social, tejiendo sus sutiles redes para lograr sus objetivos. Mediante historias noveladas de las operaciones más complejas, Manuel Gris nos enseña cómo afectan, a día de hoy, las actividades de hackers a empresas y particulares. Fuera del movimiento romántico de la cultura hacker, se nos muestra un escenario de artificios sociales creado para "mantener el rebaño", la masa social, sumisa, y el cual los hackers saben aprovechar muy bien. Al margen de las corrientes políticas, escrutándolo todo, los hackers son capaces de ir más allá de los simples trucos psicológicos y pueden infiltrarse en las más altas esferas del poder. No
es en vano que gobiernos de todo el mundo, y destacadas multinacionales, recurran a ellos de manera habitual. Descubre el mundo oculto que respira y se mueve tras tu ordenador. Al final de cada capítulo encontrarás un apartado con importantes consejos sobre cómo protegerte o proteger a tu compañía de los ataques e infiltraciones descritas previamente en el texto.
Las cajas registradoras de las tiendas en sus manos La siguiente historia relata muy claramente lo fácil que es a veces adentrarse en los sitios más seguros e inverosímiles de un negocio, y de que, en realidad, hay más peligros de los que a veces suponen la mayoría de personas, profesionales del comercio o la información. Éste caso se llevó a cabo por un grupo de hackers, a los que vamos a llamar RederZ, y que nos cuentan cómo colocaron su software en una gran cantidad de comercios de todo en tipo de varios países: "Una vez pusimos el software de gestión en varias tiendas. Primero lo subimos a un famoso sitio de indexación de aplicaciones. Normalmente estos sitios facilitan al internauta programas que son freeware o shareware, pero previamente ellos los suelen probar para confirmar que, en efecto, cumplen lo que dicen y realizan las funciones para las que supuestamente lo colgó allí el programador (y que se especifican en la descripción del programa, un apartado de obligado cumplimiento al enviar la aplicación). Obviamente, nuestro software las cumplía, de modo que las pasó sin problemas. Por regla general no se suelen molestar (ni tienen tiempo material) de probar a fondo un programa. Además, para que nuestra aplicación llegara a revelarse como maligna tuvimos la precaución
de programar la necesidad de su utilización durante un tiempo, un espacio de tiempo en el que ya podíamos estar seguros de que los testeadores de ese sitio ya la tuvieran desinstalada". No tuvo que transcurrir mucho tiempo hasta que los miembros de RederZ viesen los resultados. Las aplicaciones de gestión de tiendas suelen ser muy populares, de hecho a día de hoy son prácticamente imprescindibles. Pero la mayoría son caras y, sobre todo, complejas: se requieren instalar bases de datos y configuraciones tan estrictas y profundas (como creación de elementos y campos clave dependiendo de los datos a incluir) que muchos tenderos no tienen los suficientes conocimientos para llevar a efecto una configuración adecuada. Ellos habían obviado todo eso, y habían creado un complejo entramado que desde fuera, de cara al usuario, funcionaba con las virtudes de una base de datos, pero que no lo era, por lo que el usuario podía trabajar como si se tratase de una aplicación de base de datos, pero sin la complicación y defectos de ésta. De hecho era tan flexible y cómoda que pronto se hizo famosa: "No tardaron en escribirnos felicitándonos por la aplicación. Lo utilizaban todo tipo de comercios, pero especialmente medianos y pequeños, de todas partes del mundo".
Lo que los usuarios no sabían es que esa aplicación no era más que "malware" (un tipo de software que oculta oscuros propósitos, escondido en una aplicación que, sin embargo, sí hace lo que promete). Los hackers obtenían direcciones IP (direcciones de red) de los usuarios e información sobre los tipos de conexiones que usaban. Pero eso no era lo más peligroso: "Teníamos listados de toda la mercancía que tenían, lo que vendían, el dinero que entraba en caja, las transacciones que realizaban con tarjetas de crédito... Todo, absolutamente todo." Podían haber hecho mucho daño, haberse apropiado del dinero no sólo de la tienda, sino de todos los clientes que pagasen con tarjeta de crédito, pero no lo hicieron: "Nos sorprendimos a nosotros mismos de lo fácil que había sido llegar hasta donde llegamos. No es que tuviéramos miedo, sino que jamás nos planteamos robar dinero, en realidad nunca pensamos que nuestra aplicación la fuera a instalar más de un par de personas". Finalmente decidieron cortar por lo sano: enviaron a la aplicación una actualización que se auto instalaba y modificaba el procedimiento de cálculo, de manera que
daba siempre error. "Nos escribieron multitud de correos de todas partes, notificándonos el fallo y rogándonos que lo corrigiéramos, era alucinante: ¡no querían por nada del mundo desprenderse de ella!". El grupo de hackers recuerda aquélla época con una cierta nostalgia, y advierte: "hoy en día cualquiera podría hacer lo mismo. De hecho incluso de forma más fácil, porque el mercado está copado de complejas aplicaciones de facturación y gestión de tiendas absurdas y un programa rápido, sencillo y fácil es aún más difícil de encontrar". - Protección. Protegerse de este tipo de amenazas es a veces complicado, porque las páginas indexadoras de aplicaciones en la mayoría de los casos contienen software totalmente legal. Pero mi recomendación es que siempre se descargue la aplicación desde un sitio de confianza, a poder ser desde la web del autor. Muchos de esos portales de alojamiento tienen la URL del autor del programa en cuestión: visítela. Si nota algo raro, no descargue el programa. Si el autor no dispone más que esa aplicación para su descarga, o su página es un simple link sin más información, desconfíe. Recuerde siempre que el malware no es detectado por los antivirus, por lo tanto en
éste caso no le protegerán, ya que el programa en sí es totalmente legítimo. De modo que fíese de su instinto y, en último término, consulte en foros o escribiéndole directamente al autor.
Chantaje Se tiende a pensar que los crackers y hackers pueden llegar a tener dominio casi absoluto en las compañías de telecomunicaciones, en las de gas, electricidad y, en general, en todo tipo de empresas de suministro básico para la vida diaria de cada persona. Esta es una imagen muy popularizada en películas y novelas, pero dista bastante de la realidad. De hecho, para que hoy en día un hacker pueda llegar a tener un cierto control en esas redes informáticas de ciertas compañías, necesita saltarse enormes medidas de seguridad, tanto a nivel externo (de la red hacia afuera) como interno (de la red de dentro). Eso sin contar cortafuegos y otra serie de mecanismos (hardware o software) de lo más variado. Todo esto supone la inversión de mucho tiempo, y aunque los hackers, en su inmensa mayoría, dispongan de ese tiempo -y de mucha paciencia- a veces la situación requiere medidas mucho más expeditivas. Éste es el caso de la cracker Nefty. Esta cracker se había ganado una cierta fama dentro de la Scene por lograr crackear programas menores de herramientas web shareware, como editores de mapas HTML con zonas activas y similares. También había logrado modificar el código de una aplicación de edición de fotos, pero casi al mismo tiempo la compañía lanzó una nueva versión -
bastante exitosa- de su programa, que incluía un algoritmo específico de verificación de claves a partir de lo que se denomina técnicamente como un hash, para dificultar el trabajo de los crackers. Pero eso no era lo que ahora le preocupaba a Nefty: "Estaba obsesionada con una genial aplicación que usábamos la mayoría de nosotros en clase, a espaldas de los profesores. El problema de ese programa es que era de pago, y cada diez minutos te salía una ventanita recordándotelo, era un incordio." Ella se sentía en deuda con sus compañeros, puede que fuera por generosidad o porque suponía todo un reto como cracker (o, también, y quizá no menos importante, para sentirse halagada por ello): "Yo me sentía un tanto responsable porque se la había instalado al resto de mis compañeros, y ahora casi todos ellos la usaban. Recurrían a ella en los exámenes, cuando había un ejercicio complicado para pasarnos las soluciones unos a otros... En fin, para infinidad de cosas". No le fue difícil conocer cómo estaba realizado el programa: simplemente por su modo de instalación y las librerías que usaba supo que estaba hecho en Visual Basic. Los cracker suelen trabajar con diversas herramientas de descompilación, Nefty lo explica que es
como un juego, "como programar al revés". "El programa usaba un sistema de registro sencillo pero eficaz: mediante una tabla básica de matrices, generaba todas las contraseñas, tomando como referencia el número de instalación que se generaba al instalarla. Dos copias no funcionaban con el mismo número, existían conflictos entre sí. Un método simple pero muy bien pensado para una aplicación cuyo cometido era relacionarse unas con otras". El problema es que ésa tabla de matrices la tenía el programador: "Hacerse con esa tabla representaba tener el registro de todos los programas que se instalasen, presentes o futuros". Una alternativa era incluir una aplicación crackeada en sus instalaciones (setup), una vía que intentó, pero que le dejó en punto muerto: "Por la forma de trabajar de Visual Basic necesitas sí o sí el instalador, no hay otro modo. Podría modificar el ejecutable, pero la función seguiría allí, y, al generar el número de registro el crackeo del programa no serviría para nada si había otra funcionando en red". Es entonces cuando decidió un paso muy agresivo: hacerse con la tabla completa.
"Era algo audaz, pero en aquéllos tiempos no me importaba. Me importaba más llegar un día a clase y comenzar el registro masivo de todas las copias que teníamos instaladas". No fue difícil dar con el desarrollador de la aplicación: aunque se escondía tras el nombre de lo que parecía una empresa, Nefty no tardó en averiguar que detrás estaba una sola persona. "En el código de un formulario de solicitud aparecía un destinatario con una dirección de e-mail personal, que simplemente siguiendo el hilo te llevaba a una persona física, con nombres y apellidos". Nefty le escribió y, con todo el descaro, le pidió la tabla de matrices. Era su primer paso "suavecito": "Lo hice desde una red wifi anónima, por supuesto, aunque en realidad no creí que fuera a responder". Pero lo hizo: "Se empezó a hacer el despistado, diciéndome que no sabía a qué me refería y que, si quería el programa, se lo comprase. Cuando le contesté diciéndole que no me interesaba una licencia, sino casi cuarenta, en lugar de ofrecerme un descuento pareció frotarse las manos". Como ese sistema vio enseguida que no funcionaba, dio el
siguiente paso: conseguir ella misma la tabla. Para hacerlo realizó una serie de pasos bastante inocentes, pero de un resultado prodigioso en aquéllos momentos. Ella misma nos los describe: "Primero vi mediante un whois en su página (afortunadamente era una página española, y, por obligación, en aquélla época los whois no podían ser anónimos) su nombre y apellidos, su dirección... todos sus datos personales. Gracias a eso, con una simple búsqueda di con su perfil en Facebook. Normalmente suelo mantener varios perfiles en las redes sociales, simulados, uno de chica y otro de chico, son muy útiles. Pero este tipo de perfiles para que "den el pego" tienen que tener una cierta antigüedad. Eso se consigue de una forma muy simple: no es muy difícil entrar cada semana o cada quince días a cada uno de esos perfiles de redes sociales y subir un link de, por ejemplo, un vídeo en YouTube. Con sólo ese gesto das la sensación de que tu perfil está "vivo". Las fotos que colocaba en la imagen principal, por supuesto, no eran mías, sino que las obtenía de sitios de alojamiento de imágenes que se supone privados, pero que en la práctica no son tan "privados". Las cogía de este tipo de servicios en países asiáticos o de Estados Unidos. En los lugares de Estados Unidos más profundos (zonas de Alabama o estados parecidos) la gente no sabe hablar español en su inmensa mayoría, y si ven una página en otro idioma que no sea el inglés ni siquiera la miran, por
lo que es bastante raro que te adviertan o se den cuenta de que usas su foto". Con su nombre y apellidos y su página en redes sociales (en Facebook, en éste caso), supo su número de teléfono: "El tipo ni siquiera lo tenía oculto, su número de móvil lo tenía a la vista de todo el mundo. Seguramente pensaba que así le podrían llamar con alguna oferta de trabajo o ligar más, yo que se...". La cracker también logró averiguar su fecha de cumpleaños: "En realidad la fecha de cumpleaños no la tenía en público, pero con un poco de paciencia y sabiendo dónde buscar, utilizando cachés y siguiendo sus conversaciones, pude encontrar una conversación en donde le felicitaban". De este modo averiguó el día de su cumpleaños, algo que sería crucial en el proceso de obtener lo que deseaba: "Faltaban sólo un par de meses, ni siquiera, para ése día. Así que ideé un plan. Programé un script y una pequeña aplicación. La aplicación se ejecutaría en segundo plano, totalmente invisible al usuario". El día de su cumpleaños, el programador encontró en su buzón de correo electrónico una curiosa felicitación: "¡Hola! Soy Lorena, de Facebook. Como hoy es tu
cumpleaños me gustaría felicitarte, pero hacerlo desde el Facebook me parece muy frío, así que te envío una felicitación por aquí especialmente para ti, ¡espero que te guste!". Lógicamente, la tal "Lorena" de Facebook no existía, ni siquiera era uno de los perfiles falsos de Nefty: "Jugué con su imaginación. Fácilmente podía eliminar el correo, pero sabía que no lo iba a hacer. Era un hombre, le escribía una chica para felicitarle, una chica que, se supone, además, la conocía de Facebook... Era demasiado tentador como para al menos no averiguar de qué iba la cosa. Además, todo eso ocurría el día de su cumpleaños, para felicitarle, cuando tendría seguramente la guardia baja". En el correo se adjuntaba un link, que le desviaba a una página web expresamente creada por la cracker para la ocasión, con todo el diseño de parecer una página web de felicitaciones "normal": "Incluí vínculos reales y tomé el diseño de una web real de felicitaciones, lógicamente, sin el código HTML original, sino uno realizado por mí. La subí a un sitio de alojamiento gratuito [Nefty nos rogó que no especificásemos cual] y oculté la URL con un simple frame sobre un marco de una página "legal", no fue muy difícil, únicamente hay que ser cuidadosa y sutil al
realizarlo, y confirmar que funciona, nada más. Lo bueno de este método es que puedes probarlo antes tú cuantas veces quieras, y como yo había tenido casi dos meses para hacerlo, me bastó y me sobró tiempo". La página incluía un complejo script que llamaba a un ActiveX y que instalaba un programa -de forma oculta- en el ordenador destino: "El script únicamente funcionaba en Internet Explorer, por lo que incluí una rutina de modo que, si visitaba la página con otro navegador, la animación (es decir, la postal de felicitación) no aparecía y se le advertía de tal circunstancia. Confiaba en que el interés del tipo fuera tal que accediera con el Explorer -si es que no lo había hecho ya en un primer momento-. El ActiveX simulaba ser la animación de la postal, pero en realidad lo que hacía era copiar un pequeño programa y ejecutarlo luego. Para asegurarme de que de verdad el programa lo hacía, verifiqué que otra copia se instalase en la carpeta de Inicio de Windows, de manera que se ejecutase al iniciar sesión. El propio programa tenía una simple rutina para, en caso de haberse ejecutado una vez, que no se volviera a ejecutar. En todo éste proceso no tardaba ni un minuto". Dado que la postal tardaba más que ese minuto, la cracker tenía tiempo suficiente. Nefty dejó claro que lo que hacía el mismo programa, podía haberlo programado en Visual
Basic Script, pero no quiso arriesgarse a que la víctima cortase antes la conexión y dejase el trabajo a medio hacer: "Si llego a hacerlo en el script, tardaría bastante tiempo en hacer todas las tareas que yo quería que hiciera, así que prefería asegurarme con el 'programita' independiente." Obviamente, había muchas cosas que podrían haber fallado en todo éste plan: el usuario podía cerrar la conexión antes de tiempo, la instalación -a pesar de todas las rutinas de comprobación de Nefty- podría fallar, o incluso el programa no ejecutarse como debiera. Pero a la cracker no le preocupaba: "Si eso no funcionaba, ya idearía otro plan, en eso consiste mi trabajo. Vas probando cosas hasta que obtienes lo que quieres, no pasa nada si no sale a la primera". Pero funcionó. Al día siguiente Nefty borró la página falsa de felicitación y todo rastro de ella, y borró la cuenta que había abierto en el servidor gratuito para que no se le pudiera seguir la pista hasta allí. En su correo electrónico tenía una serie de puertos de acceso al ordenador de su víctima, direcciones IP de conexión directa, y ciertas copias de archivos "interesantes" que le podrían servir, como el de registro de contraseñas de Windows.
El programa instalaba además una aplicación de escritorio remoto en el ordenador de su víctima, confirmando después la correcta instalación. Si ésta no se realizaba bien, el pequeño programa ideado por Nefty se reiniciaría la próxima vez y lo volvería a intentar, todo ello de forma automática: "Podía fallar por miles de motivos una vez, dos, cien... pero el programa seguiría intentándolo de nuevo hasta que se instalase bien, o el tipo averiguase lo que estaba pasando y se lo 'cargase'". La forma de confirmación era sencilla: simplemente se aseguraba de que el tamaño del programa de escritorio remoto instalado era el que debía ser, es decir, no tenía un menor tamaño (o no existiese el programa en la ruta). Con la aplicación funcionando, se conectó a ella a última hora de la tarde: "Ese tipo de tareas es mejor realizarlas cuando la gente está cansada de una jornada delante del ordenador. En esos casos suelen preocuparse menos de lo que ocurre y lo único que quieren es hacer otras cosas, como pasar el rato en redes sociales o jugando, o irse a la cama, en lugar de mirar y remirar qué narices le están haciendo a su computadora una cracker".
Delante de las narices del tipo, Nefty cogió el código fuente del programa, las tablas de registro, y todo lo que necesitaba, y se lo envió a un FTP anónimo: "Tenía que hacerlo cuando él estaba conectado, es decir, cuando el ordenador estuviera funcionando. Podía haber esperado a que saltara el salvapantallas, pero el tipo no paraba de hacer tonterías en el ordenador, y luego lo apagaba, de modo que me cansé de esperar. Además, ¿cómo iba a suponer que era yo?" No podemos saber la expresión que le quedaría en la cara al programador, cuando vio volar su aplicación ante sus ojos: Nefty sabía dónde ir y qué hacer, gracias a los comandos que ejecutaba en la consola de PowerShell para ver el directorio y archivos de su víctima: "Al parecer sólo tenía ese ordenador, y era el que usaba para hacer todo lo que hacía en materia de programación, y también para uso personal". No obstante tuvo que ser rápida: el hombre podía desconectar en cualquier momento. "Lo que hice fue crear un script que me trajese los archivos, principalmente la tabla, y ejecutarlo en PowerShell. Dicho script también le cambiaba la configuración de teclado, de hecho se lo desactivaba volviéndole a cargar el archivo de configuración. Sólo fue un par de toques rápidos. Mientras tanto al tipo lo tenía
entretenido mareándole con el puntero del ratón". Tras ese ataque, desapareció. Y lo hizo porque ya tenía lo que quería. Pero cometió un error absurdo, de principiante, descargándole la tabla de registro delante de él. No fue difícil que la víctima sumase dos más dos: "Al día siguiente ya tenía un correo electrónico amenazándome con denunciarme. Por supuesto, le respondí como si no sabía de lo que hablaba, ya que si le amenazaba directamente era como confirmar sus sospechas y ponerme a mí en el disparadero. En lugar de eso le dije que no sabía a qué se refería y que me dejase en paz. Pero me respondió con un correo mucho peor, llamándome de todo, y entonces fue cuando le dije que empezaría a dejarle sin línea móvil, y luego, si seguía con sus amenazas, le dejaría sin electricidad, sin agua, y hasta sin casa. Se rió retándome a que no era capaz de hacerlo". Pero sí lo era: "Cuando llegas a ese nivel de riesgo tienes que tomar medidas. Sólo tenía dos alternativas: o asustarle tanto como para que me dejase en paz, o esperar a que llamaran a mi puerta la policía el día menos pensado tras una denuncia del tipo aquél. No era algo banal, aunque él no vivía de ese programa, en realidad le iba muy bien con él, y, por lo que había averiguado, estaba contemplando la idea de hacerse autónomo o crear una compañía teniendo
a ése programa como la estrella principal. Si yo tenía la tabla de registro, podía estropearle todos sus planes registrando copias o crackeándolas con dicha tabla, o, directamente, difundiéndola. Si hacía eso en páginas de 'warez', ya podía irse olvidando de vender más programas, porque aunque los actualizase y les cambiara el sistema de registro, ya nadie se los compraría". Nefty consiguió lo que se propuso, y el tipo acabó dejándola por miedo: "Realmente debió recapacitar y darse cuenta de que yo ya no podía volverme atrás, ya no había nada que pudiera hacer, porque, aunque le devolviese la tabla de registros, él no se fiaría de mí y no se creería que me hubiese quedado sin una copia. En éste punto es cuando una, como cracker, tiene que tener la suficiente sangre fría como para confiar en una misma y seguir adelante". Pero, ¿cómo consiguió acceder a la compañía telefónica para cumplir su amenaza?: "No lo hice. No tenía tiempo de ir averiguando cómo acceder a la compañía telefónica para llevar a cabo mi amenaza. Pero yo había trabajado en una, y sabía cómo operaban. Tenía el número de móvil del tipo, y, simplemente, les llamé y les dije que me habían robado el móvil, que me bloqueasen la línea para no seguir pagando. Todo esto simulando voz de hombre, claro. Las
compañías telefónicas tienen como principio -o tenían, cuando yo estaba en ellas- el prevenir antes que curar. De modo que si alguien te llama diciéndote que le han robado su móvil, primero se lo bloqueas, aunque en las preguntas que le hagas (como fecha de nacimiento o número del documento de identidad) fallen. Y si encima les llama un tipo llorando y nervioso, el operador que reciba esa llamada no dudará de que realmente te ocurre algo malo. Lo bueno es que además podía hacer lo mismo las veces que quisiera, porque como cada vez te coge el teléfono un teleoperador nuevo, es muy difícil que vayan leyendo los casos anteriores o los "warnings" que se ponen unos a otros con el ajetreo que tienen. Así que aunque el tipo no hiciera caso y hubiese llamado para reactivar su línea, yo podría volver a bloqueársela usando el mismo sistema, hasta que se dieran cuenta en la compañía de que realmente pasaba algo. Obviamente, la llamada la hacía desde una cabina telefónica, lo más alejada posible de mi ciudad". Muchas molestias, pero mereció la pena: tras haber comprobado la víctima que realmente Nefty podía "acceder" a su compañía telefónica y dejarle sin línea, no volvió a saber más de él. Unas semanas más tarde la cracker volvió a intentar acceder al ordenador, y comprobó que ya no podía hacerlo. Seguramente había formateado y reinstalado todos los sistemas de seguridad.
Aún así, Nefty no está orgullosa de su "trabajo": "Cometí muchos errores, me confié en exceso movida por la codicia y el saber que tenía muy cerca lo que quería conseguir. Hoy en día no habría cometido tantos. De hecho, una vez dentro de su ordenador podría haber hecho lo que me diera la gana, no debería haber actuado tan a prisa ni exponerme tanto". No obstante, su consuelo es que simplemente copió un programa de forma ilegal: "Me adentré en un ordenador de otra persona. Vale, es un delito, pero si lo denunciase seguramente ahora se reirían de él, porque, aparte de mi intrusión, él no podría demostrar que yo había sido materialmente la persona que robó su tabla de registros, ni que los programas eran míos. Me ocupé muy mucho de ocultar ese tipo de pruebas". Esa es una forma de explicarlo bastante condescendiente, porque la realidad es que Nefty sí registró las copias de sus compañeros de clase, y sí colgó a su sitio de warez preferido la copia crackeada "y libre" del programa, lo que, muy probablemente, llevó al programador "a la ruina", ya que a día de hoy su programa no ha vuelto a tener actualización. - Protección. Aunque Nefty confiesa haber cometido no pocos errores,
no como cracker, sino como hacker negra, en su intrusión, lo cierto es que la víctima tuvo también muchísimos. El primero de ellos es incluir en un formulario una dirección personal, dirección que, además, usaba en multitud de cuentas de Internet y que desvelaban su identidad. No es una buena fórmula mezclar direcciones personales con direcciones de empresa. Pero más grave aún fue caer en la trampa tan antigua de clickear un enlace dentro de un correo electrónico y ejecutar un complemento ActiveX. En éste sentido, la cracker interpretó muy bien su papel de "seductora estafadora", incluso podría haber ido más allá si sus intereses fueran otros, creando un perfil falso para tal persona en su red social preferida. Otro de los errores de la víctima fue no tener un sistema para monitorear sus hilos de ejecución, y no mirar siquiera qué tenía en su carpeta de inicio o qué se ejecutaba automáticamente. Existen muchos programas para poder informarnos fácilmente de todo ello, pero muy pocos usuarios, realmente, se dan cuenta de su utilidad. Respecto al Whois en un dominio de Internet... es inexplicable que, con todos los problemas de seguridad que conlleva, los Whois no sean anónimos por defecto, y sigan dejando a la vista de cualquier intruso la dirección personal de todo ciudadano que quiera tener su propio dominio.
Finalmente, el dejarse ejecutar un script mediante shell (o de forma autónoma, como podría también hacerlo en Windows, con JScript o VBScript) y no cortar la conexión de forma inmediata, es algo que roza lo inaudito. Aunque tiene su explicación: ¿cuántos de nosotros, realmente, si vemos que se ejecuta una ventana de script deprisa y aceleradamente, se nos ocurriría como primer movimiento cerrar nuestra conexión? Muy pocos, de ahí el éxito de programas auto instalables, que no son más que virus, muy famosos y extendidos por todo tipo de páginas web. La última idea de amenazar a la cracker podría dar para un extenso debate. ¿Cómo debemos actuar cuando nos sentimos víctimas de algo así? ¿Debemos acudir directamente a la policía, o ponernos en contacto con el cracker o hacker? En la mayoría de las ocasiones, el hacker muy probablemente accedería, si se lo decimos educadamente, a querer llegar a un acuerdo. La mayoría de ellos una vez descubiertos se sienten totalmente desolados, si llamamos a la policía (en caso de tratarse de una gran compañía), probablemente jamás sepamos cómo han accedido al sistema, y los agujeros de seguridad seguirían allí, además de exponernos en gran medida a que difundan el contenido que han obtenido ilegalmente. El error que cometió la víctima en éste caso ha sido empezar amenazando a la cracker, imaginándose,
erróneamente, que ella se amilanaría. El resultado fue mucho peor, de hecho, un hacker negro podría haber llegado incluso a eliminar todo el contenido del ordenador y quién sabe cuántas cosas peores. Además, en éste caso la relación entre la acción y la cracker partía más que nada de una intuición de la víctima, y aunque es cierto que ante una investigación profunda por parte de informáticos expertos en seguridad les llevaría a ella, no lo es menos que cuando se trata de una ordenador personal y de la intromisión para obtener un programa, algunas veces la policía es más pragmática. La primera alternativa de llegar a un acuerdo con la cracker quizá hubiera sido lo mejor, pero a veces la víctima se siente tan sorprendida y cabreada, que no se toma tiempo de recapacitar en lo que mejor resultado le daría. Al fin y al cabo, para la víctima de este caso siempre le habría sido mucho mejor regalarle esas cuarenta licencias a Nefty, que no ver su aplicación distribuida gratuitamente por todos los rincones, con la consiguiente pérdida, ya irreparable.
Obteniendo las contraseñas de Gmail Darkday es un cracker que conoce profundamente la programación en diferentes lenguajes. Su último trabajo en una auditoria le aburría, él lo califica como "extraordinariamente monótono y sin incentivos". Por "incentivos" no se refiere al dinero, obviamente. Si eres muy bueno programando aún hay muchas compañías que se pelearían por ti. Pero los incentivos que le daban a Darkday en aquélla empresa (una multinacional de muchísimo prestigio, por cierto) no eran nada atractivos para él: "Te ofrecían vales de comida en su cafetería. Para mí era un castigo, era odioso. Prefiero comer a bocadillos que en cafeterías de una compañía donde lo único que te encuentras son las mismas caras hablando de su trabajo, era como seguir trabajando. También tenías transporte subvencionado, si ibas en tren te pagaban el billete (o parte del mismo). Pero yo tenía la estación a casi una hora de mi casa, perdía cada día un tiempo precioso sólo por tenerles contentos con el dinero que me daban por transporte". Para él, usar los incentivos que la compañía le ofrecía era más un castigo que otra cosa: "Te decían: ¿por qué no usas nuestros vales y nuestros
descuentos? Y si no lo hacías se enfadaban, era como si les despreciaras o algo parecido". Darkday programaba en muchas ocasiones en Power Builder, un potente lenguaje de bases de datos. Según él tenía un supervisor que desconocía totalmente ese lenguaje: "Nunca entendí cómo había llegado el chaval aquél a ese puesto. Cuando me hizo la entrevista para entrar me hablaba de cosas inverosímiles, no hacía más que insistirme preguntándome cuánto quería ganar. ¿Que cuánto quería ganar? ¡Pues lo máximo posible! La mayoría de las personas que trabajan en consultoría son estúpidas, son los restos de empleados de otras empresas que no los quieren en ninguna otra parte, o están allí porque no tienen otro sitio a dónde ir." Darkday recuerda las llamadas que le hacían desde la central: "era absurdo, me llamaban desde la central a cualquier hora y sin avisar, porque allí estaba el único tipo que sabía interpretar lo que yo programaba. ¡Y se supone que esa empresa llevaba el software de muchas de las mayores compañías del mundo!". No tardó en marchar de allí, y confiesa sentir en aquél momento un gran alivio:
"En pocos momentos me sentí más aliviado que cuando me largué de aquél sitio, era agobiante. Respiré tranquilo cuando me fui de allí". Encontró luego algún trabajo limpiando, que le permitió obtener algún dinero, aunque muy poco: "De cobrar un buen montón de dinero al mes, pasé a cobrar una ridiculez. Además, en un entorno en donde nada de lo que sabía valía ni un centavo. Algunas de mis compañeras se burlaban diciéndome que para qué hablaba de informática si primero tenía que aprender a limpiar. Tenían razón. No eran buenos tiempos, pero me sirvió para aprender un poco de humildad". Cuando acabó el contrato de limpieza se dedicó a pasarse las horas ante el ordenador: "Ya ni programaba, me pasaba días enteros en Facebook sin hacer nada. Bueno, perdiendo el tiempo, pero nada de provecho". Allí conoció a una chica que, aunque ella no estaba muy por la labor de entablar amistad con él, fue la única que le hizo medianamente caso, quizá por lástima, o simplemente porque necesitaba su ayuda en varias ocasiones, ya que Darkday le solía ayudar en las dificultades que tenía con su Mac.
Fue entonces cuando se quedó tan prendado de ella que se vio en la necesidad de conseguir el acceso a su cuenta de Gmail. La había seguido los pasos, gracias a sus habilidades, de hecho sabía todos sus movimientos en la Red: "No es muy difícil para alguien con un poco de práctica y paciencia obtener información, a veces muy valiosa, de alguna persona que te interese. Yo llegué a obtener hasta el currículum de esa chica, que había colgado en la red de una compañía y dicha empresa se había despreocupado totalmente de asegurar y privatizar el acceso a esos archivos. De hecho, usaban lo que se denomina "seguridad mediante oscuridad": suponían que sólo quienes conocieran la URL directa del PDF (el propio usuario) podría acceder. Pero no me fue muy difícil averiguarla". Llegó un momento en el que supo que había alguien que también estaba enamorado de la chica, aunque en realidad Darkday cree que era más que un amigo y que estaban en una etapa previa de noviazgo. Celoso por ese descubrimiento, se puso a la tarea de saber más. Nos cuenta cómo lo hizo: "En Gmail puedes hacer que te envíen el restablecimiento de contraseña si la has olvidado. No voy a dar los pasos que hice para lograrlo, obviamente, pero la chica me escribió por Facebook que no podía acceder a su correo. Como siempre la ayudaba en esos temas, ella confiaba
totalmente en mí, de modo que le dije que se la restablecería yo y que se la enviaría, y que, a continuación, ella la cambiara. Aceptó. No tardé ni dos segundos en configurar su correo para que reenviara todos sus mensajes a un buzón que yo manejaba. Aunque si no hubiera aceptado podría haberle enviado un link a una copia de Gmail falsa para obtener las credenciales. No es difícil de hacer y casi todos pican". Con Gmail puedes configurar de forma automática que cualquier correo que llegue a la bandeja de entrada se reenvíe a otro. Esta es una gran función, sin duda, pero su peligrosidad (y atractivo para un hacker) es que no deja huella, simplemente aparece en uno de los apartados de configuración que, por cierto, la persona que usa el correo no suele visitar casi nunca. La acción, al ser totalmente transparente, hace que el auténtico usuario ignore lo que está ocurriendo y no se de cuenta de que tenga su correo "pinchado". No obstante a Darkday no le sentó muy bien esa acción: "Me sentía mal; ella estaba en su derecho de salir o elegir a quien quisiera. Así que no tardé en volver a acceder a su correo y eliminarle la redirección, y luego deshabilitarle la contraseña para que el sistema volviera a pedirle una nueva".
- Protección. Este es un buen ejemplo de lo mucho que ofrecen las nuevas tecnologías a los hackers, y lo fácil que les resulta acceder incluso a lugares en donde supuestamente su seguridad es máxima, como Gmail. También es un buen ejemplo de lo mucho que les afecta la falta de expectativas, la rutina y la desidia que impera en la mayoría de consultoras en la actualidad, abocadas a cumplir unos plazos y a contratar a personas a las que, en la mayoría de las ocasiones, no saben bien dónde amoldarlas. También es una advertencia para todas las personas en Facebook que dejan su seguridad informática a personas totalmente desconocidas. Aunque pase mucho tiempo con determinada persona en sesiones online, tiene que tener en cuenta que la otra persona puede que no sea quien dice ser. Ciertamente, en el mundo real también se da este tipo de comportamientos, pero es mucho más peligroso cuando dejamos toda nuestra intimidad al aire en forma de currículums, dándoselos a empresas que, supuestamente, dedican grandes esfuerzos en vigilar la seguridad de sus archivos. Tenga cuidado a quienes facilita sus archivos privados, especialmente aquéllos con información confidencial, como datos privados de los Currículums Vitae.
Las altas esferas Hay otro mundo, otro estilo de vida lleno de glamour y seducción que el común de los mortales apenas puede llegar a vislumbrar su brillo. Es el mundo del lujo, de las altas finanzas, de la fama y el dinero. A Justicer se le podría definir como un "hacker negro". A él mismo le gusta definirse y que le definan así. Según su manera de ver las cosas, "los hacker blancos no existen, es simplemente una estrategia para tener contentos a la policía, a los jueces y a los políticos, pero no son reales. Todos los hackers por definición somos hackers negros. Porque entrar en un sistema para luego decírselo a la empresa, que no te han pagado ni un centavo y que, encima, te han quitado horas y horas de sueño, y que en agradecimiento la mayoría de las veces lo único que consigues es una denuncia, es de idiotas. De hecho, la prueba más clara de que los hackers blancos son solo una invención es que muchos de los que se dicen hackers blancos han acabado con sus huesos en la cárcel. ¿Qué clase de hacker blanco es alguien que acaba entre asesinos? No, los hackers blancos es simple cuento". Bueno, no deja de tener parte de razón, pero es su punto de vista. Además, es obvio que esa forma de pensar le sirve a Justicer para justificar sus propios actos. Lo que sí
es cierto es que la frontera entre hacker blanco o negro muchas veces es tan sutil que hasta a muchos de los propios integrantes de la Scene les cuesta diferenciarla. Pero el relato que nos ocupa no va de eso. Nos lleva a un mundo de flashes de luz y peligros (y también de forma de vida) ajeno a la realidad de los miles de millones de almas que pueblan el planeta, para las cuales no deja de ser unos simples reflejos de sueño que apenas pueden llegar a rozar. El objetivo de Justicer era una famosa y acaudalada empresaria, con fama mundial, a la que llamaremos "Thania": "Elegí a Thania porque es una chica a la que se supone inteligente y guapa. Lógicamente, la elegí también por ser mujer: no me producía el mismo placer y excitación si se tratase de un hombre. Ya que iba a hacerlo, ¿por qué no elegir un objetivo bonito y lindo? Bueno, en cierta forma puede que estuviera algo enamorado de ella, ¿quién no?". Justicer vivía con sus padres. Sin trabajo, apenas sin estudios -los continuos viajes de sus padres le habían hecho imposible tener una educación formal, y sus padres apenas sabían leer y escribir- aprendió todo lo que sabía de manera autodidacta: "Me pateaba todas las bibliotecas públicas en busca de
libros de ordenadores. La mayoría de ellas eran un desastre, apenas prestaban atención a los libros de informática, solamente actualizaban secciones de narrativa. Espero que eso haya cambiado ahora". Lo que no podía alcanzar leyendo libros de ensamblador o de administración de redes lo hacía con su propia experiencia, practicando y descargando manuales de Internet. Pero, ¿qué es concretamente lo que quería de Thania?: "Simple: quería acceder al contenido de su ordenador personal, saber a dónde iba, ver con quién salía, sus amistades... su forma de ser y de pensar. En definitiva: conocerla. Alguien como yo ni en sueños podría aspirar a conocerla en persona, a que me la presentaran o, simplemente, a que me hablase. Alguien como yo tenía que hacer las cosas así si quería conseguir algo de ese tipo de gente". Pero no era fácil: "Lo primero hay que entender que ese tipo de personas se mueven mucho. No son los típicos altos directivos que les hackean todo el día sus cuentas en países como Estados Unidos, que no salen de su despacho y que son adictos al trabajo. No. Este tipo de gente viaja en jets privados, hacen cruceros, tienen contactos alrededor del mundo
entero. Un día están aquí y al siguiente en las Malvinas. Pero sabiendo eso, y teniéndolo presente -porque eso explica que un día puedas conectarte por VPN a determinado ordenador y al siguiente no, y eso no quiere decir que te hayan descubierto-, hay que ser paciente". Aunque suene raro, su primera acción fue bastante "analógica": "Era una manera de incentivarme a mí mismo. Quería su número de teléfono personal, y para conseguirlo se me ocurrieron varias formas. La primera era la más fácil, y fue, curiosamente, la que funcionó. Era simple y pura ingeniería social". Justicer buscó en Internet el organigrama de la compañía: "No lo tenían en su web corporativa, o, más exactamente, no lo tenían como tal. Pero siguiendo el llamado 'mapa del sitio' pude hacerme una idea de cómo estaban estructurados los diferentes departamentos". El 'mapa del sitio" es una especie de "plano" que sirve de guía en la mayoría de los portales de Internet que son algo complejos, o de contenido dispar. En las compañías y corporaciones los diseñadores del site web suelen seguir los esquemas lógicos de la empresa, dividiéndolos virtualmente en secciones, tal y como suele estar la compañía en la realidad.
Estudiando el mapa, Justicer pudo completar los espacios que le restaban de las diferentes secciones de la empresa. Parece algo banal y que la mayoría de personas obviarían, pero eso nos da una idea de lo meticulosos que llegan a ser los hackers. Además, podría serle de mucha utilidad en el futuro: "Llegué hasta el punto más cercano que pude a Thania en la escala de altos directivos, concretamente, a su secretaría de dirección". En muchas de las empresas la Secretaría de Dirección suele ser un departamento de apoyo a la alta gerencia. No es la secretaria en sí, sino una sección auxiliar: "Llegar allí supuso obtener unos cuantos rangos de direcciones IP y números de teléfono, pero ahí se acababa todo, era un callejón sin salida". Con ese rango de teléfonos, el hacker se acercó a un locutorio telefónico: "Tenían guías de teléfonos de todas partes, algunas un poco antiguas, pero seguían siendo útiles. Normalmente la gente iba allí porque podía hacer llamadas más baratas, pero también para informarse de números de teléfonos, por lo tanto no era raro que alguien llegara tranquilamente y se pusiera a anotar listados enteros de números, no llamabas la atención".
Eso hizo él: "Había casi una página llena de números de la compañía. Curiosamente en Internet muchos de ellos no estaban, pero nadie se había preocupado de ocultarlos en la guía en papel". Se hizo con un número de secretaria: "Y llamé. Yo quería el número de la propia Thania, me imaginé que no se lo darían al primero que llamara... ¿O sí? Si no lo intentaba no lo sabría. Por regla general las altas secretarias tienen una norma básica: ser amables. Están acostumbradas a tratar con millonarios tan excéntricos y a lidiar con personajes de alto standing que tienen que ser gentiles, pero cuidadosas con la información. Algo muy difícil de complementar cuando te llama un hacker que nada tiene que perder". Y ella, obviamente, podría perder su puesto de trabajo: "O algo peor todavía: enfadar a su jefa 'jefísima'. Así que llamé y sin apenas saludarla le dije que quería hablar con Thania. Se quedó a cuadros. No se lo esperaba en absoluto. Me preguntó: '¿A qué Thania se refiere?' Le dije de inmediato, secamente: 'con Thania, ¿no conoces a tu jefa? Me dio su número pero no sé dónde está ahora, póngame con ella'. Ése 'póngame con ella' es crucial. Era una forma de decirle que ya teníamos algún negocio
juntos, que habíamos hablado en otras ocasiones. Me pidió que esperase unos instantes, y supuse que se estaría comunicando con ella por línea interna. Pocos segundos después me dijo: 'No está en éste momento'. ¡Bingo! Era lo que esperaba. De hecho, es muy probable que si llamas a ese tipo de gente de la forma que yo lo hice, sin concertar entrevistas ni citas, no esté". "Ahora tenía que dar el paso siguiente, el más difícil: tenía que ser convincente. Para dar presión, había llamado desde la calle, con número privado y con ruidos de tráfico y gente. Estaba en mi ciudad, pero ella no tenía modo de saber si llamaba desde Nueva York o Tokio: '¿podría darme su número y así la llamo yo? No tengo la agenda aquí. Necesito contactar con ella ahora mismo'. Creo que le di más argumentos, y mucha 'paja', pero en fin, en lo básico es eso lo que le dije. No dudó un instante: me dio su número privado". Justicer había obtenido, con sólo una llamada de teléfono, sin llegar siquiera ha identificarse, el número personal de Thania: "Algo increíble, pero aparte de alimentar mi ego, en la práctica no pensaba que me serviría de mucho. ¿Qué podía hacer con él? ¿Llamarla y decirle que estaba buenísima? Era absurdo. Eso sí, me sirvió como motivación para intentar conseguir mi propósito inicial".
Pero para llegar hasta su ordenador aún había un largo camino que recorrer: "Tenían muchos servicios externalizados, pero había algunos dominios que estaba claro que corrían en sus propias máquinas: servidor de correo, boletines, y servicios de suscripción parecidos". Con una herramienta de DNS inversa y escáner de puertos, intentó encontrar algún agujero por el que entrar: "Lo que quería era llegar a su VPN móvil, que seguro tenían, una compañía así siempre la tiene. No me interesaba para nada los demás servidores, a no ser que pudiera usarlos para llegar a ella". Investigando los servidores comprobó que había algunos pequeños fallos de configuración, pero nada más: "Una tarde me encontraba ya hastiado. No se me ocurría nada. Jugueteaba y garabateaba con un lápiz sobre el papel, cuando se me ocurrió algo: la red tenía una estructura en anillo, en realidad, el administrador no se había preocupado mucho de su diseño. Simplemente había comenzado con un pequeño anillo y le había ido añadiendo nodos según los necesitase. De esta manera te podías encontrar con nodos antiguos inservibles que ya nadie miraba para ellos".
Mediante un portal de archivos de Internet, Justicer logró "volver atrás en el tiempo": "Era como viajar al pasado. Iba volviendo años y años hasta las primeras páginas. Eso me hizo tener una idea más clara de los servidores y cómo los habían estado estructurando". Muchas de las direcciones de los árboles web ya no existían, pero otras sí: "Soy un experto en sockets. Me fascinan. Así que en cuanto di con un servidor que mantenía una versión antigua, fue como recibir un premio de lotería. El servidor no contenía muchas cosas, por eso precisamente no habría llamado la atención de nadie. Era simplemente algo que se había quedado atrás". Durante bastante tiempo se dedicó a escanear puertos: "Debí llegar hasta el cincuenta y pico mil. Hasta que di con uno abierto. Era un servicio IRC antiguo, seguramente para alguna sesión que habían usado tiempo atrás con el fin de comunicarse entre ellos. ¿Pero qué narices hacía un servidor IRC allí? Seguramente el administrador pensó que nadie lo usaría. Fue fácil 'engancharme' a él y hacer un listado de dónde estaba ubicado y el software que corría". Pero no podía hacer mucho con él:
"Un servidor IRC no es más que algo que enlaza entre dos puntos, pero nada más. Para llegar a él había que estar en la misma máquina que lo ejecutaba, algo impensable para mí". Pero sí podía hacer que hiciera cosas para las que no estaba, en un principio, pensado. De hecho podía hacer que funcionara como un programa de FTP (transferencia de ficheros), e incluso abriendo y cerrando puertos: "En realidad los sockets funcionan como archivos. Tú puedes escuchar, escribir, o borrar sobre ellos. Me di cuenta que podía subir al servidor el programa que quisiera, y abrir y cerrar puertos". Programó un script para que escuchara detrás del cortafuegos de la empresa: "Ellos tenían el servicio funcionando con Oracle bajo Solaris y con NFS y Remote Procedure Call (RPC). Disponían de IP móvil cuyas direcciones auxiliares eran gestionadas por lo que se denomina un Agente Interno. Accediendo a él podías acceder al tráfico que se conectase y su ubicación". La explicación técnica es farragosa, pero, básicamente, lo que hizo Justicer fue una suerte de equilibrios sobre las conexiones: "Me imagino que habrá maneras más fáciles de hacerlo,
pero en aquél momento se me ocurrió así. Lo que ideé fue una especie de 'túnel IP' que redireccionaba todo el tráfico VPN a un puerto y lo llevaba hacia el firewall, siguiendo por él. Para las conexiones era algo totalmente transparente. Yo modificaba luego los registros IP móviles, para leerlos, ya que por seguridad son transmitidos codificados y autentificados con MD5. Tras éste proceso sabía quién y desde qué dirección se conectaban, sabiendo de dónde llegaban los paquetes". Pero eso no suponía tener a Thania. Aún: "Había que armarse de paciencia. El proceso era laborioso, y a veces había tanto tráfico que era imposible de seguir o cumplir. Por eso me conectaba a horas dispares. Lo bueno es que Thania no tenía horarios, y podía estar usando su VPN en horario de trabajo, cuando el uso es masivo, o a media noche, cuando prácticamente nadie lo usaba". Y por fin, la victoria: "Tres meses después me encontré con los datos de una conexión entrante. Era una conexión por Internet con tráfico de una dirección ubicada en Singapur. Era ella con toda probabilidad. Conseguir su dirección en la red fue fácil, pero más difícil fue lograr entrar en su portátil. Tenía un firewall muy bien configurado, pero cuando establecía la conexión yo podía redirigirle los paquetes.
El firewall debía estar dándole la lata sin parar, y debía volverla loca, porque acabó desactivándolo". "En su ordenador encontré un archivo de claves. Era fácil ver su contenido: solamente tenía que ejecutar un archivo en modo local de su navegador web, algo que podía hacer por DCC (conexión directa). Alguien le habría dicho que protegiese sus contraseñas pero ella, simplemente, pasaba de hacerlo. Y esto es así porque encontré sus claves en un simple archivo .txt. Ejecuté su cámara web, ¡y la pude ver a ella! Parecía estar en la habitación del hotel, sentada en la cama. Pero la luz de activación de la cámara debió asustarla, apagó el ordenador y seguramente llamaría a su administrador de redes para consultarle el problema del firewall". Pero con las contraseñas, Justicer había conseguido acceso a toda la vida de Thania: "Podía entrar en sus perfiles sociales, en su correo, leer su agenda... Con una simple aplicación desde mi PC, aunque usaba mi smartphone con una wi-fi crackeada por el tema de los registros". Fue entonces cuando se encontró con la cruda realidad del mundo "del glamour y el éxito": "Era un e-mail que le había escrito a una amiga. Estaba en la bandeja de elementos enviados. Omitiré la parte más
morbosa, pero, básicamente, le contaba los sacrificios 'que en su posición mujeres como ella tenían que hacer'. En el correo adjuntaba dos fotos donde se la veía con un señor, muy viejo, un magnate indio en, digamos, 'posturas comprometedoras'. Busqué más mensajes de ella con ésta amiga, la cual parecía ser su pañuelo de lágrimas, y muchos eran de un estilo parecido. O le confesaba que habría vendido 'hasta a su madre' por obtener tal operación, o... En fin, como te podrás imaginar, todo el romanticismo que yo llegué a sentir por ella se esfumó en un momento. Parecía una mujer sin dignidad, sin principios". Pero recordemos que al principio decíamos que Justicer era un "hacker negro", así que... ¿Qué hizo después? "Sí, bueno, le instalé un virus muy bonito en su ordenador, que sobrescribiera su MBR. Luego le fundí varios de los servidores de su empresa. El daño podría haber sido mayor, pero no quería que me pillasen, así que mi golpe se lo llevaron algunos de los servicios más alejados al centro neurálgico que fue mi intrusión. Aún así el daño no debió ser insignificante. Unos cuantos miles de dólares seguro que les costó repararlo". Justicer no quiere confirmar si aún posee acceso a esa compañía: "Algo siempre queda, sobre todo cuando has logrado
penetrar tan internamente en las redes de una corporación tan grande. Pero ya no me motiva. Quizá si algún día se dan cuenta de algo de lo que hice y me acusan, vuelva a recurrir a ello, quién sabe". - Protección Lo que ha hecho Justicer fue algo tan profundo y salvaje, que hablar de protegerse ante este tipo de hackers es casi una temeridad, porque acabarán accediendo de alguna forma. No obstante siempre es bueno recordar que, cuanto más difícil se lo pongamos, más oportunidades tendremos de salvaguardar más partes conflictivas de nuestra red. En primer lugar, la secretaria nunca debió facilitarle dato alguno, debería haber sido informada de un protocolo a seguir ante estos casos. En segundo lugar, el administrador de la red no debería haber consentido que el mapa se estructurase según estaba la compañía, eso le dio pistas sobre a dónde dirigirse para obtener mejores resultados. Un mapa web debe diseñarse siempre de acuerdo a lo que ofrecemos en cada página, no siguiendo el orden como se erigen los departamentos. Nada que decir sobre el error garrafal y la desidia de dejar zonas abandonadas, e incluso con un servidor aparentemente inofensivo de IRC. Esto es algo intolerable que, desafortunadamente, se da con demasiada frecuencia.
Sobre la gestión y ejecución de los servicios de conexión Oracle y VPN, más que defectos de éstos es un uso equivocado. El administrador de sistemas debe pensar cuando los configura que pueden usarse de una forma diferente "a la oficial", y debe ponerse en ése supuesto para adoptar políticas de seguridad adicionales. Si se hubieran utilizado soluciones reforzadas (los enlaces inalámbricos admiten medidas accesorias de seguridad que no suelen estar documentadas pero que permiten su uso para aumentar la fiabilidad e integridad del sistema en su proceso de transferencia de datos) al hacker probablemente no le hubiera sido tan sencillo desviar los paquetes. Por último, el acceso real al ordenador de la víctima con la argucia de hacer que su firewall le resulte molesto parece algo inocente, pero que a veces da buen resultado. Siempre se debería insistir que este tipo de acciones suelen darse cuando la conexión está infestada, y que en ningún supuesto se debería tomar como solución retirar el software que nos protege.
Asalto al tren del dinero Hay una película de Hollywood que lleva ese mismo encabezado, y aunque no puedo decir que sea una de mis favoritas, su nombre viene bien para describir la historia que vamos a relatar. Las compañías dedican muchos recursos para intentar evitar que los hackers hagan estragos en sus redes informáticas, pero ¿qué ocurre cuando el peligro está dentro, cuando un "topo" se encuentra en el interior de la red, o cuando logran colar a uno? No tiene por qué ser una persona malévola o elegida "ex profeso", muchas veces puede convertirse en un peligro un trabajador que se sienta despreciado, desprestigiado o, incluso, desmotivado. Hasta el trabajador más implicado puede llegar a sentirse frustrado. Obviamente, de sentir frustración a convertirse en un hacker dista un mundo, pero por algo se empieza. La compañía de esta historia era una empresa del metal que llegó a perder miles de dólares en proyectos por culpa de un trabajador de este tipo. Este trabajador no tenía los conocimientos necesarios, ni los recursos, para lograr tales propósitos, pero coincidió con contactos que sí los tenían.
El trabajador, al que llamaremos Yerai, había sido despedido durante un ajuste de plantilla. Las compañías europeas y estadounidenses de éstos sectores industriales se ven constantemente obligadas a afrontar etapas de reconversión debido a la competencia de la industria coreana y china. Por lo tanto Yerai, como otros tantos de sus compañeros, se vieron de la noche a la mañana en la calle y rozando los cincuenta años, una edad en la que es prácticamente imposible que nadie te vuelva a contratar. Así, se vio prácticamente de improviso ahogado en deudas y con un ritmo de vida que no estaba nada acostumbrado a llevar. Yerai se pasaba la mayoría del tiempo en Internet. No era experto en informática y para nada le interesaban esos temas, pero conversaba en salas de chat y en redes sociales. Como en esos sitios es de lo más habitual que la gente se cuente sus vidas, su historia enseguida llamó la atención de Ray. Este Ray era considerado por muchos como un "gurú", una especie de profesor que enseñaba lo que no estaba en los libros a todo un ejército de "newbies" ávidos de conocimiento. Esto lo hacía en foros o canales de chat reservados y específicamente creados al efecto. Ray no tenía muchos "golpes" famosos, pero sus
explicaciones eran gráficas y didácticas y, lo mejor de todo: funcionaban. De modo que a nadie le importaba si sus acciones aparecían o no en los periódicos. Aún así, Ray quería realizar una intrusión que le diera aún más fama y prestigio entre los suyos y que, a la vez, le reportara un buen puñado de dólares. Él tenía los conocimientos necesarios en ordenadores, y Yerai la suficiente información sobre el terreno, fue sólo cuestión de tiempo que ambas personas se dieran cuenta que podían ganar mucho dinero con ello si se unían. El ex-empleado le dibujó planos precisos sobre las instalaciones más interesantes de los edificios de la compañía, con indicaciones muy detalladas respecto en dónde se encontraban las zonas de más seguridad, qué había que hacer para acceder a ellas, turnos de los guardias y de los equipos de trabajo, formas de operar de los informáticos... Especialmente valioso fue el patrón de contraseñas que descubrieron (aunque Yerai apenas se había percatado de ello). Y es que el administrador tenía una forma curiosa de codificar las claves: simplemente era el nombre de la persona (la inicial del nombre y el apellido completo, sin espacios) seguido del año en que había entrado en la compañía. Era muy fácil conocer el nombre y los apellidos, sólo había que tener sutileza y una cámara de fotos para captarlo de las identificaciones que portaba el personal. Y la fecha de entrada con un mínimo
de ingeniería social podía obtenerse. No se puede saber si era por desidia o por simple rutina de que "nunca pasa nada" que el administrador realizaba sus passwords así, pero es algo más común de lo que pensamos. De hecho, en algunas de las compañías en las que trabajé yo mismo, el administrador seguía un patrón parecido. Cuando le hice ver lo erróneo de su procedimiento poco menos que me puso el grito en el cielo y me dejó caer que yo hiciera mi trabajo y le dejase a él hacer el suyo. Éste tipo de comportamientos no ayudan en nada a las empresas, y lo peor es que cuando ya es tarde todo el mundo llora y nadie quiere hacerse responsable de nada. Ray probó desde su sistema la forma de entrar, y aunque se topó con un firewall bastante burdamente configurado y un bouncer, no consiguió ir más allá de los primeros niveles. Se le ocurrió entonces una manera un tanto absurda de llegar a los niveles superiores de la red interna de la empresa: le pidió a Yerai su pase de seguridad. El pase era una tarjeta de plástico con banda magnética, muy bien diseñada estéticamente pero con un error garrafal: llevaba el nombre y los apellidos de la persona, junto con un número, ¡pero carecía de fotografía! Es decir: cualquiera podría cogerle su tarjeta a uno de los trabajadores y suplantar su identidad. ¿Hay algún guardia de seguridad que sepa los nombres y apellidos de todos los empleados de una gran o mediana empresa, y que se
dedique a leerlos cada vez que pasan a su lado? Yo creo que ninguno. Es más, sospecho que es materialmente imposible que hagan algo así. Por lo tanto es mucho más inverosímil que, al despedir a alguien en la compañía, ésta no se preocupe en retirarle su pase. Más aún: ni siquiera en anulárselo. Porque, efectivamente, el pase de Yerai continuaba funcionando. Cualquier hacker, después de algo así, se habría dirigido a las zonas de acceso de alto nivel o al ordenador físico de control de derechos de acceso con el fin de darle a su propio pase vía libre en todo el complejo, pero a Ray no le hizo falta: Yerai había trabajado en mantenimiento, por lo que su pase tenía permisos hasta en las partes más restringidas. Podía ser suerte, pero la verdad es que fingiendo ser cualquier otro empleado no le habría sido difícil darse permisos a sí mismo, o incluso acercarse a una mesa y entretener a un trabajador mientras le robaba su tarjeta, ya que enseguida descubrió que muchos de ellos las dejaban tranquilamente en sus escritorios, o las llevaban en los bolsillos de la camisa. En último término, podía haberse hecho con el bolso de cualquiera de las trabajadoras, ya que algunos estaban en armarios de consignas en el lugar de los celadores, sin llave y en muchos momentos sin vigilancia. Simplemente acercándose a uno de los teléfonos y marcando la extensión del celador (escrita sobre el propio teléfono de
éste) podría hacerse pasar por un superior y reclamarle para cualquier cosa con el fin de que dejase libre su puesto de trabajo. Como se puede ver, había cientos de maneras de conseguir una identificación de mayor nivel, o de modificar los derechos de la suya. Ray no era especialmente hábil con las palabras, ni en las relaciones sociales, lo que le dificultaba en gran manera lograr avances en sus objetivos utilizando ingeniería social. Él prefería hacerlo todo delante de un ordenador, ante las máquinas se sentía más a gusto, más "en su mundo". Pero incluso alguien con unas limitaciones como él pudo conseguir información de mucha utilidad. Lo que hizo fue dirigirse al departamento de informática. Gracias a las preciadas indicaciones de Yerai, sabía con seguridad dónde estaba. Pero aún así preguntó a un par de trabajadores que encontró en su camino "para aclararse la garganta". El departamento de informática era una sala con varios escritorios sin dividir entre ellos y sin biombos, casi como si se tratase de un comedor o un call-center (un "centro de llamadas"). Observó disimulando con su smartphone, como si llamaba y hablaba con alguien, y luego de un rato se fue. A la hora del tentempié se acercó a la cafetería y vio en la barra a dos chicos que había
visto con anterioridad en la sala de informática. Se puso a su lado, llevando consigo su vaso de bebida, disimuladamente, y captó su conversación. Estaban hablando de fútbol. Por fortuna, ése era un tema que él dominaba, ya que también era, en cierta manera, un forofo. En un momento dado intervino en la conversación, apoyando un comentario que había hecho uno de ellos. A los dos minutos ya estaban hablando animadamente los tres. Al rato miró la hora y dijo: "¡Tengo que irme! El otro día llegó a nuestra oficina el tipo ese bajito de informática, el jefe... ¿cómo se llama?". Realmente, describió a un hombre pequeño que había visto en el departamento sólo un rato antes, y que, por su forma de actuar, parecía uno de los responsables. Uno de los chicos le dijo: - ¡Eduardo! Pero ése no es el jefe... Ray intervino: - Uno bajito... ¿El responsable de departamento cómo se llama? Porque si es Eduardo el pequeño... Pero bueno, no era pequeño, es que los nombres no se me quedan grabados, no soy bueno para eso. - No, el bajito es Eduardo, el de sistemas. Pero el de administración es Fran. Al final de la conversación había obtenido dos nombres y dos descripciones bastante útiles. Se dirigió al ascensor y
anotó en su reloj Casio DataBank ambos nombres, ya que es más fácil recuperarlos así por si se le olvidaban que no rebuscando en su smartphone, lo cual llamaría más la atención y no sería tan rápido. Al día siguiente se fue hacia las oficinas más alejadas y entró en la sala. En su mano llevaba un cable de red RJ45 que previamente tenía guardado en la funda de su notebook. Saludó a unas auxiliares administrativas y se fue a la pared. Lo enchufó a su portátil y, extendiendo el cable, se alejó hacia una sala común, diciendo: - Soy Luis, de mantenimiento, tengo que utilizar un momento la red. Abajo tenemos que cambiar las rosetas telefónicas, ya se sabe, en casa del herrero... Así que Eduardo me pidió que enchufara desde aquí. Las chicas sonrieron. Nadie le dijo nada. A nadie le pareció raro que alguien viniera con un portátil y comenzara a usarlo enganchándolo a una terminal, menos aún les parecía raro si ésa persona nombraba a uno de los responsables del departamento de informática, lo que daba a entender que los conocía. Al menos en apariencia. Ray no tardó en averiguar la forma de diseño y los protocolos de la red. El día anterior había accedido a la sala de servidores y pudo estar físicamente con los diferentes periféricos que usaban. En la red tenían
configurados enrutadores de reenvío 6to4 de direcciones IP habilitados, a pesar de que no utilizaban IPv6. Mediante el comando show-link, como administrador, también consiguió saber las interfaces que estaban instaladas. La contraseña de administrador no fue muy difícil de obtener: inicial, apellido y año en el que había entrado a trabajar allí el responsable de sistemas, cuya descripción y nombre ya había obtenido ayer, y confirmó luego con Yerai que seguían teniendo a la misma persona. No tuvo que probar muchos passwords, Yerai le indicó una cifra aproximada en la que había sido contratado. Claro, si ese era un sistema de claves totalmente seguro pensaría el administrador- ¿por qué no usarla para sí mismo? En cualquier caso, había un libro de registro para urgencias, en donde estaban escritas las claves más importantes. El mismo Yerai había tenido en una ocasión acceso a él cuando fue a repararle alguna cosa en el despacho del director general. Pero no hacía falta recurrir a ello. Tenían también un servicio NAT para el personal que se conectaba por red segura desde casa, como ingenieros y diseñadores. Configuró y editó la base de datos de hosts para su propio acceso desde el exterior y, al acabar, apagó su portátil, retiró el cable de red y se fue.
Desde el exterior recogió información de proyectos y planos de desarrollo de un inmenso valor, así como base de datos de clientes y cientos de informes confidenciales. - Protección Hemos visto cómo un trabajador que aparentemente nadie le relacionaría con el mundo de la informática, un empleado de mantenimiento en éste caso, consigue convertirse en la amenaza más seria que pone en peligro a toda la compañía. He trabajado mucho tiempo en departamentos de mantenimiento, y sé muy bien cómo se comporta, por regla general, el personal. Desde secretarias de alta dirección que se pelean con su ordenador por cualquier error y permiten que cualquiera acceda a él, hasta recintos de servidores con las puertas abiertas y un cuaderno con las claves colgado de uno de los armarios, con el fin de que cualquiera de los informáticos que llegara para solventar alguna cosa pudiera hacerlo con privilegios de superusuario, ¡asombroso! Con cosas así, no se acaba de entender cómo luego, cuando algo malo ocurre, muchos se echan las manos a la cabeza, ¡lo raro es que las filtraciones no ocurran más a menudo! Partiendo de la base de que ninguna contraseña se debería
escribir en papel, nadie debería permitir que un extraño con la sola identificación de una tarjeta sin foto se conectase a nuestra red. Y, ya que mencionamos la tarjeta de identificación, es un error que se comete muy a menudo el de no anular las tarjetas de acceso, una vez que su propietario ya no trabaja allí. Además, en lugar de bandas magnéticas, de fácil lectura y/o escritura, se deberían sustituir por tarjetas con chips, ligeramente más caras pero más fiables, que pueden incorporar incluso partes criptográficas. De esta forma es muy difícil que se copie o se acceda a su información para duplicarla. Se debería organizar la protección de la red por capas, de manera que nadie sin el suficiente nivel de acceso pudiera entrar en ella desde determinadas zonas o rangos de direcciones. No obstante, y en la compañía de la historia que precede, sus agujeros de seguridad eran tan grandes en su propio interior (debido a que suponen que todo el que acceda desde allí es usuario legítimo, lo que se conoce como "seguridad mediante oscuridad") que la intrusión podría haber llegado desde cualquier parte. Lamentablemente, ése no es un caso aislado. Conozco personas que hacen auditorías de seguridad para compañías de todo tipo, y ni quieren corregir sus errores ni les interesa, porque la mayoría creen que la inversión en tiempo y recursos no
compensa. Lo único que buscan es obtener determinada certificación. Como nunca ocurre nada, incluso muchos auditores tienen asumido que esto es así y se lo permiten. Pero ¿realmente su compañía está a salvo? ¿Cómo puede estar seguro de que no está sufriendo ya una filtración? Lo peor de todo ello es que cuando realmente se confirmen sus fallos de seguridad, será ya demasiado tarde. Así que no espere a ello, y prevéngase antes.
La mina de oro de las cabinas de teléfonos ZeZ era lo que se podría denominar como un "black hat", un "hacker negro" cuyas andanzas eran seguidas casi con el mismo interés por los miembros de la Scene como por la policía. No tiene aspecto de hacker, es un chico más bien esmirriado que parece moverse con la mirada perdida, como si todo a su alrededor fuera nuevo para él. Realizó sus primeras intrusiones en la facultad de Ciencias de la Información, en donde, comenta, "los manuales de hacking y apuntes de phreaking se movían entre nuestras manos más que los libros de estudio". Uno de sus profesores era férreo seguidor de estas técnicas: "Casi puedo decir que él nos inculcó la curiosidad y el interés por este tipo de actividades". No obstante, el profesor no hacía nada en especial: "Él nos dejaba vislumbrar parte de la metodología, luego cada uno buscábamos pasar al siguiente nivel, o no, según el interés de cada cual. Sólo 'lo dejaba caer'". ZeZ siempre tuvo dudas de que realmente el docente fuera un activista: "No creo que fuera realmente un hacker, era simplemente
alguien a quien le interesaban estos temas como mero objeto de estudio". ZeZ obtuvo una cierta relevancia entre el mundillo por haber logrado comprometer una de las aplicaciones que usan las compañías telefónicas en la gestión de sus teléfonos móviles, OPSC: "Podía activarme minutos gratis en prepago cuando quisiera, solamente incrementando los minutos en las opciones del servicio y modificando su consulta en la base de datos. Tenía barra libre absoluta. Era mejor que incrementar el saldo, porque las recargas siempre levantan sospechas, y de ese otro modo si un FronEnd lo veía, simplemente pensaría que estaría ese bono activado y no se preocuparía de más, no tienen tiempo. Además, tanto los BackOficce como los FrontEnds no son más que comerciales, simples vendedores. Ninguno tiene ni idea de informática ni de cómo funcionan las redes en sí. Además, en sus bases de datos de prepago sólo guardaban los registros de los últimos ochenta días, sabiendo que tenías ese plazo, podías aprovechar para espaciar tus llamadas y a partir de ese tiempo tu registro desaparecería. Eso se lo llegué a hacer también a algunos amigos. Mucha gente no sabe que se puede pasar un número de móvil de postpago a prepago, pero sí se puede. Muchos de ellos pasaban sus líneas a prepago para poder hacer esto. Al final lo dejé porque estaba empezando a
haber demasiado gente implicada y podía meterme en un buen lío". Fue entonces cuando decidió dar el siguiente paso: "La época dorada del hacking telefónico había pasado. Hubo momentos en que hasta un ciudadano normal y corriente sabía cómo realizar llamadas gratis en las cabinas. Lamentablemente todo eso no duró mucho, más bien era consecuencia de los rápidos cambios que se introducían en el sector, en donde hasta los técnicos estaban perdidos. Los operadores invirtieron auténticas burradas de dinero en conseguir nuevas cabinas, se puede decir que mataron moscas a cañonazos comprando cabinas que eran como cajas de caudales". Eso fue lo que le motivó a encontrar una manera de burlar esos sistemas: "En el mundo del phreaking había cierta desgana con ello, la mayoría se sentían impotentes y habían bajado los brazos en sus intentos de hackear cabinas". Pero, como suele ocurrir, no suele tardar en aparecer alguien al que le motivan ese tipo de retos: "Yo cambié la forma de afrontar el problema. Como las cabinas en sí eran casi inexpugnables, busqué la forma de infiltrarme y hackear el sistema de control y comunicación con el que operaban, es decir, la tarjeta. Ya había actuado
antes en cabinas telefónicas, pero cuando los procedimientos de phreaking eran menos sutiles y complejos, introduciendo las populares monedas sujetas por hilos o las cabezas de disquetes de 3 1/2 (la parte metálica) y luego monedas para confundir al validador". Dado que estos procedimientos no funcionan, voy a proceder a describirlos aquí, al menos para que se entienda el funcionamiento básico de una cabina de teléfonos: La cabina está dividida en varias partes, técnicamente se denomina TM debido a ello (de "Teléfono Modular"), y se pueden diferenciar también por códigos que utiliza el operador, dependiendo de dónde esté instalada la propia cabina (en una cabina cerrada, un poste, un poste múltiple, una marquesina... etc.). El TM se supedita a un SETM, que es el Sistema de Explotación de Teléfonos Modulares, y es quien controla la buena marcha y comportamiento del teléfono. Aunque la red en sí es más compleja (existen las UATM, CVF, CGEC, las conocidas como UVI... etc.) para el objeto de nuestro estudio con la información de los TM nos es suficiente. En este entramado existe un programa muy importante, el SGAT, que es el Sistema de Gestión de Averías por Teleproceso y que se encuentra bajo el SETM. Es un programa informático que se encargaba de decirle a los técnicos dónde estaban las cabinas (los TM, más bien) averiadas, y
gestionar sus rutas para aprovechar el máximo de tiempo. Hay que tener en consideración que todo el entramado estaba (y está) destinado a ahorrar lo máximo posible, incluso el carro de las monedas posee una rutina que se encarga de devolver las monedas más cercanas para evitar movimientos innecesarios y consumo eléctrico. Cada TM posee un sistema muy complejo de autodiagnosis. Por ejemplo, le envía corriente a la bobina del micrófono para ver si está conectado el auricular (de lo contrario, podría ser que el cable lo hubieran roto), hasta envíos de mensajes de operatividad (salvando las distancias, como los ping-pong en una red) cada determinado tiempo. Para evitar la introducción de monedas con hilos, cada moneda se dirige por unas canalizaciones especiales que detectan con infinidad de sensores (ópticos y magnéticos) su veracidad (miden el tamaño, grosor, resistencia magnética...). Además, el validador incluso es capaz de saber la velocidad de la moneda dependiendo de su peso al caer rodando por la rampa de admisión. Si los fotosensores no la aprueban, se envía de nuevo al cajetín de salida (de ahí que algunas monedas con un peso menor, aunque sean auténticas, no sirvan en muchas cabinas). Una válvula especial situada en el canal de entrada se cierra al paso de cada moneda, si ésta se encuentra sujeta por
cualquier cosa (por un hilo, por ejemplo), la válvula no se cerrará y la moneda no será admitida. La rampa está diseñada también con sistemas anti-atoramiento, en algunas cabinas existían fallos de diseño que hacía que algunas de las monedas se salieran de ellas y pasaran a la circuitería. Cuando el técnico llegaba, podía encontrarse la cabina cargada de monedas. Como esas monedas no habían pasado por el validador, no contaban como dinero facturado (de hecho, tampoco la cabina funcionaba). Como las cabinas incluyen un sistema de introducción de monedas para facturación (de cara a los técnicos, para que puedan introducir las monedas "que haya por allí" sin realizar llamadas), el procedimiento a seguir era realizar dicha facturación y que no los técnicos se quedaran con ellas. Supongo que dependiendo del técnico y su honradez, haría esto o no. El siguiente procedimiento era introducir la chapita metálica (lo que ZeZ menciona como "cabeza de disquete") en la ranura de la tarjeta, previamente habíamos realizado la llamada e introducido el dinero, pero, antes de que se corte dicha llamada, se introduce la tarjeta de metal. En estas cabinas existía un bug de programación que hacía que el sistema del TM no entendiera qué método tenía que cobrar, ya que se habían usado dos, y nos devolvía el dinero. Actualmente esto no funciona, puesto que se ha optado por una solución
sencilla, pero eficaz: una vez elegido un método de pago por parte del usuario, los demás se invalidan. Pero el sistema de ZeZ era más complejo, sutil y sofisticado, acorde con los tiempos: "Estudié las tarjetas de pago y cómo estaban hechas y programadas. Era una EEPROM de 256 bits con memoria permanente, debido a que se funde uno de los pins de grabación en la zona de grabación para el cliente (existían dos zonas: una de cliente y otra de aplicación). No voy a explicar el procedimiento de grabación, no porque sea 'materia reservada', sino porque es engorroso y no creo que os entretenga mucho. Lo que hice fue crear un emulador de tarjetas. Copié el procedimiento de una tarjeta prepago de cabina real, y, simplemente, cuando llegaba al final la reseteaba antes de que se acabase el saldo, con el fin de que el número de identificación (un número único que identifica a cada tarjeta y del cual no puede haber duplicados) no se invalidase. Os preguntaréis de dónde narices obtuve dicho número. Pues muy fácil: de una tarjeta nueva, sin usar". "No obstante había que tener ciertas precauciones: debías irte a cabinas donde no hubiera mucho movimiento ni miradas indiscretas para que no te vieran utilizar el 'aparatito', y, como en todas estas cosas, no abusar del crédito. Aunque lo podías usar para muchas cosas (y no
solo llamadas, las cabinas te permitían acceder a múltiples servicios incluso convertir el dinero en crédito para el móvil)". ¿Y cómo consiguió ZeZ los diagramas y circuitería de la tarjeta? "Hay que entender cómo funcionan éste tipo de empresas. Aunque la compañía telefónica ponga todos sus medios y empeño en mantener la máxima seguridad y discreción, no todo depende de ella. En la práctica ella es sólo el eslabón final de la cadena. Para que se entienda: imaginemos que la compañía telefónica Telecop -un nombre inventado- realiza un contrato con la suministradora, llamemos a esta compañía, Cayman. Con Cayman establece un acuerdo de confidencialidad, unos cánones de seguridad y un largo etcétera en el protocolo de sus tarjetas. Cayman, a su vez, lo más seguro es que subcontrate a una compañía china, por ejemplo Taycards. Con Taycards la compañía Cayman le pide que fabrique equis unidades de determinados modelos y protocolos. Taycards, que jamás ha oído hablar de Telecop, y que probablemente subcontrate muchas de las fases del diseño, le envía las referencias solicitadas a Cayman. En todo ese proceso se sucede una enorme cantidad de intercambio de información técnica, la mayoría en correos electrónicos. Si sabes qué compañía fabrica la tarjeta, no te será difícil filtrar los correos. Y para saberlo sólo tuve
que mirar la propia tarjeta". "Pero hay todavía caminos más fáciles y rápidos: la mayoría de ingenieros y muchos de los trabajadores tienen acceso a esa información. En las BBS puedes encontrar diagramas de prácticamente todo lo que quieras. El propios Windows tiene backdoors ('puertas traseras') instaladas de origen para ser utilizadas por gobiernos e instituciones estadounidenses (como la NSA). ¿Cree alguien a día de hoy que la mayoría de ordenadores posea el sistema operativo Windows o Mac, y no Solaris o Linux, por mera casualidad? Hay muchísimos intereses metidos. Muchas de las policías y agencias de espionaje disponen de programas y aplicaciones específicas realizadas por los mismos que diseñan los sistemas operativos, para poder colarse en ellos e infiltrarse. Da igual lo que hagas o lo que intentes protegerte: si usas Windows o Mac tus datos están por toda Internet como un libro abierto. Y toda esa información de las compañías telefónicas, como claves y códigos, también. No tienes ni que levantarte del sillón para obtenerla". Actualmente las bases de datos de las compañías telefónicas son más minuciosas, y pueden controlar el dinero que se consume en cada terminal dependiendo del número de tarjeta, al que va unido su valor. Si alguien sobrepasase ese límite, esa tarjeta quedaría invalidada y
no funcionaría de todas formas. No obstante el método de ZeZ sí podría seguir funcionando si el emulador utilizara números de tarjetas aún no usados. En este supuesto, cuando algún cliente comprara una tarjeta legítima con el mismo número, al introducirla en la cabina el TM le informaría en el display de que su saldo se encuentra agotado ¡aunque acabase de adquirirla! Le preguntamos a ZeZ sobre otros métodos de phreaking con tarjetas en la actualidad: "Lo que se usa muchísimo actualmente son duplicados de tarjetas de crédito, que en teoría son más fáciles de realizar y es un fraude que va en aumento. Copiar una tarjeta de crédito es muy sencillo, simplemente podemos realizar un lector con los cabezales de un reproductor de casettes antiguo, y luego decodificar con un programa informático ese archivo (grabado en forma de ondas de sonido) desde la banda magnética de la tarjeta. Se llegan a usar duplicados de lectores que engañan a muchísimas personas en los cajeros automáticos: los instalan en el lugar donde va la ranura, y, al introducir la tarjeta, se quedan grabados los datos. Luego, una pequeña cámara graba el número PIN de la víctima. Como la ranura falsa va a su vez a la ranura real, la víctima no sospecha nada. Por eso tenemos que vigilar y "tocar" siempre los cajeros, comprobando que la ranura sea una pieza que no se mueva y esté bien fija al panel, y también mirar que no haya
ningún elemento accesorio en el cajero. No obstante hay mafias y delincuentes que llegan a cambiar el frontal entero del cajero, haciendo una copia igual al original y poniéndolo encima". Ante estos fraudes, ZeZ es radical aconsejándonos para tener nuestro dinero a salvo: "Llevo muchos años en este mundo de la clonación y emulación de tarjetas. Soy uno de los pocos que ha conseguido emular los chips de las cabinas telefónicas, y casi podría clonar cualquier tarjeta de crédito de la actualidad con métodos muy sencillos. Mi consejo: que no se use dinero de plástico nunca. Ni cheques. Lleva el dinero en metálico para comprar lo que desees y así podrás controlarlo. En última instancia, puedes perder varios cientos de dólares o euros si los llevas en el bolsillo, pero con una tarjeta de crédito puedes perder todo lo que tengas en el banco". - Protección Las cabinas telefónicas en la actualidad se han convertido en todo un centro multimedia, de gran atractivo para los "phreakers". No sólo pueden realizar llamadas como antiguamente, sino convertir nuestro dinero "falso" o virtual, en dinero "real". Actualmente las cabinas funcionan con teletarjetas (que se
venden en tiendas, estancos y cientos de establecimientos) y tarjetas de crédito, además de tarjetas tipo "rasca" y tarjetas de operador. Por lo tanto, y tal como nos advierte ZeZ en su intervención que acabamos de ver, los delincuentes que obtengan una tarjeta de crédito podrán obtener no sólo dinero metálico en cualquier cajero, sino servicios en las cabinas. Pueden comprar diversos contenidos, pero también pueden usarlas para navegar por Internet de forma anónima mediante WiFi. Se han quedando ya anticuados los procedimientos de obtención del dinero directo de la cabina (de las monedas,) con procedimientos como el bloqueo (mediante arandelas de un tamaño determinado que se insertaban en el cajetín e impedían la apertura de éste, luego, a las pocas horas, y antes de que la policía fuera advertida, el delincuente llegaba y con un simple destornillados o navaja retiraba la arandela y podía sacar la recaudación el dinero sobrante o "vueltas" de las llamadas- de los incautos usuarios de la cabina; a continuación únicamente tenía que desplazarse a otra parte de la ciudad y repetir la operación; con esta sencilla maniobra podían obtener no poco dinero en una sola jornada) o los fraudes como el famoso "hilo" o la modificación de monedas falsas que se utilizan una y otra vez. No me voy a preocupar aquí de aconsejar a los
operadores telefónicos, porque son multinacionales con suficientes recursos y medios como para no requerir nuestros consejos, pero sí voy a tratar de que los usuarios se protejan. En primer lugar, el dinero gastado en una cabina es, casi siempre, dinero que el operador consigue de manera "extra". Quiero decir, el redondeo es siempre a su favor, y en algunos casos puede que tengamos suerte y no redondee nada, pero para una llamada de dos minutos podemos tener tan mala fortuna que perdamos hasta cuatro céntimos, si usamos una tarjeta o monedas. Esto, multiplicado por miles de cabinas, son muchos euros. Por lo tanto siempre que puedas, usa tu propio teléfono móvil para llamar: tendrás un mejor y mayor control del gasto y, además, podrás elegir operador. Otra de las razones por las que no aconsejo usar cabinas es porque, aunque se ha avanzado mucho en su diseño de cara a la protección y para que no les roben "a ellos", de cara al usuario no se puede decir que sea lo mismo. No son pocas las veces (por falta de mantenimiento o por errores puntuales) que te puedes encontrar que no te devuelve el dinero o que sus servicios (como recargas de teléfonos móviles) se quedan con una parte del dinero (porque el dinero salte del canal de entrada al cuerpo de la TM, o directamente no pase al validador y se quede en dicho sitio). En cuanto al carro de devolución (el carro portamonedas) no funciona tan bien como debiera casi
nunca, y el software de gestión, en lugar de ser el eficiente ASM (ensamblador) como antes, se ha convertido en un desesperante trasiego de pantallas con indicaciones nada precisas y, las más de las veces, parecen hechas confusas a propósito. Por lo tanto, ¿cual es nuestro consejo con las cabinas de teléfonos? Usarlas sólo en casos de urgencia y, siempre, con la menor cantidad de dinero posible. Porque como las probabilidades de fallos son tal altas (de fallos de funcionamiento, no me estoy refiriendo al phreaking aquí), si tienes que quedarte sin tu dinero, al menos que sea la menor cantidad posible. Porque el título de "la mina de oro de las cabinas de teléfonos" no podría aplicarse a los hackers simplemente, que obtienen pingües beneficios con ellas, sino a los enormes beneficios -afortunadamente cada vez menos- que con técnicas bastante dudosas (algunas veces por fallos de software o hardware, pero otras simplemente por políticas abusivas) que obtienen las compañías de teléfonos.
Accediendo a smartphones Los hackers suelen preferir realizar sus acciones a distancia, a ser posible sin poner las manos físicamente en sus objetivos. Unas veces es por imposibilidad material de hacerlo (los ordenadores están muy lejos de ellos y/o las medidas físicas de seguridad son complejas) y otras por la falsa sensación de seguridad que les da operar desde fuera. Pero no siempre es así. En muchas ocasiones se ven en la necesidad de usar prácticas que rozan las de los delincuentes, como las de carteristas o estafadores. En los relatos que siguen nos centraremos en ejemplos de todo ello. Cada mañana, el hacker al que llamaremos "Nik@" veía una escena curiosa por su ventana: una atractiva rubia se acercaba conduciendo su imponente Mercedes-Benz de color negro hacia una cafetería, y se detenía a conversar con varios policías que estaban allí para tomar el primer café del día. Esta simple acción despertó la curiosidad de Nik@. El hacker había observado cómo habitualmente la chica manejaba un smartphone, concretamente un Android (aunque lo viera desde la distancia, Nik@ sabía distinguir
perfectamente esos aparatos). Enseguida lo identificó como su objetivo. En el mundo moderno hacerse con ésos dispositivos es como hacerse con buena parte de la vida de su propietario (o propietaria, en éste caso): todos sabemos que la gente lleva en ellos todo tipo de información personal y confidencial. Al día siguiente Nik@ esperó tras su ventana y, cuando la chica terminó de hablar con sus amigos policías y entró en la cafetería, hizo lo mismo. Bajó con su chaqueta en la mano, no hacía frío, pero el cielo estaba nublado por lo que a nadie llamaba la atención que alguien llegase con su chaqueta colgada del brazo. Pidió un café y se sentó en una mesa vacía, a espaldas de la víctima. Puso su chaqueta en el respaldo de su silla y esperó. En un momento dado sacó su cartera. Tras mirar unos documentos, al girarse para guardarla de nuevo en el bolsillo de su chaqueta, introdujo la mano en el bolso que la chica tenía colocado a un lado de ella. Así de fácil se hizo con su smartphone. Lo metió en el bolsillo de su chaqueta al mismo tiempo que metía su cartera. Nadie se dio cuenta de nada. Pero eso no era todo. La chica tenía una fina chaqueta también colgada de su silla. Nik@ se giró, metió la mano en uno de sus bolsillos y extrajo la tarjeta de identificación, es decir, el pase de acceso, de la compañía donde trabajaba la mujer. Sin pensarlo dos
veces la introdujo en el bolsillo de su pantalón, pagó y se fue. Podría haberle cogido también la cartera a la chica, pero entonces se daría cuenta al momento de pagar. De esa otra forma, aunque se diera cuenta por el camino de que no llevaba el móvil, pensaría tal vez que se lo habría dejado en la oficina. Nadie sospecharía de él. Cuando llegó a su casa cogió el smartphone con mucho cuidado, sujetándolo con delicadeza por sus laterales entre el índice y el pulgar (ya lo había robado antes también así) y miró su pantalla a la luz. Era un smartphone Samsung, con sistema operativo Android. Este tipo de dispositivos tienen un sistema de protección básico para impedir el acceso a personas no autorizadas: se trata de un patrón que se ha de seguir uniendo con una línea varios puntos en la pantalla. Si éste patrón no se dibuja correctamente un determinado número de veces, el dispositivo automáticamente se bloquea. Pero existe una forma sencilla de averiguarlo: si se pone a la luz en un determinado ángulo, se pueden ver los trazos que ha dibujado el dedo del propietario para desbloquearlo. Sólo hay que anotar la ruta seguida para unir los puntos, dibujándola por ejemplo en un papel, en orden inverso, y seguirla (existen otras formas de saltar por encima de ese patrón de seguridad para acceder al dispositivo, algunas
requieren que el smartphone o tablet posea el llamado "modo depuración" activado, o/y activación de root; por ello, es altamente recomendable que no tengamos ninguna de estas dos opciones activadas -vienen desactivadas por defecto- o, en caso de tenerlas, desactivarlas cuando no las vayamos a utilizar). Nik@ dibujó los trazos en el dispositivo. ¡Eureka, funcionó a la primera! Dentro se encontró con toda la vida de la propietaria: acceso a sus cuentas de correo, fotos de ella, de su familia y sus amigas, su domicilio y la dirección de su trabajo... Nik@ jamás devolvió el dispositivo a su propietaria, según él, ya se había expuesto robándoselo, así que no se iba a exponer de nuevo devolviéndoselo. Aunque le envió un mensaje desde la cuenta de correo de ella y usando su propia conexión telefónica, con sólo el texto: "ahora diles a tus amigos policías que te busquen el smartphone". Según comenta fue algo infantil hacerlo, pero confiesa que disfrutó mucho. -Protección Nik@ es un buen ejemplo de ese tipo de hackers negros sin escrúpulos, capaces de utilizar todo tipo de prácticas para conseguir sus objetivos, y hábiles en diferentes métodos. Ciertamente la víctima pecó de incauta, pero esa actitud
es muy habitual en gran mayoría de personas. ¿Quienes con un sistema de protección parecido en su smartphone, se preocupan de limpiar la pantalla tras su uso? Prácticamente nadie. El hecho de dejar su bolso en el suelo en una cafetería denota también un cierto grado de confianza que acabó pagando muy caro. La tarjeta de acceso que obtuvo Nik@ podría haberle servido, asimismo, para entrar en su compañía e instalar dispositivos inalámbricos de conexión, bien a los puntos telefónicos de la empresa o mediante Internet por cable eléctrico (conocido como PLC). De haberlo hecho, estaría en la red interna de la empresa, por detrás de los cortafuegos u otras medidas de seguridad, pudiendo operar como un usuario legítimo más. Todo eso podría haberlo hecho aquella mañana, antes de que anularan la tarjeta, antes incluso de que su víctima se hubiese dado cuenta. Con éste ejemplo queda bien claro que cualquier medida de protección integral que se adopte por una compañía no debe reducirse únicamente al sistema informático, sino, y muy importante, a lo cuidadosos que han de ser los empleados con todo lo que transportan y llevan consigo, y que puede derivar en una amenaza o un riesgo potencial
para la compañía.
Espionaje industrial en su propia casa Para este tipo de hackers sirven todo tipo de argucias. El caso que vamos a relatar aquí relata la intrusión de un hacker físicamente en el domicilio de su víctima, para facilitar el acceso inmediato y así evitar la pérdida de tiempo. En realidad, dicho hacker había sido contratado por una empresa de la competencia para robar información privilegiada (secreto industrial), y era muy bueno en lo que hacía. Era conocido como Sect0r. Usó un timo para ello en donde el cliente cree que le están haciendo un favor, por lo que incluso se siente agradecido. Lo bueno de este timo es que no es necesario que el hacker tenga que disfrazarse para acceder ni tenga que fingir ser de la compañía que tiene la víctima, puede ser de otra, o incluso decir que es un electricista cualquiera. El procedimiento es el siguiente: el hacker entrará en casa de su víctima con cualquier excusa. Puede decir que es una revisión eléctrica de rutina, que van a instalar algo para el vecino y tienen que entrar en su vivienda para acceder, que es una campaña de revisión gratuita, que la compañía ha detectado "extraños" picos de tensión y que van por las casas averiguando de dónde proceden, que no le van a cobrar nada y que sólo es para ver las líneas
eléctricas... Las excusas pueden ser miles. Irá con una funda de trabajo, carnés falsos e incluso documentación con números de teléfonos (números de teléfonos de sus cómplices, claro). Si la víctima argumenta que esos teléfonos no son los números que publicitan la compañía, dirá que esos son números generales de atención al cliente, mientras que los suyos son del servicio técnico. Una vez dentro de la casa de su víctima se pondrá a mirar las habitaciones y lugares de la casa con interruptor de luz. Luego, enchufará en cualquier enchufe un aparato y se encenderán todas las luces del mismo (según el número de habitaciones y espacios de la casa) menos una. Entonces le dirá que una conexión falla porque no se enciende una de las luces LED del aparato. Da igual que su casa tenga otros interruptores y aparatos conectados, él (o ellos, ya que se suele hacer también con dos personas o más) dirán que su aparato analiza el cableado de toda la instalación. En cualquier momento aprovecharán para instalar dispositivos de conexión inalámbrica, incluso desde su propio router. Pueden también haber preparado otro router idéntico al de su víctima (tras haber confirmado, por ejemplo desde el exterior de la vivienda, la marca y el modelo), pero "pirateado" por ellos mismos, y cambiárselo en un momento de descuido, o incluso acceder a su ordenador mientras otra persona le entretiene explicándole "la situación". Para hacer toda esa tarea sólo
necesitan unos segundos. Entonces les dirán que necesitan revisar un disruptor, o cambiarlo. También les pueden decir, si les ve muy descreídos, que no existen ya disruptores como el suyo, "de cristal", pero que se lo cambiarán por uno más moderno, o que una de sus instalaciones carece de él. Si insisten en ser descreídos, les mostrarán claramente el aparato, y les dirán: - El escáner no falla, aquí no alumbra una luz, están teniendo problemas en ése sitio. Ante semejante e irrefutable hecho, accederán a arreglárselo "in situ". Sect0r llevó esta forma de estafa tan descaradamente, que incluso asegura que le cobró unos 150 dólares por una reparación innecesaria a una de las víctimas. Si se muestran reticentes, explicó, simplemente hay que decirles una explicación que casi nunca falla: "sólo traer la máquina y conectarla ya les cobran esos cien dólares, luego la reparación. Yo sólo le cobraré la reparación". Tras convencerle de no dejar pasar ésa gran oportunidad, y dado que no es recomendable que la instalación eléctrica de la casa esté con una parte "caída", el cliente accede. Entonces el hacker procederá a destornillar y
quitar cualquier enchufe o interruptor, lo más alejado posible de la mirada del timado (y previo corte de la electricidad de la casa, obviamente). Esto es lo que se llama "la resolución" de la argucia, y pueden darse varios casos: en uno, el delincuente simplemente quitará y volverá a poner el enchufe. Esto lo hará con los más incautos. Con los más desconfiados, cogerá una pequeñísima pieza de su mano y fingirá conectarla (o incluso la conectará al plástico o la meterá en el enchufe). Ése será el disruptor. También puede fingir cambiar una misma pieza del enchufe o interruptor usando un juego de manos. Finalmente, volverá a conectar la corriente, enchufará el aparato "mágico", y ¡voilá! Todas las luces del aparato se encenderán. La víctima pagará por los servicios, el delincuente le hará una factura falsa, y se irá habiendo logrado "pinchar" el ordenador y, encima, con dinero extra en sus bolsillos. Aunque descubran la estafa, nadie sospechará que el objetivo era el ordenador, sino que pensarán que era el dinero, y de ahí el sentido de todo este "teatro". Los identificarán como delincuentes comunes, no como hackers, y nadie pondrá sus sospechas en la red de la casa ni en el ordenador de la víctima.
- Protección. Lo primero, no existe ningún aparato similar, no hay un "escáner" que nos diga dónde falla la corriente simplemente enchufándolo en un enchufe cualquiera de la casa. Lo que existen son llamados "tester", y son completamente diferentes. El aparato "mágico" del hacker era un instrumento previamente preparado con LEDs, que tiene varios interruptores. Aunque la complejidad puede variar, básicamente el delincuente enciende todos los LEDs según el número de estancias en la casa, menos uno (que suele ser el segundo, o el tercero). Los interruptores están debidamente "ocultos" en la parte trasera del "invento". Una vez "reparada" la instalación, simplemente, Sect0r encendió todos los LEDs. Si llaman a su casa, compruebe la documentación, especialmente si dice tratarse de un técnico al que no ha llamado. Desconfíe de las ofertas desinteresadas e inesperadas, y de las reparaciones "in extremis". El hacker intentará ponerle tras la espada y la pared, haciéndole ver que si deja pasar esa oportunidad ahora, no la volverá a tener y habrá de pagar más. ¡Incluso
algunos tienen el descaro de amenazarlos con precintar la instalación! No deje pasar a nadie que no conozca. Pida el número de operario o de identificación, y consúltelo con la central. Esta argucia funciona muy bien porque se le pone a la víctima ante una evidencia irrefutable: el aparato dice que hay una avería, y el aparato no falla. Además, al usar términos que todos más o menos han oído hablar pero desconocidos en su parte técnica, como disruptor o pérdida de tensión, la víctima se siente perdida. Puede tener enormes conocimientos de informática, pero de electricidad seguro que son nulos. Si a esto se le une la celeridad del momento y ofrecérsele una oportunidad que no puede dejar escapar o le saldría más caro (le pueden incluso argumentar que si mantiene la instalación con esa avería se pueden llegar a quemar algunos cables y entonces "hay que perforar las paredes para cambiarlos"), estamos ante una técnica con un alto porcentaje de buenos resultados. Para el hacker, claro.
De carterista a hacker Dicen que los carteristas tienen los dedos de cirujano y las manos de guante blanco: no es broma, realmente es así. Los mejores carteristas operan con agilidad y astucia, pero también con audacia. Y es que hay que tener mucha audacia para en una décima de segundo meterle la mano en los bolsillos o chaquetas de la gente y sacarles sus carteras, su documentación o sus dispositivos móviles. Pero no todo es innato. La técnica se depura ante otros compañeros o, en su caso, maniquíes, y dedicando horas a ensayar los mejores movimientos. Al principio irán por las personas que vistan prendas similares con las que ellos han ensayado, pero, con el paso del tiempo, y, sobre todo, al ir ganando confianza, se atreverán con cualquier prenda que vista la víctima. Ser estafador y hacker son variantes que no están tan alejadas de por sí. Nos estamos refiriendo, obviamente, a los llamados "hackers negros". Los lugares más concurridos son los mejores para llevar a cabo sus delitos, tales como estaciones de bus y metro, semáforos y, en general, el transporte público a horas punta. Por lo tanto, si necesitan de determinada víctima algún dispositivo que lleve, esperarán a que la persona transcurra por esos lugares para aprovecharse de ello. No
pocos smartphones se han obtenido así. Para confirmar dónde tiene la gente sus carteras y su documentación (como pases personales a sus compañías o tarjetas de identificación) pueden también emplear diferentes técnicas, muchos simplemente se dejan guiar por su experiencia o por los bultos de los objetos en la ropa de la gente (sobre todo en verano), aunque para el común de los mortales eso pase desapercibido. Otros utilizan tácticas más depuradas y psicológicas: ponen ellos mismos carteles a la entrada de grandes concurrencias, advirtiéndoles a las personas que tengan cuidado con los objetos de valor que portan. Instintivamente muchas personas se llevarán la mano al bolsillo donde está su cartera (o lo de más valor que transporten consigo), para confirmar que sigue allí. A esto se le llama "automarcarse". El hacker, que en todo momento se haya vigilando, ya sabe dónde buscar. En otras ocasiones usan a otra persona, a colegas o incluso a amigos, que se acercará pidiéndoles dinero o, con una cartera vacía, les dirá que la han encontrado y si es la suya. Incluso insistirán diciéndoles si de verdad están seguros de que llevan la suya encima. Harán lo mismo con sus smartphones o cualquier otro objeto de valor que quieran llevarse.
Como simple medida de precaución por si algún "listillo" les dice que sí, que esa cartera es suya, introducirán cualquier cosa personal (como una tarjeta o un poco de dinero) en la cartera de cebo, y si ocurre, un cómplice, o el mismo hacker que siempre está atento, gritará de inmediato que esa cartera es suya y que contiene determinado objeto, dejando al otro como mentiroso y en una situación bastante comprometida. - Técnicas de distracción usadas por los hackers en intervención social Si la víctima permanece muy atenta y alerta para que no le roben, existen infinidad de técnicas de distracción para hacerle bajar la guardia, no únicamente la archiconocida de fingir que tropezamos. Pueden operar con un cómplice y, al pasar delante de la víctima, aquél fingirá que se le cae el smartphone. Esto llamará la atención y se armará un pequeño revuelo, e incluso la propia víctima se agachará para recogérselo, momento que aprovechará el hacker para, por ejemplo, meterle mano a su bolso o a los bolsillos traseros del pantalón. Esto último lo hará cuando la víctima se esté agachando o levantando, nunca cuando esté agachada para que no lo note al tener la prenda más ceñida al cuerpo. Para un hacker que quiere obtener determinado dispositivo u objeto con estas técnicas, son primordiales
tres cosas: ubicación, rapidez e invisibilidad. Debe aparecer y posicionarse lo más cerca y en la parte del cuerpo donde va a actuar. Luego, debe actuar sin que nadie se dé cuenta y desaparecer. Como todo esto es muy difícil, la mayoría de las veces se trabaja con cómplices, que o bien le ayudan en la fase de distracción, o sirven para recoger el botín y desaparecer, de forma que si alguien, o las cámaras de vigilancia, detectan el robo, no le encuentren ya con lo robado. También pueden utilizarse cómplices para las dos cosas a la vez, con los que al final se repartirán los beneficios. La fase de desaparición de la "mercancía" suele ser tan sutil como el propio robo, y se realiza casi en el mismo instante de obtener la mercancía o, incluso, con diferentes técnicas (metiendo la mercancía en un sobre y arrojándolo al primer buzón de correo, enviándoselo a él mismo, por ejemplo), al momento mismo del robo, de forma que el delincuente casi ni toca el objeto a robar. El caso que vamos a relatar aquí es un ejemplo de lo mucho que se puede obtener en ambos mundos: el de los robos, y el de los hackers. Geminy es un hacker negro en toda la extensión de la palabra. Nació en los suburbios de Bulgaria, pero pronto comenzó a viajar por otros países, principalmente
Europeos. Aunque menciona que su base está en algún lugar de los Balcanes, lo cierto es que se mueve bien por cualquier lugar. A ello le ayuda el que hable fluidamente inglés con un acento indeterminado, y conoce también el español y el alemán. Consiguió cierta soltura con éste último gracias a unos años que se pasó trabajando para un banco en Zurich, aunque confiesa que tiene facilidad para los idiomas. Es importante, porque en su "profesión" se dicen pocas palabras, pero las pocas que se dicen tienen que ser claras y precisas. Ha sido contratado por organizaciones de todo tipo, incluso confiesa que le llegaron a contactar de la CIA y del gobierno de Irán. Pero se negó: "yo no trabajo para esos", dice firme. Le pregunto si alguno de los departamentos de informática de las policías españolas, o el CNI, se puso en contacto con él. Me responde con un rápido "no". Y añade, seguramente notando mi desasosiego: "los españoles creen que lo saben todo y que no necesitan a nadie". Entiendo que no quiere extenderse más sobre el particular, así que no insisto. Geminy aprendió desde muy pequeño a robar a los turistas por las calles: "era eso o quedarte sin comer", asegura, como esgrimiendo la razón de que no le habían dejado alternativa. "De hecho" -explica- "si soy un hacker negro es porque la sociedad me empujó a ello, no hago esto por placer". Pero al argumentarle que con sus conocimientos
podría trabajar en cualquier consultora, me responde: "De ocho de la mañana a diez de la noche, no gracias. No me va eso de trabajar de sol a sol por mil dólares al mes". Al final parece ser que lo que le mueve es el dinero. No obstante no digo nada. Sus habilidades le han llevado a ser muy cotizado entre las grandes firmas: "Muchos hackers contratan a otras personas para hacer el 'trabajo de calle' [se refiere a carteristas y timadores], pero yo lo hago yo mismo". No obstante colaboran muchas veces con él varias personas, especialmente una mujer que luego descubro que es también su novia: "Es bueno tener a una chica para casi todas las situaciones: una llamada falsa, salir de una situación comprometida... Los hombres, ante una chica guapa por lo general bajan la guardia. Aunque no quieran. Está en nuestros genes. Me imagino que tiene algo que ver con el romanticismo o la necesidad de procrear, no me lo preguntes, pero la realidad es esa. Una mujer te facilita enormemente el trabajo de calle". Lo bueno de su colaboradora es que es, como él, carterista: "Yo mismo le enseñé y la adiestré en 'el oficio'. No me
duele confesar que ella incluso es mejor que yo. Las mujeres son más sutiles. Mientras un hombre puede robar casi cualquier cosa en los bolsillos de otro, ellas pueden robarles también a las mujeres. Pero un hombre haciéndose tropezar con una mujer para 'manosearla'... Mala cosa, enseguida llamaría la atención. No funcionaría tan bien". Geminy cobra de diez mil hasta cincuenta mil dólares por "operación", incluso más: "Una vez me llegaron a pagar cien mil. Eran los planos de un sistema electrónico de una compañía rival. Y no fue un precio muy caro, ellos ganan millones con esos productos, y se ahorran millones de dólares más en desarrollo". Asegura que el espionaje industrial y las copias de propiedad intelectual están a la orden del día: "Con la explosión de todo tipo de dispositivos portátiles y el auge de la informática, los hackers que nos dedicamos a esto no tenemos ni un momento en que nos falten ofertas. Todo el mundo se copia entre sí: las farmacéuticas, las automovilísticas, las compañías de software... Todos se copian. Es muy tentador aventajar a tu rival y lanzar productos que tengan una misma base ahorrándote millones y un montón de tiempo. Mira a cualquier sitio en el mercado: ¿por qué crees que todos los productos parecen homogéneos, que son lo mismo? Pues porque en
cierta forma lo son. Quien saca algo nuevo al día siguiente ya lo tienen los demás". Pero admite también que eso tiene su parte mala: "A veces eres consciente de que por tu culpa van a despedir a mucha gente, o van a tirar millones de dólares en carísimos bufetes de abogados para presentar y pelear por demandas de derechos de patentes... Pero qué quieres, yo no inventé éste juego, sólo intento sobrevivir en él". Por todo ello, Geminy parece una persona sin escrúpulos: "Cuando no tienes qué llevar a la mesa los escrúpulos hay que meterlos por donde te quepan. Yo he tenido que tragar con muchas cosas, no creas. Pero si me preguntas si me remuerde la conciencia por las noches, te diría que no. Muchos no son capaces de llegar donde estoy, sólo sueñan con ello, pero se quedan en el camino". No obstante, a pesar de todo lo que dice, Geminy no deja de ser un raterillo envuelto por la telaraña de un sistema que dice odiar: "Te obliga a hacer cosas que no quisieras. Cuando de pequeño te dice tu mamá 'sal ahí afuera para que espabiles', en realidad te está diciendo que serás estafado por mucha gente, y que como no aprietes los dientes y apuñales tú también, lo vas a tener muy difícil para sobrevivir. Esto es como la selva, pero el hombre, al ser
más inteligente, en lugar de cazar cebras pues se cazan unos a otros, pero básicamente es lo mismo, y en esencia, en el fondo, imperan las mismas reglas. Te dicen: 'sí bueno, pero estamos en un estado de derecho, bajo la ley'. Mentira. Es una completa mentira. La ley está al servicio de los más poderosos, que son los que las hacen, y son ellos los que mueven los hilos. A la gente les permiten tener una cierta sensación de seguridad, pero sólo es eso: una sensación". Le pregunto si en algún momento estuvo tentado de dejarlo: "Mira, han venido presidentes de poderosísimas corporaciones a mis pies, diciéndome que ojala ellos pudieran saber lo que yo sé y tener mis dotes. ¿Dejarlo? ¿Estás loco? ¿Has visto la casa en la que vivo? ¿Podría tener todo lo que tengo trabajando como un miserable el resto de mi vida?". Geminy es muy reticente a contar sus casos. Su profesión se asienta sobre la discreción, cualquier pequeño desliz puede dar al traste con su reputación. A diferencia de otros hackers y crackers, a mí no me conoce apenas. Pero confiesa haber utilizado algunas de mis herramientas, y dice sentirse "en parte en deuda conmigo". Tras varias sesiones de charla, le veo más confiable. Me
advierte que no puede dar detalles, y sin detalles la historia se queda algo coja, pero que tome eso o nada. Por supuesto, lo tomo. En Francia -y ya extendido a casi todas partes desde hace tiempo- es muy habitual que las compañías se pasen entre sus empleados los plannings mensuales. A diferencia de otros países, el planning incluye una cantidad valiosa de información sobre la estructura de los proyectos que están llevando a cabo: "Una firma griega quería los planos... Digamos de un 'artefacto'. Para hacerme con ellos no voy a describir los pasos que di pormenorizadamente, no sólo por seguridad y precaución, sino porque sería eterno. Para acortar digamos que los tenía en su planning mensual uno de los directores de proyecto". Pero acercarse a él era complicado: "Era una persona muy reservada. Tenía cincuenta años, o algo así, y estaba soltera. Su vida era del trabajo a casa y de casa al trabajo. Desconfiaba de todo el mundo, y apenas hablaba con nadie que no conociera". Geminy ideó un plan para hacerse con el Blackberry activo del director: "Lo necesitaba activo para no complicarme la vida con el acceso. Sí, vale, puedes leer la memoria, pero también te
lo puedes cargar en el proceso. Elaboramos (mi novia y yo) un plan para abordarle por la calle. Esperamos pacientemente a un día de donaciones, cuando van por la calle pidiendo algún donativo y te ponen una pegatina en la solapa, ¿sabes a qué me refiero? Pues del tipo éste ya conocíamos su ruta de sobra, era muy meticuloso. Siempre pasaba por los mismos sitios, y a la misma hora". Al final resolvieron que la mejor manera de acercarse a él era en medio de la multitud en un semáforo: "Al final de los Campos Eliseos... No sé si lo conoces... Bueno, hay un semáforo que cruza varios carriles. Está lleno a todas horas de gente. Ideamos un doble acercamiento hacia él: mi novia le pediría dinero haciéndose pasar por una de las activistas de una ONG y, al intentar ponerle la pegatina en la solapa, se haría con la Blackberry. Yo iría por detrás, y fingiría ser un transeúnte más que tropieza con él al detenerse por mi novia, con el fin de revisarle los bolsillos. Las pegatinas, la hucha... Lo hicimos todo de forma casi artesanal, pero daba el pego. La hucha tenía un sistema de modo que se sujetaba a la muñeca, y dejaba la mano libre. Afortunadamente mi novia sabe mucho más francés que yo, yo únicamente tenía que decir 'pardon', pero ella tenía que soltarle toda la parrafada de rogarle que le diera una colaboración en su hucha por la causa".
Hacerse con la Blackberry no era todo: "Le abordó cruzando el semáforo, ella iba de frente hacia él cruzando. Él se fijó en mi novia, pero intentó zafarse. Yo llegué por detrás y le empujé más hacia ella para que no le fuera tan fácil escapar, fingiendo ser un transeúnte más. Fue relativamente fácil. Mi novia llevaba su bolso abierto y escondió en él la Blackberry. Un 'visto y no visto'. Yo me fui con su cartera, la llevaba en el bolsillo delantero del pantalón. Hacía un día nublado, y la deslicé con suavidad dentro del paraguas que llevaba colgado del brazo. La cartera tenía su pase y datos personales que me sirvieron poco después para borrar mis huellas del sistema. La policía creería que se trataba de un simple ratero en busca de su dinero, pero lo cierto es que aquélla tarde usé su identificación personal, y nadie pareció darse cuenta de ello. La verdad es que el tipo estaba tan seguro de que era metódico y de su sistema de rutina como protección, que debió entrar en shock o algo parecido". - Protección Geminy nos describe claramente el caso de un hacker negro que vive para estar en el límite, muy preparado en todos los sentidos (incluso en el cuerpo a cuerpo para obtener la información físicamente, como acabamos de ver) y que es metódico y eficiente en sus ardides. Lo primero, debemos dotar a nuestros sistemas portátiles
(ya sean smartphones, tablets o cualquier dispositivo parecido) de sistemas de acceso con seguridad extra. No se fíe de las claves en las tarjetas de memoria, hay dispositivos que las borran en un minuto. Ni tampoco de los sistemas de protección por defecto: ya hemos visto aquí en otro caso de lo fácil que es burlarlos. Utilice herramientas de codificación de nivel alto. Actualmente existen programas que no solo codifican los datos, sino que, además, les añaden claves a ellos. La necesidad de un uso constante y de una actualización mensual o semanal del planning no debería ser razón suficiente para dejar de lado estos procedimientos. Cuando viaje con su smartphone, o cuando lo lleve consigo, aunque sea hasta el restaurante de la esquina, no lo pierda nunca de vista. Aunque crea tenerlo seguro en el bolsillo interior de su chaqueta o de su pantalón, hay carteristas muy hábiles que en una fracción de segundo se lo pueden robar, ¡e incluso sustituir por un cartón doblado, de manera que no note su ausencia hasta el momento de sacarlo de su bolsillo! Use bolsillos con cierre, a poder ser no de velcro, y vaya con su chaqueta abrochada. Si hace calor y quiere quitársela, manténgala abrochada en la mano, ¡y nunca la pierda de vista! Por último, debemos contemplar de manera realista que todos podemos ser víctimas de este tipo de hackers.
Debemos responder a preguntas del tipo: ¿Podríamos fraccionar la información, de manera que quien tenga sólo una parte no pueda hacer nada, y que se necesiten varios dispositivos para unirla? ¿Está nuestro departamento de I+D+i a salvo de intrusiones, y cómo se actuaría en el caso de haber una? ¿Podríamos con una simple llamada aislar las capas o nodos más valiosos del departamento? Además, no son pocos los hurtos que tienen su raíz en la propia empresa: ¿cómo podríamos mejorar nuestra política de auditoria de seguridad interna, y seguir los movimientos de los usuarios autorizados de manera transparente? No queremos decir con ello que uno tenga que tomar el papel de policía, pero cuando se llevan invertidos miles de dólares (o millones) en el desarrollo de un producto, tal vez sería conveniente llevar a cabo un proceso de control acorde con el presupuesto que manejamos y el futuro que nos jugamos. Sobre todo, nuestra compañía puede ser muy "golosa" para otras muchas de su mismo sector de actividad. Debemos ser capaces de implementar unas políticas de seguridad eficientes y robustas, con una capacidad inmediata de respuesta ante imprevistos que sea capaz de operar con diligencia y eficiencia en cualquier tipo de situaciones.
Los hackers de la nobleza Keena no era el típico hacker convencional. Tenía una muy buena posición social, vivía en una zona noble en la campiña inglesa, y había estudiado en Oxford. Su padre era directivo de una compañía radicada en Suiza, y su madre era antropóloga para una respetable institución con sede en Londres. Keena lo tenía todo de cara para triunfar. De hecho triunfó, pero no en el campo en el que esperaban sus progenitores. Con mucho tiempo libre y mucho dinero a su disposición, tenía los ingredientes justos para meterse en grandes líos: "Empecé como muchos en aquélla época, haciendo incursiones menores en los ordenadores de mis amigos a través del IRC". El IRC era (y aún sigue siendo en gran manera, aunque en mucha menor medida) la primera escuela de una cantidad innumerable de hackers y crackers. Hubo una época en donde las charlas para aprender hacking (incluido hacking a móviles, yo mismo di alguna) atraían a no cientos, sino miles de personas. Había canales en donde se necesitaba recurrir a Bots para duplicar el contenido del canal principal, ante la imposibilidad de manejar el original, totalmente saturado. Algunos se pasaban horas esperando para esas charlas con la sola intención de que no les
quitaran el sitio. En esos años las consolas, shells y líneas de comandos no era algo ajeno para la mayoría. La gente, por lo general, estaba más predispuesta a asimilar y entender complejos conceptos y órdenes de computación que en la actualidad, donde los sistemas gráficos (GUIs) inundan ya en su totalidad los ordenadores y dispositivos domésticos. "En una de esas charlas conocí a Blazek, era un estudiante de último año en ingeniería de sistemas". Blazek y él estaban seducidos por "el lado oscuro": "Era una manera de reivindicarnos, de revelarnos ante un sistema que veíamos inflexible y corrupto". ¿Y cómo lo hicieron?: "Bueno, nuestros primeros objetivos eran los bancos. Allí todo el que quería ser algo en el mundo del hacking tenía dos alternativas: o bancos o redes gubernamentales". A Keena le parecieron más interesantes los bancos porque eran los sitios donde se guardaba el dinero y, por ello, deberían ser los más seguros: "Era un reto, no nos asustaba la dificultad, de hecho nos incentivaba. Cuanta mayor dificultad tuviéramos más nos interesaba el sitio".
Pero, ¿para qué querían unos chicos de buena familia y pudientes, perpretar una intrusión de semejante calado? "Teníamos una idea romántica en la cabeza. Supongo que todos los hackers al principio tienen lo mismo: descubriríamos su agujero de seguridad, se lo notificaríamos y nos convertiríamos en héroes". En sus esfuerzos por alcanzar las tripas informáticas de un gran banco suizo, Keena no tuvo reparos en desplazarse incluso personalmente a su sede: "Mi padre viajaba constantemente a Suiza, no fue difícil que dejase que le acompañase". En Suiza entró en el banco, pero no pudo hacer mucho: "Enseguida supe que sus medidas de seguridad físicas no tenían nada que ver con las medidas online: había que tener pases para todo. Intenté conseguir que me llevaran hasta las cajas de seguridad con la excusa de guardar unos objetos de valor, pero ni aún así conseguí avanzar mucho". De vuelta a Inglaterra ambos hackers se sentían bastante defraudados: "Pero también éramos conscientes de que sólo había sido una batalla, no la guerra, que aquello era una carrera de fondo y lo primero era perseverar".
Volvieron al principio, intentando acumular la mayor cantidad de información de quien fuera y de donde fuera, para luego clasificarla y elegir lo más útil: "Obtuvimos información de sus sistemas de seguridad, de sus servidores, de cualquier cosa que cayera en nuestras manos relacionada con el tema. Incluso alguna de esa información la pedimos a los proveedores fingiendo querer instalar un sistema para una compañía nuestra". De hecho, llegaron a crear una compañía ficticia para "dar el pego". Con número de teléfono y de fax incluido: "Lógicamente, eso lo hacíamos únicamente para obtener información, teníamos la precaución de que no pudieran luego desvelar nuestro auténtico cometido". Para ello usaban cuentas falsas o los datos de sus padres. Nadie iba a vincular lo uno con lo otro: "Lo importante era mantener en el anonimato nuestros movimientos como hackers, fuera de ahí podíamos movernos con total libertad. Imprimimos tarjetas de la empresa, ¡no te podrías creer hasta qué punto son útiles esas tarjetas! Bien como excusa o para dar un toque de profesionalidad, su efecto es increíble". Pero más aún lo fue cuando se hicieron pasar por agentes de la autoridad: "La mayoría de las personas tienden a obedecer a pies
juntillas lo que les ordene un policía, están psicológicamente educados para ello. Por lo tanto, si lo que necesitas es reunir datos personalmente de alguien, fingir ser policía es una de las mejores soluciones". Con el fin de conseguir sus objetivos no escatimaron esfuerzos: "Ser hacker es también intentar encontrar los eslabones más débiles del rival. Y no es ningún secreto para nadie que la parte más débil siempre es el componente humano". Con ayuda de una amiga idearon una operación coordinada que debería facilitarles el acceso hasta las entrañas del sistema. Keena nos lo explica: "Era una operación en varias fases. Fue algo emocionante, una mezcla de ingeniería, astucia y riesgo. Nunca habíamos hecho algo semejante, por lo que ensayamos antes con 'víctimas al azar' que nos encontramos por ahí para conseguir aparentar soltura y naturalidad". "Teníamos dos objetivos: por un lado acceder al departamento de informática y, por el otro, conseguir acceso físico a la central londinense. Blazek y yo nos disfrazamos de policías, bueno, no era un disfraz en sí, simplemente nos pusimos unas chaquetas reflectantes con la palabra 'police' grabada a la espalda, unos pantalones azules y unas placas que habíamos comprado en una
juguetería, pegadas encima de una cartera de mano. Esperamos a uno de los ejecutivos en una calle sin mucho tránsito, ya sabíamos el recorrido y el horario que tenía porque lo teníamos bajo vigilancia. Le echamos el alto con la excusa de un control antiterrorista. Le dijimos que estábamos efectuando una operación contra terroristas islámicos. Le hablamos de que su tez nos parecía árabe (aunque ni mucho menos se parecía) y le pedimos la documentación. Él se ofreció amablemente a colaborar, pero no era eso lo que queríamos, sino su pase. Mientras mi amigo se iba hacia nuestro automóvil con la excusa de confirmar su identidad con la central, yo le hice salir para cachearle. El ejecutivo entonces protestó, diciendo que nos denunciaría a nuestros superiores, pero hizo lo que le ordené. Di con su cartera y el pase en el bolsillo interior de su chaqueta. Le dije a mi amigo: 'revisa esto'. "El otro nos dijo: '¡es sólo mi cartera, ahí no hay nada!'. Terminé de cachearle y le devolvimos sus objetos personales, agradeciéndole su colaboración. Nos fuimos mientras él se metía de nuevo en su coche". Ésta es una buena muestra de hasta qué punto el papel de la autoridad funciona. En todo ese movimiento su amigo había cogido la identificación y se había ido a la central bancaria: "El guardia de seguridad ni siquiera se fijó en la foto,
simplemente pasó por la zona de identificación como uno más. Hay un truco para ello, y es entrar cuando entran otras personas". Pero aún no se había acabado todo: "Una vez dentro Blazek se dirigió a la sala de conferencias. Estaba vacía. Enchufó su portátil y ya estaba en la intranet". Pero aquélla mañana había ocurrido algo más: "La operación tenía dos partes. Una ya la habíamos llevado a cabo nosotros, pero antes, a primera hora, una amiga había obtenido los números de la secretaria de informática y más números personales. Para hacerlo se disfrazó de embarazada, y llevó consigo un carrito de bebé con un muñeco dentro". "Fingió coincidir en el parking con un trabajador, un señor ya mayor, y le pidió su móvil para enviar un SMS urgente. Puso la excusa de que el suyo se había quedado sin batería y le mostró un móvil apagado. En su bolsillo llevaba otro, con el Bluetooth activado y el modo silencio, además de la vibración". ¿Qué hombre se negaría a una solicitud proveniente de una embarazada? Casi ninguno: "Nuestra amiga copió en formato vcf las entradas de la
agenda que nos interesaban. Así no quedaría rastro de nosotros, sólo un modelo de móvil que, para más precaución, no usábamos". Con esa información, ya en el edificio, Blazek llamó a la secretaria para que subiera a una de las plantas. Era una excusa para sacarla de su puesto. La llamó desde otro teléfono de la sala en el mismo edificio, por lo que la secretaria no sospechó nada. No tenían la extensión porque, según menciona Keena, no estaba en el listado de teléfonos, por eso les fue muy útil la información conseguida por su amiga. Luego Blazek se fue a su ordenador y le instaló un troyano y un sniffer, mientras copiaba archivos que pudieran serles útiles a un pendrive, como procedimientos y política de transacciones, métodos de transferencias... En un directorio encontró una mina de oro: eran copias de seguridad, duplicados de los programas de la compañía y manuales. Salió de allí contento pero con mariposas en el estómago por el miedo a que le pillaran con todo el marrón. Cuando llegó a su coche el corazón le iba a mil por hora: "Cuando vi el rostro de Blazek sabía que no sólo habíamos conseguido lo que queríamos, sino mucho más. Arranqué el coche inmediatamente".
No veían el tiempo de probar sus logros, pero tenían que asegurarse de hacerlo bien: "Primero estudiamos los manuales e instalamos los programas. Luego pirateamos una wifi y nos colamos por ella. A los dos minutos el listado de cuentas comenzó a llenarse de números, ¡era increíble! Podíamos ver las cuentas de quienes quisiéramos, hacer transferencias, anular tarjetas de crédito...". Pero no se olvidaron de su primera motivación, de sus objetivos: "Descubrimos un bug en el sistema de transferencias, en la aplicación. Que nos podía haber ahorrado semanas de esfuerzo si lo hubiéramos sabido, claro. Lo presentamos en un simposium de hackers y la consultora que se había encargado de programarlo nos acusó de mentirosos y de que habíamos robado su software con la única intención de crackearlo para meterle un fallo. Era algo kafkiano. Nos amenazaron con demandarnos. Afortunadamente sólo sabían lo del software, por precaución nos guardamos de difundir toda la intrusión. Nos fuimos de allí con sentimientos contradictorios y bastante decepcionados: no había sido como esperábamos. No hubo aplausos ni vítores ni palmaditas en la espalda ni felicitaciones. Ignoramos si repararon el agujero de seguridad del programa, porque, lógicamente, no quisimos arriesgarnos a robarlo de nuevo. De hecho no volvimos a entrar en la
red bancaria". - Protección Éste es un golpe muy complejo y trabajado y que posee muchos elementos diversos, tanto de ingeniería social como de gestión y administración de redes y de programación. Para llevarlo a cabo se requiere de la participación de varias personas, práctica más habitual de lo que se piensa la gente. Es llamativo el robo de identidad fingiendo ser policías. Mediante ese ardid se han realizado multitud de delitos en todo el mundo, y no sólo relacionados con el mundo del hacking. Pida siempre que se identifiquen los policías que le aborden de esa manera, y si es necesario, llame a la central para confirmarlo. Aunque en muchas ocasiones la falsificación alcanza también a vehículos de policía y a sus matrículas, dude de aquéllos que dicen ir "de incógnito" y sin coche oficial, especialmente si van solos. Tenga en cuenta además que cuando la policía realiza operaciones antiterroristas suelen enviar a varios agentes armados con subfusiles, y establecen en las vías sistemas de retención o conos de desviación. No es normal que envíen a dos agentes de incógnito para ese tipo de tareas, y eso debería ya hacernos dudar de la autenticidad de dichos policías. Tampoco deberíamos permitir que cualquier desconocido (o desconocida) use nuestro teléfono móvil. Por supuesto,
trate siempre de ayudar, pero no pierda de vista lo que escribe o, mejor aún, ofrézcase a escribirle el SMS usted mismo. La caballerosidad y la gentileza no está reñida con la precaución y el sentido común. Otro de los puntos llamativos de ésta historia, y del que debemos sacar una lección, es el de revisar siempre nuestras tarjetas de identificación. Probablemente la victima que Keena nos cuenta aquí no se diera cuenta de que faltaba su tarjeta de acceso hasta el día siguiente, cuando abriría la cartera para entrar a trabajar. Eso le dio a Blazek horas y horas de margen. Otra regla de oro es nunca abandonar nuestro puesto informático dejando el ordenador sin protección alguna de acceso. Deberíamos establecer por rutina la configuración de que salte el salvapantallas con contraseña, y, si esto nos resulta molesto (el salvapantallas debería saltar a los pocos minutos para ser útil), instalar un programa que con un sólo toque nos bloquee el ordenador. La contraseña que usemos para dicho programa debería ser única, distinta a todas las que usemos y, por supuesto, diferente a la de nuestro inicio de sesión. Muchas compañías suelen tener como una medida de protección básica la información de sus líneas internas reservadas, de modo que se puedan comunicar entre los
mismos departamentos, pero no entre diferentes. Vemos cómo aquí el hacker viola esta primera defensa simplemente usando el teléfono directo, tras haber obtenido esa información de una persona que sí tiene los números del departamento que interesa. No es cuestión de suerte, nada surge por casualidad, sino de trabajo, vigilancia a conciencia y observancia a los detalles. No obstante, otras vías que podrían haber optado una vez en el edificio, podrían haber sido perfectamente el uso de keyloggers con recogida de información a distancia (incluso sin necesidad de usar Internet, sino vía radio), o la instalación de programas o rutas falsificadas a sus intereses, que simulasen páginas de acceso a, por ejemplo, el correo de Gmail o Hotmail. Este ejemplo, finalmente, nos describe con claridad que no todos los hackers tienen que ser unos jóvenes indisciplinados con un ordenador "achicharrado" por las horas de uso, sino que también pueden ser personas con muchísimos recursos, potente material informático y mucho tiempo, paciencia y ganas para ingeniar y entretejer un plan de lo más osado.
El espía espiado Ekile es uno de esos hackers a los que podríamos englobar como "hackers blancos", aunque seguramente que para sus víctimas no les parezca muy correcto. Trabaja en una de las últimas plantas de un edificio de oficinas, donde se encuentra la sede de una ONG: "Empecé a colaborar con ellos hace muchos años cuando era adolescente. Prácticamente son como mi familia". La razón de que expliquemos esto es que sus actividades como hacker están íntimamente relacionadas con esa ONG: "Yo era 'el chico del ordenador', poco a poco fui añadiendo mis conocimientos informáticos para tareas puntuales que necesitábamos". Aún así admite que poca gente lo sabe: "Por supuesto no es algo oficial. Ninguna ONG, al igual que ninguna compañía, admitirá en modo alguno que trabaja con hackers, saben a lo que se expondrían, no sólo por los posibles delitos que los hackers pudieran cometer respecto a intrusiones informáticas, sino por la pérdida de prestigio. Los hackers no están bien vistos socialmente, y eso se traduciría seguramente en una escapada de muchos benefactores".
Su trabajo, o la parte "oculta" del mismo, sólo lo conoce una persona. Pero Ekile asegura que así es mejor, él se siente más libre y a la ONG la mantiene sin cargos en el caso de que algo salga mal. Pero ¿para qué necesitaría una ONG un hacker?: "Desde que estoy aquí hemos ayudado a legalizar a más de mil 'sin papeles', con eso te lo digo todo". Su forma de trabajo es peculiar, y sus acciones hacen tambalear al mismísimo sistema informático gubernamental: "Aún así no lo hemos conseguido todo, nos falta mucho camino por recorrer, porque si no fuera así no habríamos legalizado a mil personas, sino a cien mil". Ekile cree en un mundo sin fronteras, para él todos tendrían que tener las mismas oportunidades en la vida: "Nacer en uno u otro país es simple casualidad, y sin embargo algo tan simple como eso marcará el resto de tu vida. Si naces en un país del tercer mundo tienes muchas posibilidades de no llegar a los cuarenta con vida. Lo que gobiernos como el español han hecho con inmigrantes no tiene nombre. Por ejemplo, los que llegaron al islote Tierra: fueron sorprendidos de madrugada por fuerzas del ejército [la Guardia Civil, dice, es una fuerza del ejército para él] y arrojados a Marruecos como criminales. Luego
les pegaron una patada y los tiraron a morirse al desierto argelino. La vida de un ser humano no vale nada para los políticos, sólo somos mercancía. Lo que hace el gobierno de los Estados Unidos en la frontera con México no es mucho mejor". Pero él no se dedica a intentar entrar en servidores del gobierno, o no simplemente eso: "Cuando más posibilidades tienes de que te descubran y desveles tu presencia es en la actividad que, por norma general, te ves obligado a generar al intentar colarte en un servidor o en una de esas redes". Por lo tanto, decidió cambiar de estrategia: "Enseguida me di cuenta que en lugar de pelear con los administradores de sistemas, era mejor hacerlo con los políticos. Por lo general en seguridad informática su formación es nula o casi nula, sólo se limitan a cumplir lo que les dicen desde el departamento de informática, la mayoría sostenidos por becarios que emiten los informes que los administradores no tienen tiempo ni ganas de redactar. Por eso si tienes acceso al sistema de un diputado o de un ministro, tendrás acceso a todo el sistema sin correr ningún riesgo". Pero ¿cómo conseguir eso?: "Observa a cualquier político actual, ¿qué lleva consigo?
Su portátil, su smartphone, su tablet. Mira a tú alrededor en la calle de cualquier ciudad: estamos rodeados de sistemas informáticos. ¿Crees que todos, absolutamente todos, son seguros?" Pero ¿cómo puede llegar a entrar en esos dispositivos informáticos? "Por lógica no voy a describirlo, además aún está en desarrollo, y sería como decirles a los de Cupertino dónde buscar y qué buscar. Pero pronto me di cuenta de que si lograba acceder al sistema operativo iOS de iPhone y tablets, y al sistema Android de algunos smartphones, tendría en mi poder 'las llaves del castillo'. Empecé con eso y, de hecho, cuando oficialmente anunciaron que les iban a regalar a todos los diputados un iPhone, puedes imaginarte la alegría que me llevé. Todo el mundo cree que los Apple son infranqueables, y eso para nosotros, los hackers, es una enorme ventaja, porque hace que los usuarios bajen la guardia pensando que nadie puede acceder a sus sistemas". Ekile desarrolló dos aplicaciones en apariencia diferentes entre sí, pero que hacían lo mismo, una para la App Store y otra para Android: "No son más que dos troyanos. A la App Store me costó sudor y lágrimas colocarla, allí las prueban con mucha metodología, concienzudamente. Tuve que abrir varias
cuentas y modificar varias veces el código fuente. En Android sin embargo fue mucho más fácil, gracias a que puedes también insertar publicidad, incorporé un código que podía modificar su comportamiento según quisiera desde la web". Un troyano es un programa que realiza una serie de tareas como cualquier aplicación legítima pero que, además, incluye código malicioso: "Para la aplicación de Apple tuve que recurrir a un VX [un VX es un escritor de virus]. Quedan muy pocos escritores de virus realmente buenos, la mayoría de los de ahora sólo saben hacer scripts, no como los de antes que escribían en ensamblador como si se tratase de su lengua materna". Aunque no quiere dar detalles para que no le echen abajo el trabajo de su aplicación, Ekile menciona que: "El VX lo que hizo fue añadirle técnicas de ofuscación a mi programa. De cara al sistema era algo legal y permitido, lo que pasara después era otra cosa. Apple tiene un sistema de recolección de basura (lo que técnicamente se denomina como "Garbage Collector" en Java) realmente eficiente, cuando dos rutinas reclaman la atención del sistema operativo, establecerá su orden de acuerdo a su relevancia, así puedes saber lo que ejecuta a cada instante y cómo no llamar la atención".
El problema de su aplicación era -y es- que la víctima tiene que tenerla instalada en su dispositivo: "Actualmente infecta a cientos de miles de smartphones y tablets, pero eso es lo que yo llamo tráfico sin importancia. En dispositivos realmente valiosos sólo está en un porcentaje relativamente bajo. Pero es cuestión de tiempo". Ekile no quiere tampoco descubrir cómo opera su aplicación, porque eso también facilitaría el trabajo de los testeadores: "Aprovecho parte del ruido de Internet, cuando estás trabajando a tope con twitter o WhatsApp no le llama la atención a nadie que su smartphone o tablet empiece a enviar paquetes sin parar". El próximo paso sería poder acceder mediante un túnel a la recogida de datos en las conexiones VPN: "Es un reto emocionante. No soy el primero en hacer algo así, ni tampoco seré el último, pero lo bueno es que algo tan simple, que no despierta la atención de nadie al no ser ni comportarse como un virus, nos puede dar las llaves para comenzar a cambiar las cosas. De hecho ya lo estamos haciendo". El escenario ante el cual nos pone Ekile es realmente
inquietante: no solamente podría obtener acceso a documentos e información clasificada de las más altas esferas políticas del gobierno, sino que, además, podría usarlas en su propio beneficio, facilitando como en éste caso (o llegando incluso a realizar) complejos procesos administrativos. - Protección Como ha quedado bien patente, ningún sistema o dispositivo informático está a salvo de intrusos. Al año se invierten millones de euros en la seguridad de las conexiones y dispositivos del gobierno, pero su eficiencia brilla por su ausencia. De hecho, Ekile nos comentaba "off the record" cómo encontró la clave para penetrar en la dirección web oficial mediante un certificado caducado directamente desde Firefox. Los programadores que son contratados en auditorías no pierden el tiempo en pensar en esas cosas, ni tampoco en contemplar las posibilidades que un navegador no convencional puede ofrecer a los hackers que se preocupen de investigar. Las conexiones SSL que responden a tokkens son uno de los sistemas más utilizados en la realización de esas gestiones, pero para un hacker experimentado no le costará mucho trabajo simularlas haciéndose pasar por un usuario o accediendo a la consola de administración gracias al trabajo de unos sniffers o de algún programa alterado de un gestor.
Asimismo, la documentación oficial no debería estar a disposición de un político, por muy alto que sea su cargo. Un hacker puede incluso hacer que la pidan mezclando su correo entre la ingente cantidad de emails que manejan a diario este tipo de personas. Es una argucia de ingeniería social cada vez más extendida. El político que lo vea en su bandeja de entrada apenas sospechará, y mucho menos se preocupará de su procedencia o de buscar al responsable de que aquello haya llegado allí, principalmente porque éste tipo de personas sólo se atienen a trabajar con sus gabinetes y poco más. Ekile reunió toda esa experiencia precisamente trabajando para la administración. Si en última instancia piensa o intuye que su smartphone está "pinchado" o hackeado, deje de trabajar inmediatamente con él y apáguelo. El único sistema casi cien por cien fiable son los móviles con firmware propietario, pero ¿quienes a día de hoy se animan a trabajar aún con ellos?
Los teléfonos listos no son tan listos Cuando le envié un borrador de parte del libro a un administrador de sistemas amigo que trabaja realizando auditorías, éste se lo remitió a leer a un profesor universitario. El profesor me escribió sugiriéndome que incluyera un pequeño apéndice sobre la seguridad en dispositivos móviles. Al final decidí hacer esta pequeña reseña, ya que no es ése el objeto del libro. Los smartphones (o teléfonos móviles o celulares inteligentes, como quieras llamarlos) se han convertido en parte esencial de nuestras vidas, en un complemento imprescindible. La preocupación que suscita la historia que contamos aquí sobre Ekile (ver el capítulo "El espía espiado") no es raro: la mayoría de personas se verían en un serio compromiso si parte del contenido de sus tablets o smartphones (muchas veces íntimo) se divulgara. Al principio creen que es algo muy improbable, por no decir imposible, pero luego, asombrada, la víctima se pregunta cómo consiguieron la información. Muchos de los hackers y crackers que conozco tienen una vigilancia y cuidado constante como norma de vida, forma parte ya de su rutina, y es por ello que aún permanecen en el anonimato. Hacen cosas tan cuidadosas como no dejar sus huellas dactilares ni en la misma puerta de su portal,
si son así de cuidadosos en algo que para el resto de nosotros nos puede parecer tan banal, ya nos podemos dar cuenta de hasta qué extremo de resistencia llevan a aplicaciones, redes y servidores, y también nos podemos hacer una idea de lo difícil que ha sido traerlos aquí para que nos expongan algunos de sus casos y, en suma, sus logros a los que tanto esfuerzo han dedicado. En el tema de la seguridad de los smartphones hoy en día casi todos los hackers y VXs se alegran de que en el mercado la totalidad de sistemas operativos existentes estén copados por los dos grandes: Apple con su iOs, y Google con su Android. Para ellos no es la principal dificultad el empeño en seguridad de los desarrolladores, sino la poca repercusión que tendrán sus esfuerzos. Es ésa la principal razón -y no otra- que los virus tengan su principal objetivo a ordenadores Windows, y no a Linux. Porque en sistemas Linux (y Unix en general) también se pueden introducir aprovechando cientos de bugs, y muestra de ello es el inmenso número de hackers que lo han hecho y la constante actualización de kernels. Cuando lees la información que Google da sobre la seguridad en Android, te cuentan algo que parece un capítulo de un manual sacado de "Barrio Sésamo": "la seguridad en Android" -vienen a decir- "es como una cajita rellena de arena, en donde la arena no puede
escapar" (puedes verlo en http://support.google.com/googleplay/bin/answer.py? hl=es&answer=1368854 ). Obviamente, ésta es una traducción "para analfabetos" de su máquina virtual y de la forma que tiene ésta de tratar las aplicaciones que se ejecutan mediante seudocódigo (técnicamente bytecode). En iOs es diferente: ellos no necesitan "vigilantes" que monitoreen cada proceso del sistema ni que interpreten como lo hace el compilador de Java (denominado JIT, "Just In Time"), ya que el código no se ejecuta en una parte controlada y en el entorno de la máquina en donde, a fin de cuentas, la máquina virtual (JVM, conocida en Android como "Dalvik") tiene en último término el control y ella decide qué hacer, sino que, como ocurre en un ordenador no virtualizado (la virtualización es una forma de ejecutar software en un entorno seguro o "blindado") el código no es pseudocódigo que luego es "compilado" en tiempo de ejecución (interpretado) sino que opera directamente sobre el sistema operativo (tal como lo hace Mac OS X, de hecho usan el mismo lenguaje, el Objective-C). ¿Esto qué quiere decir y cómo le afecta al usuario? Pues quiere decir que un programa en el iPhone puede tomar el control del sistema operativo y hacer con él lo que quiera, ¡incluso impedir que se apague el dispositivo o, en caso de hacerlo, estropearlo! Por eso Apple necesita de la App Store, para tener todo el
software controlado y que ninguna de las aplicaciones "se salgan de madre" ni hagan de forma oculta rutinas que no deberían hacer. Es una forma muy diferente de ver la misma cosa. IPhone, iPad y demás dispositivos sobre iOs es como si imaginémonos- tuvieran una red externa muy asegurada, con un control de intrusos exacerbado pero que, una vez dentro (y como ya hemos visto aquí en multitud de ejemplos) el intruso puede sentirse como en su casa, con todas las puertas abiertas. Android, sin embargo, ha elegido otro camino, y es como una red relativamente fácil de entrar desde fuera, pero que una vez dentro para pasar de nivel tienes que sudar tinta, con supervisores y gestores de aplicación y procesos (el "scheduler") por todos lados. La gestión de memoria también es diferente en los dos. Esta forma de arquitectura tiene también sus pros y sus contras, y no sólo en materia de seguridad: Apple puede exprimirle más los recursos de su hardware, mientras que las aplicaciones de Android, al ejecutarse tan -digámoslo así- extremadamente vigiladas y bajo COW (es una forma de compartición de memoria, dicho a grosso modo, para acelerar la operatividad), sus procesos son más lentos al realizar cada aplicación de manera aislada (cosa que se
hizo por seguridad). Además que Apple controla sus componentes, y Android tiene que funcionar con hardware de fabricantes de lo más variopinto. ¿Es más seguro, entonces, Android? No quiero que el lector se llame a engaño, cada uno tiene sus pros y contras, y es eso lo que he tratado de aclarar con todas estas explicaciones. En teoría Android no nos dejaría ejecutar aplicaciones fraudulentas gracias a todos los mecanismos de seguridad, desde Google aseguran que en la práctica es imposible que una aplicación tome el control del dispositivo, claro que ellos qué van a decir. De la teoría a la práctica dista bastante, y prueba de ello es la cantidad de troyanos y virus que se han "colado" en Android. Uno de ellos infectó miles de smartphones Android en China, accediendo incluso a SMS codificados con "captcha", descifrándolas y robándole al propietario miles de dólares en su factura. Google se desentiende del asunto dejando la responsabilidad en las manos de los usuarios, argumentando que si el usuario le da permisos de acceso a la red y de lectura del contenido de su sistema -por ejemplo, a la tarjeta de memoria-, ellos no pueden impedirlo. Qué curioso que deje en manos de propietarios inexpertos (sí, a esos a los que al principio dijimos que les había redactado un manual con estilo de Barrio
Sésamo) la responsabilidad luego de gestionar su sistema operativo. Es como enseñarle a conducir a uno saltándose los semáforos en rojo, y luego culparle de haber atropellado a un peatón. Pero esta forma de contradicción es bastante habitual y no sólo la utiliza Google, porque, de hecho, no les sería asumible el riesgo de reconocer sus propios agujeros de seguridad o debilidades, de la misma manera que Apple se niega a asumir los suyos. Está claro que todo dispositivo o sistema que esté en red es proclive a sufrir ataques, y es, potencialmente, un objetivo de los hackers. También es cierto que los dispositivos de hoy en día son más seguros: trabajan con claves de alto cifrado y pueden utilizar multitud de certificados de seguridad. Curiosamente es también culpa de esta complejidad el que muchos administradores y diseñadores de software comprometan la integridad, muchos de ellos trabajan a presión para cumplir plazos (cada vez más cortos en una industria tan competitiva en donde una o dos veces al año tienes que renovar el producto para que no se muera) y en condiciones muchas veces penosas. El romanticismo de una sala en Silicon Valley con programadores jugando a la pelota en mitad de la jornada laboral cada vez va quedando relegado a unos poco afortunados, muchas compañías subcontratan servicios de desarrollo en oriente, con partes de drivers realizadas por becarios o por personal temporal no sólo
mal pagado, sino en gran medida desincentivado. Pero mientras se cumplan plazos y fechas, a casi nadie le importa lo demás. La seguridad de los smartphones, tabletas y demás es, y será, cada vez un tema recurrente para salvaguardar la intimidad de los usuarios. Pero cada vez más la ingeniería social y determinadas herramientas (accesibles a quien las quiera obtener) harán de esto una especie de carrera del gato y el ratón. Puede que los habituales golpes de antaño no se repitan, de hackers novatos, pero las intrusiones importantes en busca de valioso material tendrán (y empiezan a tener) un escenario de realización que obligará a los cuerpos policiales especializados a un altísimo grado de dedicación y complejidad. Ahora bien: ¿estarán ellos dispuestos a implicarse y robarle a sus familias el mismo tiempo que dedican los hackers y crackers? Ahora mismo existen herramientas de monitoreo capaces de buscarle la pista hasta el último microsegundo de actividad de una IP, pero también los hackers tienen otras muchas formas de ocultar sus movimientos que sólo unos pocos años atrás no llegaron ni a soñar. En el fondo un hacker nunca cree que le vayan a coger. De hecho, hoy como ayer, si cogen a muchos de ellos es por
los múltiples errores que cometen en su ambición de lograr llamar la atención y conseguir una cierta fama.
A modo de resumen... Muchos libros y programas de televisión sobre ingeniería social están colaborando a crear una cierta psicosis, de manera que un enorme número de personas a las que se les acerca algún desconocido para solicitarle ayuda acaba creyendo que le quieren estafar. Esto colabora a que, si nuestra sociedad ya es de por sí en gran manera insolidaria y egoísta, lo sea aún más. Nuestros lectores deberían entender que la mayoría de las personas que se acercan a uno reclamando ayuda es porque realmente lo necesitan. He trabajado durante muchos años con organizaciones asistenciales, y puedo aseguraros que la gran mayoría de personas que piden auxilio no lo hacen por placer. Cuando uno se encuentra en la calle o en una situación personal conflictiva, es muy difícil salir de ella, y habitualmente requiere un largísimo proceso de fuerza de voluntad y asistencia que suele durar años, no días. Por ello, no quisiera que ninguno de los que lean este libro caiga en el error de que le van a estafar o de que cualquier persona que pida su ayuda es un riesgo en potencia. Obviamente, cada uno debe valorar la petición con sentido común: no es lo mismo que le paren por la calle pidiéndole cincuenta centavos, a que un estafador le
quiera vender su automóvil por mil dólares, o un hacker le pida su contraseña personal para acceder a tal parte de sistema y hacer determinada cosa. Espero que con las líneas y capítulos anteriores el lector haya aprendido a valorar el riesgo y sepa obrar en consecuencia, ése es el fin primordial de este trabajo. Se deberían dar charlas de seguridad para no caer en extremismos que no llevan a nada, y evitar convertirnos en salvajes en donde estemos todo el rato mirándonos el ombligo porque, aún así, nadie nos asegurará estar a salvo de hackers. En todos estos ejemplos has podido comprobar que hay mucha diferencia entre la seguridad y la solidaridad. Por supuesto, si una persona, aunque fuera un extraño, se acerca a tu lugar de trabajo a pedirte un favor, en un alto porcentaje de casos necesitará realmente que le hagas ese favor, y deberíamos hacérselo si está en nuestras manos. Pero es muy diferente a eso el que dejemos nuestras tarjetas de identificación encima de la mesa o se las confiemos a guardar a celadores, o que cualquiera sin identificación entre para "engancharse" a nuestra red sin que ningún superior nos advirtiera de ello. Esos extremos no entran dentro de lo que deberíamos ver como solidaridad, sino como integridad, al fin y al cabo, protegiendo nuestra empresa protegemos nuestro trabajo y, en último término, a la sociedad y a nosotros mismos.
No deberíamos prejuzgar tan ligeramente a las personas. Un tipo que se acerque a nosotros por la calle mal vestido y oliendo a humedad no tiene por qué ser un alcohólico, puede que simplemente sea la única ropa que en los roperos municipales le hayan podido prestar aquélla mañana, o se haya empapado de la lluvia. De la misma forma que un hombre con traje y corbata perfectamente planchados y sonrisa atractiva no tiene por qué ser un respetable ejecutivo. Puede tratarse de todo un hacker. Tendemos mentalmente a etiquetar a las personas mediante su aspecto, su forma de hablar y sus gestos, cuando las acabamos de conocer. Un hacker lo sabe muy bien, y tratará siempre que pueda de causar una buena impresión la primera vez. Luego no le importa, porque probablemente no le vaya a ver nunca más. Es cierto que la sociedad, en general, es un animal carnívoro sin piedad que intentará devorarnos, pero hay muchas personas que, precisamente por eso, acabaron devoradas. No nos convirtamos con la excusa de nuestra privacidad, en un carnívoro más y en ése tipo de sociedad que, precisamente por ello, detestamos. Si, en último término, nos surgen dudas, parémonos a pensar y preguntémonos: "¿es esto realmente lo que quiero hacer? ¿Soy yo así?". A veces es mejor dejarnos estafar con un par de dólares y dormir tranquilos, que no por nuestra culpa dejar sin un bocadillo o una medicina a personas
desafortunadas que lo hubieran podido necesitar. Siempre que me preguntan respondo firme que lo primero es la solidaridad y el altruismo. Para ser injustos, déspotas o insensibles, siempre tendremos tiempo. Y aún queda gente en quien puedes confiar, porque, de lo contrario, ¿qué tipo de mundo estaremos construyendo? Si hay un conjunto de personas que tengan el alma negra, no les tomes de excusa para tenerla también tú, ya que ese tipo de personas son las más merecedoras de nuestra conmiseración. Intenta mantener unos principios altruistas, y no los vendas por un posible "lo que pudiera pasar". Toma las lecciones de estas páginas anteriores como una muestra de dónde debe residir la auténtica seguridad, y no cómo una excusa para tomar el papel de juez o acusador de nadie.
Breve glosario de terminología · Aplicación de escritorio remoto: Es un tipo de programa que permite a un usuario lejano hacerse con el control de otro ordenador y manejarlo como si estuviera físicamente junto a él. Existen muchas variedades de estos programas, muchos de ellos usados habitualmente por hackers. · BBS (de Bulletin Board System): Es un sistema para comunicarse entre grupos de usuarios (o usuarios anónimos) mediante un programa terminal (o también Telnet si es desde una computadora) a través de Internet o una línea telefónica. El intercambio de información se realiza mediante texto plano. · Bot: Script automatizado que podía operar de forma independiente como si fuera una persona real, para realizar diferentes tareas. · Bugs: Errores o fallos de programación que pueden servir, por ejemplo, como acceso de puerta trasera ("backdoors"). · Captcha: Tipo de cifrado que, en teoría, impide el uso de robots o automatismos. · Drivers: Importante software que cumple tareas de
relación con el sistema operativo. Muchos de ellos están realizados directamente en ensamblador para aumentar su eficiencia. · GUI: "Graphic User Interface", "Interfaz Gráfica de Usuario". Habitualmente una capa de nivel superior para facilitar la relación hombre-máquina. · Hacker negro / hacker blanco: Se usa para definir el tipo de hacker según sus acciones. El "hacker blanco" es aquél que penetra en sistemas con el único objeto de aprender y/o hacer ver a sus legítimos dueños sus fallos en seguridad, mientras que el "hacer negro" aprovecha esos fallos en su propio beneficio. · MBR: Acrónimo de "Master Boot Record". El primer sector ("sector cero") de los dispositivos que almacenan datos, como discos duros. · NAT: Es el traductor de direcciones de Red. Para IPv4 se utilizan las NAT-T. · Newbie: Persona novata en informática o técnicas hacking. · Phreaking: Son las técnicas de uso y aprendizaje de las líneas telefónicas, de sus dispositivos y elementos
(hardware) y de su software de gestión. No tiene por qué estar relacionado con el mundo del hacking, aunque en la mayoría de casos sí lo esté. A los amantes y estudioso de estas técnicas se les conoce en el argot como "phreakers". · Shareware: Programas informáticos que, para su uso, se requiere de un pago, aunque el programa funciona previamente "a modo de versión de prueba". Pueden ser de muchos tipos: de pago tras un tiempo de uso (si no se realiza el pago la licencia expira y el programa deja de funcionar), o de pago para obtener todas las funcionalidades (algunas partes del programa no funcionan si no se compra una licencia). Los hay también que funcionan plenamente sin que se adquiera la licencia, pero a cambio emiten molestos avisos, o publicidad, o tienen partes de información -en cierta forma también molestas- para que se compre la licencia. · Seguridad mediante oscuridad: Filosofía de seguridad que sobreentiende que cualquier usuario que se encuentre dentro de la red interna de la empresa o a través de su sistema de filtrado externo es un usuario legítimo y autorizado. Es un planteamiento muy extendido (sea por premeditación o por otras causas, como olvido o configuración errónea de los sistemas y aplicaciones de red) y que suele tener consecuencias dramáticas para la seguridad.
· Stealer (en español "ladrón de información"). Es el nombre genérico de programas informáticos maliciosos de tipo troyano, que se introducen a través de Internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito. · "The Scene" ("La Scena"). Define la relación y el mundo entre hackers, VXs, crackers... etc. · VX (VXs): Escritores de virus. · Warez: Programas, aplicaciones y material diverso pirateado o/y crackeado.
Códigos de ejemplo Ejemplos de un código con servidor FTP y servidor de ficheros bajo IRC. © (Manuel Gris)
Ejemplo de una parte de código de un script en VB imbuido en una página web, con la rutina para instalar una aplicación (Nefty usó algo parecido). © (Manuel Gris)
Herramienta OPSC © (Manuel Gris):
Direcciones útiles · https://login.launchpad.net/+openid Servicio de OpenID de Canonical. OpenID es una herramienta de claves unificadas, de manera que se puedan utilizar en multitud de sitios y páginas Web. On OpenID, tendremos la gestión de las cuentas centralizadas, anónima y segura. El servicio de Launchpad, además, nos permite elegir entre visualizar nuestro nombre público o no. · http://ascii.cl/es/url-decoding.htm Decodificador de URLs. Nos permite interpretar los símbolos que encadenan las rutas URL para enviar información sin encriptar. · http://www.antiaverage.com/ip/ Intérprete y convertidor de direcciones URL modo texto, a direcciones IP. · http://blog.gentilkiwi.com/mimikatz Una de las últimas herramientas para la obtención de contraseñas, hashes e inyecciones en sistemas Windows. · http://www.tastycocoabytes.com/cpa/ CPA. Sniffer para sistemas Mac OS X. · http://www.portswigger.net/burp/intruder.html
Herramienta perteneciente a la suite BurpSuite para ejecutar ataques de fuerza bruta. · http://www.fwbuilder.org/ Interfaz GUI de cortafuegos. · http://www.comodo.com/secure-dns/switch/ Servidor DNS seguro. · https://developers.google.com/speed/public-dns/?hl=es DNS públicas de Google.
Aclaraciones finales Los relatos que puedes leer aquí son historias noveladas de algunas de las andanzas más famosas de hackers y crackers de hoy en día. Tienen como principal atractivo que son historias actuales, con sistemas informáticos de hoy y ordenadores modernos, al contrario que otros libros o relatos similares, que suelen remontarse a los años noventa u ochenta o, incluso, a la era de los primeros ordenadores. Por lo tanto, es un trabajo, desde el punto de vista de la actualidad, muy valioso. Han sido expuestas únicamente como ejemplo de lo que este tipo de personas pueden lograr, y con el único fin de que el lector pueda protegerse al conocer cómo actúan. Bajo esta premisa es bajo la cual se difunde éste texto. Lógicamente, por razones obvias de seguridad, se ha tratado de preservar algunos detalles en aquéllos casos en donde la descripción pormenorizada pudiera llevar a que alguien pudiese realizar el procedimiento descrito. Los nombres son totalmente ficticios, y si coinciden en algún caso con un hacker o cracker real es simple y total casualidad. En algunas de ellas también se ha recurrido a "lo que pudiera haber sido" en caso de llevarse a su fin determinada acción, pero esto no quiere decir que se haya
cometido (ya he mencionado que son relatos de ficción) la mencionada acción. El hecho de relatar el procedimiento completo es simplemente para hacer ver gráficamente la fragilidad de determinados sistemas actuales, y para aclarar el modo de actuación de los hackers y crackers. Por último, se ha tratado de obviar, siempre que ha sido posible y con el objeto de facilitar la lectura a la mayoría de personas (aunque no estén familiarizadas con la informática), términos técnicos y argot informático o "de la Scene". De este modo se hace el texto más digerible por aquéllos menos habituados a tratar con ordenadores. En aquéllas situaciones en las que no ha sido posible esto, se ha tratado de aclarar dicha terminología de manera contextual o/y accesoria al texto. No obstante, al final encontrarás un pequeño glosario que hará referencia a algunos términos.
View more...
Comments