Gris Manuel - Hackers Crackers E Ingenieria Social
122
-
Upload
michael-perez -
Category
Documents
-
view
55 -
download
6
description
hacking
Transcript of Gris Manuel - Hackers Crackers E Ingenieria Social
Contenido
Hackers y Crackers
Las cajas registradoras de las tiendas en susmanos
Chantaje
Obteniendo las contraseñas de Gmail
Las altas esf eras
Asalto al tren del dinero
La mina de oro de las cabinas de teléf onos
Accediendo a smartphones
Espionaje industrial en su propia casa
De carterista a hacker
Los hackers de la nobleza
El espía espiado
Los teléf onos listos no son tan listos
A modo de resumen
Brev e glosario de terminología
Códigos de ejemplo
Direcciones útiles
Aclaraciones f inales
Hackers, Crackers, eingeniería social
Manuel Gris
- 2012 - Manuel Grishttp://ManuelGris.blogspot.comEdición especial Kindle© Reserv ados todos los derechos. © De la presente edición: 2012Diseño de cubierta: Ref lejo Creativ eNúmero de registro: 1209302422322
No está permitida la reproducción total o parcial de este libro, nisu tratamiento inf ormático, ni su transmisión íntegra (no seincluy en en este caso sinopsis, resúmenes o menciones) porcualquier medio sin el permiso prev io y por escrito del autor.
Índice
IntroducciónLas cajas registradoras de las tiendas en sus manosChantaje Obteniendo las contraseñas de GmailLas altas esf eras
Asalto al tren del dinero La mina de oro de las cabinas de teléf onosAccediendo a smartphonesEspionaje industrial en su propia casaDe carterista a hackerLos hackers de la noblezaEl espía espiado Los teléf onos listos no son tan listos A modo de resumenBrev e glosario de terminologíaCódigos de ejemploDirecciones útilesAclaraciones f inales
SinopsisTras el best seller de su libro "Técnicas de seguimiento", ManuelGris regresa con su esperadísimo libro sobre seguridadinf ormática. En "Hackers, crackers e ingeniería social"conocerás uno de los aspectos menos conocidos de los hackersmediante sorprendentes historias que te abrirán los ojos a unarealidad alternativ a, a un mundo en donde nada es lo queparece.
Manuel Gris nos descubre las oscuras amenazas a las que seenf rentan no sólo políticos, compañías multinacionales ygobiernos del mundo entero, sino también el ciudadano de a pie.Este libro te abrirá los ojos a la auténtica realidad hacker en elmundo de hoy.
Introducción¿Cómo v iv en los hackers? ¿Cómo operan para llev ar a cabosus ardides? En este libro descubrirás la f orma de actuar demuchos de los hackers y crackers, así como su manera demov erse entre el complejo entramado social, tejiendo sussutiles redes para lograr sus objetiv os.
Mediante historias nov eladas de las operaciones máscomplejas, Manuel Gris nos enseña cómo af ectan, a día de hoy,las activ idades de hackers a empresas y particulares. Fuera delmov imiento romántico de la cultura hacker, se nos muestra unescenario de artif icios sociales creado para "mantener elrebaño", la masa social, sumisa, y el cual los hackers sabenaprov echar muy bien. Al margen de las corrientes políticas,escrutándolo todo, los hackers son capaces de ir más allá delos simples trucos psicológicos y pueden inf iltrarse en las másaltas esf eras del poder. No es en v ano que gobiernos de todo elmundo, y destacadas multinacionales, recurran a ellos demanera habitual.
Descubre el mundo oculto que respira y se muev e tras tuordenador.
Al f inal de cada capítulo encontrarás un apartado conimportantes consejos sobre cómo protegerte o proteger a tucompañía de los ataques e inf iltraciones descritas prev iamenteen el texto.
Las cajas registradoras de las tiendas en sus manos
La siguiente historia relata muy claramente lo f ácil que es av eces adentrarse en los sitios más seguros e inv erosímiles deun negocio, y de que, en realidad, hay más peligros de los quea v eces suponen la may oría de personas, prof esionales delcomercio o la inf ormación.
Éste caso se llev ó a cabo por un grupo de hackers, a los quev amos a llamar RederZ, y que nos cuentan cómo colocaron susof tware en una gran cantidad de comercios de todo en tipo dev arios países:
"Una v ez pusimos el sof tware de gestión en v arias tiendas.Primero lo subimos a un f amoso sitio de indexación deaplicaciones. Normalmente estos sitios f acilitan al internautaprogramas que son f reeware o shareware, pero prev iamenteellos los suelen probar para conf irmar que, en ef ecto, cumplenlo que dicen y realizan las f unciones para las quesupuestamente lo colgó allí el programador (y que seespecif ican en la descripción del programa, un apartado deobligado cumplimiento al env iar la aplicación). Obv iamente,nuestro sof tware las cumplía, de modo que las pasó sinproblemas. Por regla general no se suelen molestar (ni tienentiempo material) de probar a f ondo un programa. Además, paraque nuestra aplicación llegara a rev elarse como malignatuv imos la precaución de programar la necesidad de suutilización durante un tiempo, un espacio de tiempo en el que y apodíamos estar seguros de que los testeadores de ese sitio y ala tuv ieran desinstalada".
No tuv o que transcurrir mucho tiempo hasta que los miembrosde RederZ v iesen los resultados. Las aplicaciones de gestión de
tiendas suelen ser muy populares, de hecho a día de hoy sonprácticamente imprescindibles. Pero la may oría son caras y,sobre todo, complejas: se requieren instalar bases de datos yconf iguraciones tan estrictas y prof undas (como creación deelementos y campos clav e dependiendo de los datos a incluir)que muchos tenderos no tienen los suf icientes conocimientospara llev ar a ef ecto una conf iguración adecuada. Ellos habíanobv iado todo eso, y habían creado un complejo entramado quedesde f uera, de cara al usuario, f uncionaba con las v irtudes deuna base de datos, pero que no lo era, por lo que el usuariopodía trabajar como si se tratase de una aplicación de base dedatos, pero sin la complicación y def ectos de ésta. De hechoera tan f lexible y cómoda que pronto se hizo f amosa:
"No tardaron en escribirnos f elicitándonos por la aplicación. Loutilizaban todo tipo de comercios, pero especialmente medianosy pequeños, de todas partes del mundo".
Lo que los usuarios no sabían es que esa aplicación no era másque "malware" (un tipo de sof tware que oculta oscurospropósitos, escondido en una aplicación que, sin embargo, síhace lo que promete). Los hackers obtenían direcciones IP(direcciones de red) de los usuarios e inf ormación sobre lostipos de conexiones que usaban. Pero eso no era lo máspeligroso:
"Teníamos listados de toda la mercancía que tenían, lo quev endían, el dinero que entraba en caja, las transacciones querealizaban con tarjetas de crédito... Todo, absolutamente todo."
Podían haber hecho mucho daño, haberse apropiado del dinerono sólo de la tienda, sino de todos los clientes que pagasen contarjeta de crédito, pero no lo hicieron:
"Nos sorprendimos a nosotros mismos de lo f ácil que había sidollegar hasta donde llegamos. No es que tuv iéramos miedo, sinoque jamás nos planteamos robar dinero, en realidad nuncapensamos que nuestra aplicación la f uera a instalar más de unpar de personas".
Finalmente decidieron cortar por lo sano: env iaron a laaplicación una actualización que se auto instalaba y modif icabael procedimiento de cálculo, de manera que daba siempre error.
"Nos escribieron multitud de correos de todas partes,notif icándonos el f allo y rogándonos que lo corrigiéramos, eraalucinante: ¡no querían por nada del mundo desprenderse deella!".
El grupo de hackers recuerda aquélla época con una ciertanostalgia, y adv ierte: "hoy en día cualquiera podría hacer lomismo. De hecho incluso de f orma más f ácil, porque elmercado está copado de complejas aplicaciones de f acturacióny gestión de tiendas absurdas y un programa rápido, sencillo yf ácil es aún más dif ícil de encontrar".
- Protección. Protegerse de este tipo de amenazas es a v eces complicado,porque las páginas indexadoras de aplicaciones en la may oríade los casos contienen sof tware totalmente legal. Pero mirecomendación es que siempre se descargue la aplicacióndesde un sitio de conf ianza, a poder ser desde la web del autor.Muchos de esos portales de alojamiento tienen la URL del autordel programa en cuestión: v isítela. Si nota algo raro, nodescargue el programa. Si el autor no dispone más que esaaplicación para su descarga, o su página es un simple link sin
más inf ormación, desconf íe. Recuerde siempre que el malwareno es detectado por los antiv irus, por lo tanto en éste caso no leprotegerán, y a que el programa en sí es totalmente legítimo. Demodo que f íese de su instinto y, en último término, consulte enf oros o escribiéndole directamente al autor.
Chantaje
Se tiende a pensar que los crackers y hackers pueden llegar atener dominio casi absoluto en las compañías detelecomunicaciones, en las de gas, electricidad y, en general, entodo tipo de empresas de suministro básico para la v ida diariade cada persona. Esta es una imagen muy popularizada enpelículas y nov elas, pero dista bastante de la realidad. Dehecho, para que hoy en día un hacker pueda llegar a tener uncierto control en esas redes inf ormáticas de ciertas compañías,necesita saltarse enormes medidas de seguridad, tanto a niv elexterno (de la red hacia af uera) como interno (de la red dedentro). Eso sin contar cortaf uegos y otra serie de mecanismos(hardware o sof tware) de lo más v ariado. Todo esto supone lainv ersión de mucho tiempo, y aunque los hackers, en suinmensa may oría, dispongan de ese tiempo -y de muchapaciencia- a v eces la situación requiere medidas mucho másexpeditiv as.
Éste es el caso de la cracker Nef ty. Esta cracker se habíaganado una cierta f ama dentro de la Scene por lograr crackearprogramas menores de herramientas web shareware, comoeditores de mapas HTML con zonas activ as y similares.También había logrado modif icar el código de una aplicación deedición de f otos, pero casi al mismo tiempo la compañía lanzóuna nuev a v ersión -bastante exitosa- de su programa, queincluía un algoritmo específ ico de v erif icación de clav es a partirde lo que se denomina técnicamente como un hash, paradif icultar el trabajo de los crackers.
Pero eso no era lo que ahora le preocupaba a Nef ty : "Estaba obsesionada con una genial aplicación que usábamos lamay oría de nosotros en clase, a espaldas de los prof esores. El
problema de ese programa es que era de pago, y cada diezminutos te salía una v entanita recordándotelo, era un incordio."
Ella se sentía en deuda con sus compañeros, puede que f uerapor generosidad o porque suponía todo un reto como cracker (o,también, y quizá no menos importante, para sentirse halagadapor ello): "Yo me sentía un tanto responsable porque se la había instaladoal resto de mis compañeros, y ahora casi todos ellos la usaban.Recurrían a ella en los exámenes, cuando había un ejerciciocomplicado para pasarnos las soluciones unos a otros... En f in,para inf inidad de cosas".
No le f ue dif ícil conocer cómo estaba realizado el programa:simplemente por su modo de instalación y las librerías queusaba supo que estaba hecho en Visual Basic. Los crackersuelen trabajar con div ersas herramientas de descompilación,Nef ty lo explica que es como un juego, "como programar alrev és". "El programa usaba un sistema de registro sencillo pero ef icaz:mediante una tabla básica de matrices, generaba todas lascontraseñas, tomando como ref erencia el número de instalaciónque se generaba al instalarla. Dos copias no f uncionaban con elmismo número, existían conf lictos entre sí. Un método simplepero muy bien pensado para una aplicación cuy o cometido erarelacionarse unas con otras".
El problema es que ésa tabla de matrices la tenía elprogramador: "Hacerse con esa tabla representaba tener el registro de todoslos programas que se instalasen, presentes o f uturos".
Una alternativ a era incluir una aplicación crackeada en sus
instalaciones (setup), una v ía que intentó, pero que le dejó enpunto muerto: "Por la f orma de trabajar de Visual Basic necesitas sí o sí elinstalador, no hay otro modo. Podría modif icar el ejecutable,pero la f unción seguiría allí, y, al generar el número de registroel crackeo del programa no serv iría para nada si había otraf uncionando en red".
Es entonces cuando decidió un paso muy agresiv o: hacersecon la tabla completa. "Era algo audaz, pero en aquéllos tiempos no me importaba. Meimportaba más llegar un día a clase y comenzar el registromasiv o de todas las copias que teníamos instaladas".
No f ue dif ícil dar con el desarrollador de la aplicación: aunquese escondía tras el nombre de lo que parecía una empresa,Nef ty no tardó en av eriguar que detrás estaba una solapersona. "En el código de un f ormulario de solicitud aparecía undestinatario con una dirección de e-mail personal, quesimplemente siguiendo el hilo te llev aba a una persona f ísica,con nombres y apellidos".
Nef ty le escribió y, con todo el descaro, le pidió la tabla dematrices. Era su primer paso "suav ecito": "Lo hice desde una red wif i anónima, por supuesto, aunque enrealidad no creí que f uera a responder".
Pero lo hizo: "Se empezó a hacer el despistado, diciéndome que no sabía aqué me ref ería y que, si quería el programa, se lo comprase.Cuando le contesté diciéndole que no me interesaba unalicencia, sino casi cuarenta, en lugar de of recerme un descuento
pareció f rotarse las manos".
Como ese sistema v io enseguida que no f uncionaba, dio elsiguiente paso: conseguir ella misma la tabla. Para hacerlorealizó una serie de pasos bastante inocentes, pero de unresultado prodigioso en aquéllos momentos. Ella misma nos losdescribe:"Primero v i mediante un whois en su página (af ortunadamenteera una página española, y, por obligación, en aquélla época loswhois no podían ser anónimos) su nombre y apellidos, sudirección... todos sus datos personales. Gracias a eso, con unasimple búsqueda di con su perf il en Facebook. Normalmentesuelo mantener v arios perf iles en las redes sociales, simulados,uno de chica y otro de chico, son muy útiles. Pero este tipo deperf iles para que "den el pego" tienen que tener una ciertaantigüedad. Eso se consigue de una f orma muy simple: no esmuy dif ícil entrar cada semana o cada quince días a cada unode esos perf iles de redes sociales y subir un link de, porejemplo, un v ídeo en YouTube. Con sólo ese gesto das lasensación de que tu perf il está "v iv o". Las f otos que colocabaen la imagen principal, por supuesto, no eran mías, sino que lasobtenía de sitios de alojamiento de imágenes que se suponepriv ados, pero que en la práctica no son tan "priv ados". Lascogía de este tipo de serv icios en países asiáticos o deEstados Unidos. En los lugares de Estados Unidos másprof undos (zonas de Alabama o estados parecidos) la gente nosabe hablar español en su inmensa may oría, y si v en unapágina en otro idioma que no sea el inglés ni siquiera la miran,por lo que es bastante raro que te adv iertan o se den cuenta deque usas su f oto".
Con su nombre y apellidos y su página en redes sociales (enFacebook, en éste caso), supo su número de teléf ono:
"El tipo ni siquiera lo tenía oculto, su número de móv il lo tenía ala v ista de todo el mundo. Seguramente pensaba que así lepodrían llamar con alguna of erta de trabajo o ligar más, y o quese...".
La cracker también logró av eriguar su f echa de cumpleaños:"En realidad la f echa de cumpleaños no la tenía en público, perocon un poco de paciencia y sabiendo dónde buscar, utilizandocachés y siguiendo sus conv ersaciones, pude encontrar unaconv ersación en donde le f elicitaban".
De este modo av eriguó el día de su cumpleaños, algo que seríacrucial en el proceso de obtener lo que deseaba:"Faltaban sólo un par de meses, ni siquiera, para ése día. Asíque ideé un plan. Programé un script y una pequeña aplicación.La aplicación se ejecutaría en segundo plano, totalmenteinv isible al usuario".
El día de su cumpleaños, el programador encontró en su buzónde correo electrónico una curiosa f elicitación:"¡Hola! Soy Lorena, de Facebook. Como hoy es tu cumpleañosme gustaría f elicitarte, pero hacerlo desde el Facebook meparece muy f río, así que te env ío una f elicitación por aquíespecialmente para ti, ¡espero que te guste!".
Lógicamente, la tal "Lorena" de Facebook no existía, ni siquieraera uno de los perf iles f alsos de Nef ty :"Jugué con su imaginación. Fácilmente podía eliminar el correo,pero sabía que no lo iba a hacer. Era un hombre, le escribía unachica para f elicitarle, una chica que, se supone, además, laconocía de Facebook... Era demasiado tentador como para almenos no av eriguar de qué iba la cosa. Además, todo esoocurría el día de su cumpleaños, para f elicitarle, cuando tendría
seguramente la guardia baja".
En el correo se adjuntaba un link, que le desv iaba a una páginaweb expresamente creada por la cracker para la ocasión, contodo el diseño de parecer una página web de f elicitaciones"normal":"Incluí v ínculos reales y tomé el diseño de una web real def elicitaciones, lógicamente, sin el código HTML original, sino unorealizado por mí. La subí a un sitio de alojamiento gratuito[Nef ty nos rogó que no especif icásemos cual] y oculté la URLcon un simple f rame sobre un marco de una página "legal", nof ue muy dif ícil, únicamente hay que ser cuidadosa y sutil alrealizarlo, y conf irmar que f unciona, nada más. Lo bueno deeste método es que puedes probarlo antes tú cuantas v ecesquieras, y como y o había tenido casi dos meses para hacerlo,me bastó y me sobró tiempo".
La página incluía un complejo script que llamaba a un Activ eX yque instalaba un programa -de f orma oculta- en el ordenadordestino:"El script únicamente f uncionaba en Internet Explorer, por lo queincluí una rutina de modo que, si v isitaba la página con otronav egador, la animación (es decir, la postal de f elicitación) noaparecía y se le adv ertía de tal circunstancia. Conf iaba en queel interés del tipo f uera tal que accediera con el Explorer -si esque no lo había hecho y a en un primer momento-. El Activ eXsimulaba ser la animación de la postal, pero en realidad lo quehacía era copiar un pequeño programa y ejecutarlo luego. Paraasegurarme de que de v erdad el programa lo hacía, v erif iquéque otra copia se instalase en la carpeta de Inicio de Windows,de manera que se ejecutase al iniciar sesión. El propio programatenía una simple rutina para, en caso de haberse ejecutado unav ez, que no se v olv iera a ejecutar. En todo éste proceso no
tardaba ni un minuto".
Dado que la postal tardaba más que ese minuto, la crackertenía tiempo suf iciente. Nef ty dejó claro que lo que hacía elmismo programa, podía haberlo programado en Visual BasicScript, pero no quiso arriesgarse a que la v íctima cortase antesla conexión y dejase el trabajo a medio hacer:"Si llego a hacerlo en el script, tardaría bastante tiempo en hacertodas las tareas que y o quería que hiciera, así que pref eríaasegurarme con el 'programita' independiente."
Obv iamente, había muchas cosas que podrían haber f allado entodo éste plan: el usuario podía cerrar la conexión antes detiempo, la instalación -a pesar de todas las rutinas decomprobación de Nef ty - podría f allar, o incluso el programa noejecutarse como debiera. Pero a la cracker no le preocupaba:"Si eso no f uncionaba, y a idearía otro plan, en eso consiste mitrabajo. Vas probando cosas hasta que obtienes lo que quieres,no pasa nada si no sale a la primera".
Pero f uncionó. Al día siguiente Nef ty borró la página f alsa def elicitación y todo rastro de ella, y borró la cuenta que habíaabierto en el serv idor gratuito para que no se le pudiera seguir lapista hasta allí. En su correo electrónico tenía una serie depuertos de acceso al ordenador de su v íctima, direcciones IP deconexión directa, y ciertas copias de archiv os "interesantes"que le podrían serv ir, como el de registro de contraseñas deWindows.
El programa instalaba además una aplicación de escritorioremoto en el ordenador de su v íctima, conf irmando después lacorrecta instalación. Si ésta no se realizaba bien, el pequeñoprograma ideado por Nef ty se reiniciaría la próxima v ez y lo
v olv ería a intentar, todo ello de f orma automática:"Podía f allar por miles de motiv os una v ez, dos, cien... pero elprograma seguiría intentándolo de nuev o hasta que se instalasebien, o el tipo av eriguase lo que estaba pasando y se lo'cargase'".
La f orma de conf irmación era sencilla: simplemente seaseguraba de que el tamaño del programa de escritorio remotoinstalado era el que debía ser, es decir, no tenía un menortamaño (o no existiese el programa en la ruta).
Con la aplicación f uncionando, se conectó a ella a última horade la tarde:"Ese tipo de tareas es mejor realizarlas cuando la gente estácansada de una jornada delante del ordenador. En esos casossuelen preocuparse menos de lo que ocurre y lo único quequieren es hacer otras cosas, como pasar el rato en redessociales o jugando, o irse a la cama, en lugar de mirar y remirarqué narices le están haciendo a su computadora una cracker".
Delante de las narices del tipo, Nef ty cogió el código f uente delprograma, las tablas de registro, y todo lo que necesitaba, y selo env ió a un FTP anónimo:"Tenía que hacerlo cuando él estaba conectado, es decir, cuandoel ordenador estuv iera f uncionando. Podía haber esperado a quesaltara el salv apantallas, pero el tipo no paraba de hacertonterías en el ordenador, y luego lo apagaba, de modo que mecansé de esperar. Además, ¿cómo iba a suponer que era y o?"
No podemos saber la expresión que le quedaría en la cara alprogramador, cuando v io v olar su aplicación ante sus ojos:Nef ty sabía dónde ir y qué hacer, gracias a los comandos queejecutaba en la consola de PowerShell para v er el directorio y
archiv os de su v íctima:"Al parecer sólo tenía ese ordenador, y era el que usaba parahacer todo lo que hacía en materia de programación, y tambiénpara uso personal".
No obstante tuv o que ser rápida: el hombre podía desconectaren cualquier momento. "Lo que hice f ue crear un script que me trajese los archiv os,principalmente la tabla, y ejecutarlo en PowerShell. Dicho scripttambién le cambiaba la conf iguración de teclado, de hecho se lodesactiv aba v olv iéndole a cargar el archiv o de conf iguración.Sólo f ue un par de toques rápidos. Mientras tanto al tipo lo teníaentretenido mareándole con el puntero del ratón".
Tras ese ataque, desapareció. Y lo hizo porque y a tenía lo quequería. Pero cometió un error absurdo, de principiante,descargándole la tabla de registro delante de él. No f ue dif ícilque la v íctima sumase dos más dos:"Al día siguiente y a tenía un correo electrónico amenazándomecon denunciarme. Por supuesto, le respondí como si no sabíade lo que hablaba, y a que si le amenazaba directamente eracomo conf irmar sus sospechas y ponerme a mí en eldisparadero. En lugar de eso le dije que no sabía a qué seref ería y que me dejase en paz. Pero me respondió con uncorreo mucho peor, llamándome de todo, y entonces f ue cuandole dije que empezaría a dejarle sin línea móv il, y luego, siseguía con sus amenazas, le dejaría sin electricidad, sin agua,y hasta sin casa. Se rió retándome a que no era capaz dehacerlo".
Pero sí lo era:"Cuando llegas a ese niv el de riesgo tienes que tomar medidas.Sólo tenía dos alternativ as: o asustarle tanto como para que me
dejase en paz, o esperar a que llamaran a mi puerta la policía eldía menos pensado tras una denuncia del tipo aquél. No eraalgo banal, aunque él no v iv ía de ese programa, en realidad leiba muy bien con él, y, por lo que había av eriguado, estabacontemplando la idea de hacerse autónomo o crear unacompañía teniendo a ése programa como la estrella principal. Siy o tenía la tabla de registro, podía estropearle todos sus planesregistrando copias o crackeándolas con dicha tabla, o,directamente, dif undiéndola. Si hacía eso en páginas de 'warez',y a podía irse olv idando de v ender más programas, porqueaunque los actualizase y les cambiara el sistema de registro, y anadie se los compraría".
Nef ty consiguió lo que se propuso, y el tipo acabó dejándola pormiedo:"Realmente debió recapacitar y darse cuenta de que y o y a nopodía v olv erme atrás, y a no había nada que pudiera hacer,porque, aunque le dev olv iese la tabla de registros, él no sef iaría de mí y no se creería que me hubiese quedado sin unacopia. En éste punto es cuando una, como cracker, tiene quetener la suf iciente sangre f ría como para conf iar en una mismay seguir adelante".
Pero, ¿cómo consiguió acceder a la compañía telef ónica paracumplir su amenaza?:"No lo hice. No tenía tiempo de ir av eriguando cómo acceder ala compañía telef ónica para llev ar a cabo mi amenaza. Pero y ohabía trabajado en una, y sabía cómo operaban. Tenía elnúmero de móv il del tipo, y, simplemente, les llamé y les dijeque me habían robado el móv il, que me bloqueasen la línea parano seguir pagando. Todo esto simulando v oz de hombre, claro.Las compañías telef ónicas tienen como principio -o tenían,cuando y o estaba en ellas- el prev enir antes que curar. De
modo que si alguien te llama diciéndote que le han robado sumóv il, primero se lo bloqueas, aunque en las preguntas que lehagas (como f echa de nacimiento o número del documento deidentidad) f allen. Y si encima les llama un tipo llorando ynerv ioso, el operador que reciba esa llamada no dudará de querealmente te ocurre algo malo. Lo bueno es que además podíahacer lo mismo las v eces que quisiera, porque como cada v ezte coge el teléf ono un teleoperador nuev o, es muy dif ícil quev ay an ley endo los casos anteriores o los "warnings" que seponen unos a otros con el ajetreo que tienen. Así que aunque eltipo no hiciera caso y hubiese llamado para reactiv ar su línea,y o podría v olv er a bloqueársela usando el mismo sistema,hasta que se dieran cuenta en la compañía de que realmentepasaba algo. Obv iamente, la llamada la hacía desde una cabinatelef ónica, lo más alejada posible de mi ciudad".
Muchas molestias, pero mereció la pena: tras haber comprobadola v íctima que realmente Nef ty podía "acceder" a su compañíatelef ónica y dejarle sin línea, no v olv ió a saber más de él. Unassemanas más tarde la cracker v olv ió a intentar acceder alordenador, y comprobó que y a no podía hacerlo. Seguramentehabía f ormateado y reinstalado todos los sistemas deseguridad. Aún así, Nef ty no está orgullosa de su "trabajo":"Cometí muchos errores, me conf ié en exceso mov ida por lacodicia y el saber que tenía muy cerca lo que quería conseguir.Hoy en día no habría cometido tantos. De hecho, una v ezdentro de su ordenador podría haber hecho lo que me diera lagana, no debería haber actuado tan a prisa ni exponerme tanto".
No obstante, su consuelo es que simplemente copió unprograma de f orma ilegal:"Me adentré en un ordenador de otra persona. Vale, es un delito,pero si lo denunciase seguramente ahora se reirían de él,
porque, aparte de mi intrusión, él no podría demostrar que y ohabía sido materialmente la persona que robó su tabla deregistros, ni que los programas eran míos. Me ocupé muymucho de ocultar ese tipo de pruebas".
Esa es una f orma de explicarlo bastante condescendiente,porque la realidad es que Nef ty sí registró las copias de suscompañeros de clase, y sí colgó a su sitio de warez pref erido lacopia crackeada "y libre" del programa, lo que, muyprobablemente, llev ó al programador "a la ruina", y a que a díade hoy su programa no ha v uelto a tener actualización.
- Protección. Aunque Nef ty conf iesa haber cometido no pocos errores, nocomo cracker, sino como hacker negra, en su intrusión, lo ciertoes que la v íctima tuv o también muchísimos. El primero de elloses incluir en un f ormulario una dirección personal, dirección que,además, usaba en multitud de cuentas de Internet y quedesv elaban su identidad. No es una buena f órmula mezclardirecciones personales con direcciones de empresa. Pero másgrav e aún f ue caer en la trampa tan antigua de clickear unenlace dentro de un correo electrónico y ejecutar uncomplemento Activ eX. En éste sentido, la cracker interpretómuy bien su papel de "seductora estaf adora", incluso podríahaber ido más allá si sus intereses f ueran otros, creando unperf il f also para tal persona en su red social pref erida.
Otro de los errores de la v íctima f ue no tener un sistema paramonitorear sus hilos de ejecución, y no mirar siquiera qué teníaen su carpeta de inicio o qué se ejecutaba automáticamente.Existen muchos programas para poder inf ormarnos f ácilmentede todo ello, pero muy pocos usuarios, realmente, se dancuenta de su utilidad.
Respecto al Whois en un dominio de Internet... es inexplicableque, con todos los problemas de seguridad que conllev a, losWhois no sean anónimos por def ecto, y sigan dejando a la v istade cualquier intruso la dirección personal de todo ciudadano quequiera tener su propio dominio.
Finalmente, el dejarse ejecutar un script mediante shell (o def orma autónoma, como podría también hacerlo en Windows, conJScript o VBScript) y no cortar la conexión de f orma inmediata,es algo que roza lo inaudito. Aunque tiene su explicación:¿cuántos de nosotros, realmente, si v emos que se ejecuta unav entana de script deprisa y aceleradamente, se nos ocurriríacomo primer mov imiento cerrar nuestra conexión? Muy pocos,de ahí el éxito de programas auto instalables, que no son másque v irus, muy f amosos y extendidos por todo tipo de páginasweb.
La última idea de amenazar a la cracker podría dar para unextenso debate. ¿Cómo debemos actuar cuando nos sentimosv íctimas de algo así? ¿Debemos acudir directamente a lapolicía, o ponernos en contacto con el cracker o hacker? En lamay oría de las ocasiones, el hacker muy probablementeaccedería, si se lo decimos educadamente, a querer llegar a unacuerdo. La may oría de ellos una v ez descubiertos se siententotalmente desolados, si llamamos a la policía (en caso detratarse de una gran compañía), probablemente jamás sepamoscómo han accedido al sistema, y los agujeros de seguridadseguirían allí, además de exponernos en gran medida a quedif undan el contenido que han obtenido ilegalmente. El error quecometió la v íctima en éste caso ha sido empezar amenazando ala cracker, imaginándose, erróneamente, que ella se amilanaría.El resultado f ue mucho peor, de hecho, un hacker negro podría
haber llegado incluso a eliminar todo el contenido del ordenadory quién sabe cuántas cosas peores. Además, en éste caso larelación entre la acción y la cracker partía más que nada de unaintuición de la v íctima, y aunque es cierto que ante unainv estigación prof unda por parte de inf ormáticos expertos enseguridad les llev aría a ella, no lo es menos que cuando se tratade una ordenador personal y de la intromisión para obtener unprograma, algunas v eces la policía es más pragmática. Laprimera alternativ a de llegar a un acuerdo con la cracker quizáhubiera sido lo mejor, pero a v eces la v íctima se siente tansorprendida y cabreada, que no se toma tiempo de recapacitaren lo que mejor resultado le daría. Al f in y al cabo, para lav íctima de este caso siempre le habría sido mucho mejorregalarle esas cuarenta licencias a Nef ty, que no v er suaplicación distribuida gratuitamente por todos los rincones, conla consiguiente pérdida, y a irreparable.
Obteniendo las contraseñas de Gmail
Darkday es un cracker que conoce prof undamente laprogramación en dif erentes lenguajes. Su último trabajo en unaauditoria le aburría, él lo calif ica como "extraordinariamentemonótono y sin incentiv os". Por "incentiv os" no se ref iere aldinero, obv iamente. Si eres muy bueno programando aún haymuchas compañías que se pelearían por ti. Pero los incentiv osque le daban a Darkday en aquélla empresa (una multinacionalde muchísimo prestigio, por cierto) no eran nada atractiv os paraél:
"Te of recían v ales de comida en su caf etería. Para mí era uncastigo, era odioso. Pref iero comer a bocadillos que encaf eterías de una compañía donde lo único que te encuentrasson las mismas caras hablando de su trabajo, era como seguirtrabajando. También tenías transporte subv encionado, si ibas entren te pagaban el billete (o parte del mismo). Pero y o tenía laestación a casi una hora de mi casa, perdía cada día un tiempoprecioso sólo por tenerles contentos con el dinero que me dabanpor transporte".
Para él, usar los incentiv os que la compañía le of recía era másun castigo que otra cosa: "Te decían: ¿por qué no usas nuestros v ales y nuestrosdescuentos? Y si no lo hacías se enf adaban, era como si lesdespreciaras o algo parecido".
Darkday programaba en muchas ocasiones en Power Builder, unpotente lenguaje de bases de datos. Según él tenía unsuperv isor que desconocía totalmente ese lenguaje:
"Nunca entendí cómo había llegado el chav al aquél a ese
puesto. Cuando me hizo la entrev ista para entrar me hablaba decosas inv erosímiles, no hacía más que insistirmepreguntándome cuánto quería ganar. ¿Que cuánto quería ganar?¡Pues lo máximo posible! La may oría de las personas quetrabajan en consultoría son estúpidas, son los restos deempleados de otras empresas que no los quieren en ningunaotra parte, o están allí porque no tienen otro sitio a dónde ir."
Darkday recuerda las llamadas que le hacían desde la central:"era absurdo, me llamaban desde la central a cualquier hora ysin av isar, porque allí estaba el único tipo que sabía interpretarlo que y o programaba. ¡Y se supone que esa empresa llev abael sof tware de muchas de las may ores compañías del mundo!".
No tardó en marchar de allí, y conf iesa sentir en aquélmomento un gran aliv io:"En pocos momentos me sentí más aliv iado que cuando melargué de aquél sitio, era agobiante. Respiré tranquilo cuando mef ui de allí".
Encontró luego algún trabajo limpiando, que le permitió obteneralgún dinero, aunque muy poco:"De cobrar un buen montón de dinero al mes, pasé a cobrar unaridiculez. Además, en un entorno en donde nada de lo que sabíav alía ni un centav o. Algunas de mis compañeras se burlabandiciéndome que para qué hablaba de inf ormática si primero teníaque aprender a limpiar. Tenían razón. No eran buenos tiempos,pero me sirv ió para aprender un poco de humildad".
Cuando acabó el contrato de limpieza se dedicó a pasarse lashoras ante el ordenador:"Ya ni programaba, me pasaba días enteros en Facebook sinhacer nada. Bueno, perdiendo el tiempo, pero nada de
prov echo".
Allí conoció a una chica que, aunque ella no estaba muy por lalabor de entablar amistad con él, f ue la única que le hizomedianamente caso, quizá por lástima, o simplemente porquenecesitaba su ay uda en v arias ocasiones, y a que Darkday lesolía ay udar en las dif icultades que tenía con su Mac.
Fue entonces cuando se quedó tan prendado de ella que se v ioen la necesidad de conseguir el acceso a su cuenta de Gmail.La había seguido los pasos, gracias a sus habilidades, de hechosabía todos sus mov imientos en la Red:"No es muy dif ícil para alguien con un poco de práctica ypaciencia obtener inf ormación, a v eces muy v aliosa, de algunapersona que te interese. Yo llegué a obtener hasta el currículumde esa chica, que había colgado en la red de una compañía ydicha empresa se había despreocupado totalmente de asegurary priv atizar el acceso a esos archiv os. De hecho, usaban lo quese denomina "seguridad mediante oscuridad": suponían que sóloquienes conocieran la URL directa del PDF (el propio usuario)podría acceder. Pero no me f ue muy dif ícil av eriguarla".
Llegó un momento en el que supo que había alguien quetambién estaba enamorado de la chica, aunque en realidadDarkday cree que era más que un amigo y que estaban en unaetapa prev ia de nov iazgo. Celoso por ese descubrimiento, sepuso a la tarea de saber más. Nos cuenta cómo lo hizo:"En Gmail puedes hacer que te env íen el restablecimiento decontraseña si la has olv idado. No v oy a dar los pasos que hicepara lograrlo, obv iamente, pero la chica me escribió porFacebook que no podía acceder a su correo. Como siempre laay udaba en esos temas, ella conf iaba totalmente en mí, demodo que le dije que se la restablecería y o y que se la env iaría,
y que, a continuación, ella la cambiara. Aceptó. No tardé ni dossegundos en conf igurar su correo para que reenv iara todos susmensajes a un buzón que y o manejaba. Aunque si no hubieraaceptado podría haberle env iado un link a una copia de Gmailf alsa para obtener las credenciales. No es dif ícil de hacer ycasi todos pican".
Con Gmail puedes conf igurar de f orma automática que cualquiercorreo que llegue a la bandeja de entrada se reenv íe a otro.Esta es una gran f unción, sin duda, pero su peligrosidad (yatractiv o para un hacker) es que no deja huella, simplementeaparece en uno de los apartados de conf iguración que, porcierto, la persona que usa el correo no suele v isitar casi nunca.La acción, al ser totalmente transparente, hace que el auténticousuario ignore lo que está ocurriendo y no se de cuenta de quetenga su correo "pinchado".
No obstante a Darkday no le sentó muy bien esa acción:"Me sentía mal; ella estaba en su derecho de salir o elegir aquien quisiera. Así que no tardé en v olv er a acceder a su correoy eliminarle la redirección, y luego deshabilitarle la contraseñapara que el sistema v olv iera a pedirle una nuev a".
- Protección. Este es un buen ejemplo de lo mucho que of recen las nuev astecnologías a los hackers, y lo f ácil que les resulta accederincluso a lugares en donde supuestamente su seguridad esmáxima, como Gmail. También es un buen ejemplo de lo muchoque les af ecta la f alta de expectativ as, la rutina y la desidia queimpera en la may oría de consultoras en la actualidad, abocadasa cumplir unos plazos y a contratar a personas a las que, en lamay oría de las ocasiones, no saben bien dónde amoldarlas.
También es una adv ertencia para todas las personas enFacebook que dejan su seguridad inf ormática a personastotalmente desconocidas. Aunque pase mucho tiempo condeterminada persona en sesiones online, tiene que tener encuenta que la otra persona puede que no sea quien dice ser.Ciertamente, en el mundo real también se da este tipo decomportamientos, pero es mucho más peligroso cuandodejamos toda nuestra intimidad al aire en f orma de currículums,dándoselos a empresas que, supuestamente, dedican grandesesf uerzos en v igilar la seguridad de sus archiv os. Tenga cuidadoa quienes f acilita sus archiv os priv ados, especialmente aquélloscon inf ormación conf idencial, como datos priv ados de losCurrículums Vitae.
Las altas esferas
Hay otro mundo, otro estilo de v ida lleno de glamour yseducción que el común de los mortales apenas puede llegar av islumbrar su brillo. Es el mundo del lujo, de las altas f inanzas,de la f ama y el dinero.
A Justicer se le podría def inir como un "hacker negro". A élmismo le gusta def inirse y que le def inan así. Según su manerade v er las cosas, "los hacker blancos no existen, essimplemente una estrategia para tener contentos a la policía, alos jueces y a los políticos, pero no son reales. Todos loshackers por def inición somos hackers negros. Porque entrar enun sistema para luego decírselo a la empresa, que no te hanpagado ni un centav o y que, encima, te han quitado horas yhoras de sueño, y que en agradecimiento la may oría de lasv eces lo único que consigues es una denuncia, es de idiotas.De hecho, la prueba más clara de que los hackers blancos sonsolo una inv ención es que muchos de los que se dicen hackersblancos han acabado con sus huesos en la cárcel. ¿Qué clasede hacker blanco es alguien que acaba entre asesinos? No, loshackers blancos es simple cuento".
Bueno, no deja de tener parte de razón, pero es su punto dev ista. Además, es obv io que esa f orma de pensar le sirv e aJusticer para justif icar sus propios actos. Lo que sí es cierto esque la f rontera entre hacker blanco o negro muchas v eces estan sutil que hasta a muchos de los propios integrantes de laScene les cuesta dif erenciarla.
Pero el relato que nos ocupa no v a de eso. Nos llev a a unmundo de f lashes de luz y peligros (y también de f orma dev ida) ajeno a la realidad de los miles de millones de almas que
pueblan el planeta, para las cuales no deja de ser unos simplesref lejos de sueño que apenas pueden llegar a rozar.
El objetiv o de Justicer era una f amosa y acaudaladaempresaria, con f ama mundial, a la que llamaremos "Thania": "Elegí a Thania porque es una chica a la que se suponeinteligente y guapa. Lógicamente, la elegí también por sermujer: no me producía el mismo placer y excitación si setratase de un hombre. Ya que iba a hacerlo, ¿por qué no elegirun objetiv o bonito y lindo? Bueno, en cierta f orma puede queestuv iera algo enamorado de ella, ¿quién no?".
Justicer v iv ía con sus padres. Sin trabajo, apenas sin estudios -los continuos v iajes de sus padres le habían hecho imposibletener una educación f ormal, y sus padres apenas sabían leer yescribir- aprendió todo lo que sabía de manera autodidacta: "Me pateaba todas las bibliotecas públicas en busca de libros deordenadores. La may oría de ellas eran un desastre, apenasprestaban atención a los libros de inf ormática, solamenteactualizaban secciones de narrativ a. Espero que eso hay acambiado ahora".
Lo que no podía alcanzar ley endo libros de ensamblador o deadministración de redes lo hacía con su propia experiencia,practicando y descargando manuales de Internet.
Pero, ¿qué es concretamente lo que quería de Thania?: "Simple: quería acceder al contenido de su ordenador personal,saber a dónde iba, v er con quién salía, sus amistades... suf orma de ser y de pensar. En def initiv a: conocerla. Alguiencomo y o ni en sueños podría aspirar a conocerla en persona, aque me la presentaran o, simplemente, a que me hablase.Alguien como y o tenía que hacer las cosas así si quería
conseguir algo de ese tipo de gente".
Pero no era f ácil: "Lo primero hay que entender que ese tipo de personas semuev en mucho. No son los típicos altos directiv os que leshackean todo el día sus cuentas en países como EstadosUnidos, que no salen de su despacho y que son adictos altrabajo. No. Este tipo de gente v iaja en jets priv ados, hacencruceros, tienen contactos alrededor del mundo entero. Un díaestán aquí y al siguiente en las Malv inas. Pero sabiendo eso, yteniéndolo presente -porque eso explica que un día puedasconectarte por VPN a determinado ordenador y al siguiente no,y eso no quiere decir que te hay an descubierto-, hay que serpaciente".
Aunque suene raro, su primera acción f ue bastante "analógica": "Era una manera de incentiv arme a mí mismo. Quería sunúmero de teléf ono personal, y para conseguirlo se meocurrieron v arias f ormas. La primera era la más f ácil, y f ue,curiosamente, la que f uncionó. Era simple y pura ingenieríasocial".
Justicer buscó en Internet el organigrama de la compañía: "No lo tenían en su web corporativ a, o, más exactamente, no lotenían como tal. Pero siguiendo el llamado 'mapa del sitio' pudehacerme una idea de cómo estaban estructurados los dif erentesdepartamentos".
El 'mapa del sitio" es una especie de "plano" que sirv e de guíaen la may oría de los portales de Internet que son algocomplejos, o de contenido dispar. En las compañías ycorporaciones los diseñadores del site web suelen seguir losesquemas lógicos de la empresa, div idiéndolos v irtualmente en
secciones, tal y como suele estar la compañía en la realidad.
Estudiando el mapa, Justicer pudo completar los espacios quele restaban de las dif erentes secciones de la empresa. Parecealgo banal y que la may oría de personas obv iarían, pero esonos da una idea de lo meticulosos que llegan a ser los hackers.Además, podría serle de mucha utilidad en el f uturo: "Llegué hasta el punto más cercano que pude a Thania en laescala de altos directiv os, concretamente, a su secretaría dedirección".
En muchas de las empresas la Secretaría de Dirección sueleser un departamento de apoy o a la alta gerencia. No es lasecretaria en sí, sino una sección auxiliar:"Llegar allí supuso obtener unos cuantos rangos de direccionesIP y números de teléf ono, pero ahí se acababa todo, era uncallejón sin salida".
Con ese rango de teléf onos, el hacker se acercó a un locutoriotelef ónico: "Tenían guías de teléf onos de todas partes, algunas un pocoantiguas, pero seguían siendo útiles. Normalmente la gente ibaallí porque podía hacer llamadas más baratas, pero tambiénpara inf ormarse de números de teléf onos, por lo tanto no erararo que alguien llegara tranquilamente y se pusiera a anotarlistados enteros de números, no llamabas la atención".
Eso hizo él: "Había casi una página llena de números de la compañía.Curiosamente en Internet muchos de ellos no estaban, peronadie se había preocupado de ocultarlos en la guía en papel".
Se hizo con un número de secretaria:
"Y llamé. Yo quería el número de la propia Thania, me imaginéque no se lo darían al primero que llamara... ¿O sí? Si no lointentaba no lo sabría. Por regla general las altas secretariastienen una norma básica: ser amables. Están acostumbradas atratar con millonarios tan excéntricos y a lidiar con personajesde alto standing que tienen que ser gentiles, pero cuidadosascon la inf ormación. Algo muy dif ícil de complementar cuando tellama un hacker que nada tiene que perder".
Y ella, obv iamente, podría perder su puesto de trabajo: "O algo peor todav ía: enf adar a su jef a 'jef ísima'. Así que llaméy sin apenas saludarla le dije que quería hablar con Thania. Sequedó a cuadros. No se lo esperaba en absoluto. Me preguntó:'¿A qué Thania se ref iere?' Le dije de inmediato, secamente:'con Thania, ¿no conoces a tu jef a? Me dio su número pero nosé dónde está ahora, póngame con ella'. Ése 'póngame con ella'es crucial. Era una f orma de decirle que y a teníamos algúnnegocio juntos, que habíamos hablado en otras ocasiones. Mepidió que esperase unos instantes, y supuse que se estaríacomunicando con ella por línea interna. Pocos segundosdespués me dijo: 'No está en éste momento'. ¡Bingo! Era lo queesperaba. De hecho, es muy probable que si llamas a ese tipode gente de la f orma que y o lo hice, sin concertar entrev istas nicitas, no esté".
"Ahora tenía que dar el paso siguiente, el más dif ícil: tenía queser conv incente. Para dar presión, había llamado desde la calle,con número priv ado y con ruidos de tráf ico y gente. Estaba enmi ciudad, pero ella no tenía modo de saber si llamaba desdeNuev a York o Tokio: '¿podría darme su número y así la llamoy o? No tengo la agenda aquí. Necesito contactar con ella ahoramismo'. Creo que le di más argumentos, y mucha 'paja', peroen f in, en lo básico es eso lo que le dije. No dudó un instante:
me dio su número priv ado".
Justicer había obtenido, con sólo una llamada de teléf ono, sinllegar siquiera ha identif icarse, el número personal de Thania: "Algo increíble, pero aparte de alimentar mi ego, en la prácticano pensaba que me serv iría de mucho. ¿Qué podía hacer conél? ¿Llamarla y decirle que estaba buenísima? Era absurdo. Esosí, me sirv ió como motiv ación para intentar conseguir mipropósito inicial".
Pero para llegar hasta su ordenador aún había un largo caminoque recorrer:"Tenían muchos serv icios externalizados, pero había algunosdominios que estaba claro que corrían en sus propias máquinas:serv idor de correo, boletines, y serv icios de suscripciónparecidos".
Con una herramienta de DNS inv ersa y escáner de puertos,intentó encontrar algún agujero por el que entrar:"Lo que quería era llegar a su VPN móv il, que seguro tenían,una compañía así siempre la tiene. No me interesaba para nadalos demás serv idores, a no ser que pudiera usarlos para llegar aella".
Inv estigando los serv idores comprobó que había algunospequeños f allos de conf iguración, pero nada más:"Una tarde me encontraba y a hastiado. No se me ocurría nada.Jugueteaba y garabateaba con un lápiz sobre el papel, cuandose me ocurrió algo: la red tenía una estructura en anillo, enrealidad, el administrador no se había preocupado mucho de sudiseño. Simplemente había comenzado con un pequeño anillo yle había ido añadiendo nodos según los necesitase. De estamanera te podías encontrar con nodos antiguos inserv ibles que
y a nadie miraba para ellos".
Mediante un portal de archiv os de Internet, Justicer logró"v olv er atrás en el tiempo":"Era como v iajar al pasado. Iba v olv iendo años y años hastalas primeras páginas. Eso me hizo tener una idea más clara delos serv idores y cómo los habían estado estructurando".
Muchas de las direcciones de los árboles web y a no existían,pero otras sí:"Soy un experto en sockets. Me f ascinan. Así que en cuanto dicon un serv idor que mantenía una v ersión antigua, f ue comorecibir un premio de lotería. El serv idor no contenía muchascosas, por eso precisamente no habría llamado la atención denadie. Era simplemente algo que se había quedado atrás".
Durante bastante tiempo se dedicó a escanear puertos:"Debí llegar hasta el cincuenta y pico mil. Hasta que di con unoabierto. Era un serv icio IRC antiguo, seguramente para algunasesión que habían usado tiempo atrás con el f in de comunicarseentre ellos. ¿Pero qué narices hacía un serv idor IRC allí?Seguramente el administrador pensó que nadie lo usaría. Fuef ácil 'engancharme' a él y hacer un listado de dónde estabaubicado y el sof tware que corría".
Pero no podía hacer mucho con él:"Un serv idor IRC no es más que algo que enlaza entre dospuntos, pero nada más. Para llegar a él había que estar en lamisma máquina que lo ejecutaba, algo impensable para mí".
Pero sí podía hacer que hiciera cosas para las que no estaba,en un principio, pensado. De hecho podía hacer que f uncionaracomo un programa de FTP (transf erencia de f icheros), e incluso
abriendo y cerrando puertos:"En realidad los sockets f uncionan como archiv os. Tú puedesescuchar, escribir, o borrar sobre ellos. Me di cuenta que podíasubir al serv idor el programa que quisiera, y abrir y cerrarpuertos".
Programó un script para que escuchara detrás del cortaf uegosde la empresa:"Ellos tenían el serv icio f uncionando con Oracle bajo Solaris ycon NFS y Remote Procedure Call (RPC). Disponían de IPmóv il cuy as direcciones auxiliares eran gestionadas por lo quese denomina un Agente Interno. Accediendo a él podías accederal tráf ico que se conectase y su ubicación".
La explicación técnica es f arragosa, pero, básicamente, lo quehizo Justicer f ue una suerte de equilibrios sobre las conexiones:"Me imagino que habrá maneras más f áciles de hacerlo, pero enaquél momento se me ocurrió así. Lo que ideé f ue una especiede 'túnel IP' que redireccionaba todo el tráf ico VPN a un puertoy lo llev aba hacia el f irewall, siguiendo por él. Para lasconexiones era algo totalmente transparente. Yo modif icabaluego los registros IP móv iles, para leerlos, y a que porseguridad son transmitidos codif icados y autentif icados conMD5. Tras éste proceso sabía quién y desde qué dirección seconectaban, sabiendo de dónde llegaban los paquetes".
Pero eso no suponía tener a Thania. Aún:"Había que armarse de paciencia. El proceso era laborioso, y av eces había tanto tráf ico que era imposible de seguir o cumplir.Por eso me conectaba a horas dispares. Lo bueno es queThania no tenía horarios, y podía estar usando su VPN enhorario de trabajo, cuando el uso es masiv o, o a media noche,cuando prácticamente nadie lo usaba".
Y por f in, la v ictoria:"Tres meses después me encontré con los datos de unaconexión entrante. Era una conexión por Internet con tráf ico deuna dirección ubicada en Singapur. Era ella con todaprobabilidad. Conseguir su dirección en la red f ue f ácil, peromás dif ícil f ue lograr entrar en su portátil. Tenía un f irewall muybien conf igurado, pero cuando establecía la conexión y o podíaredirigirle los paquetes. El f irewall debía estar dándole la lata sinparar, y debía v olv erla loca, porque acabó desactiv ándolo".
"En su ordenador encontré un archiv o de clav es. Era f ácil v ersu contenido: solamente tenía que ejecutar un archiv o en modolocal de su nav egador web, algo que podía hacer por DCC(conexión directa). Alguien le habría dicho que protegiese suscontraseñas pero ella, simplemente, pasaba de hacerlo. Y estoes así porque encontré sus clav es en un simple archiv o .txt.Ejecuté su cámara web, ¡y la pude v er a ella! Parecía estar enla habitación del hotel, sentada en la cama. Pero la luz deactiv ación de la cámara debió asustarla, apagó el ordenador yseguramente llamaría a su administrador de redes paraconsultarle el problema del f irewall".
Pero con las contraseñas, Justicer había conseguido acceso atoda la v ida de Thania:"Podía entrar en sus perf iles sociales, en su correo, leer suagenda... Con una simple aplicación desde mi PC, aunqueusaba mi smartphone con una wi-f i crackeada por el tema de losregistros".
Fue entonces cuando se encontró con la cruda realidad delmundo "del glamour y el éxito":"Era un e-mail que le había escrito a una amiga. Estaba en la
bandeja de elementos env iados. Omitiré la parte más morbosa,pero, básicamente, le contaba los sacrif icios 'que en su posiciónmujeres como ella tenían que hacer'. En el correo adjuntaba dosf otos donde se la v eía con un señor, muy v iejo, un magnateindio en, digamos, 'posturas comprometedoras'. Busqué másmensajes de ella con ésta amiga, la cual parecía ser su pañuelode lágrimas, y muchos eran de un estilo parecido. O leconf esaba que habría v endido 'hasta a su madre' por obtener taloperación, o... En f in, como te podrás imaginar, todo elromanticismo que y o llegué a sentir por ella se esf umó en unmomento. Parecía una mujer sin dignidad, sin principios".
Pero recordemos que al principio decíamos que Justicer era un"hacker negro", así que... ¿Qué hizo después?"Sí, bueno, le instalé un v irus muy bonito en su ordenador, quesobrescribiera su MBR. Luego le f undí v arios de los serv idoresde su empresa. El daño podría haber sido may or, pero no queríaque me pillasen, así que mi golpe se lo llev aron algunos de losserv icios más alejados al centro neurálgico que f ue mi intrusión.Aún así el daño no debió ser insignif icante. Unos cuantos milesde dólares seguro que les costó repararlo".
Justicer no quiere conf irmar si aún posee acceso a esacompañía:"Algo siempre queda, sobre todo cuando has logrado penetrartan internamente en las redes de una corporación tan grande.Pero y a no me motiv a. Quizá si algún día se dan cuenta de algode lo que hice y me acusan, v uelv a a recurrir a ello, quiénsabe".
- ProtecciónLo que ha hecho Justicer f ue algo tan prof undo y salv aje, quehablar de protegerse ante este tipo de hackers es casi una
temeridad, porque acabarán accediendo de alguna f orma. Noobstante siempre es bueno recordar que, cuanto más dif ícil selo pongamos, más oportunidades tendremos de salv aguardarmás partes conf lictiv as de nuestra red.
En primer lugar, la secretaria nunca debió f acilitarle dato alguno,debería haber sido inf ormada de un protocolo a seguir anteestos casos. En segundo lugar, el administrador de la red nodebería haber consentido que el mapa se estructurase segúnestaba la compañía, eso le dio pistas sobre a dónde dirigirsepara obtener mejores resultados. Un mapa web debe diseñarsesiempre de acuerdo a lo que of recemos en cada página, nosiguiendo el orden como se erigen los departamentos.
Nada que decir sobre el error garraf al y la desidia de dejar zonasabandonadas, e incluso con un serv idor aparentementeinof ensiv o de IRC. Esto es algo intolerable que,desaf ortunadamente, se da con demasiada f recuencia.
Sobre la gestión y ejecución de los serv icios de conexión Oracley VPN, más que def ectos de éstos es un uso equiv ocado. Eladministrador de sistemas debe pensar cuando los conf iguraque pueden usarse de una f orma dif erente "a la of icial", y debeponerse en ése supuesto para adoptar políticas de seguridadadicionales. Si se hubieran utilizado soluciones ref orzadas (losenlaces inalámbricos admiten medidas accesorias de seguridadque no suelen estar documentadas pero que permiten su usopara aumentar la f iabilidad e integridad del sistema en suproceso de transf erencia de datos) al hacker probablemente nole hubiera sido tan sencillo desv iar los paquetes.
Por último, el acceso real al ordenador de la v íctima con laargucia de hacer que su f irewall le resulte molesto parece algo
inocente, pero que a v eces da buen resultado. Siempre sedebería insistir que este tipo de acciones suelen darse cuando laconexión está inf estada, y que en ningún supuesto se deberíatomar como solución retirar el sof tware que nos protege.
Asalto al tren del dinero
Hay una película de Holly wood que llev a ese mismoencabezado, y aunque no puedo decir que sea una de misf av oritas, su nombre v iene bien para describir la historia quev amos a relatar.
Las compañías dedican muchos recursos para intentar ev itarque los hackers hagan estragos en sus redes inf ormáticas, pero¿qué ocurre cuando el peligro está dentro, cuando un "topo" seencuentra en el interior de la red, o cuando logran colar a uno?No tiene por qué ser una persona malév ola o elegida "exprof eso", muchas v eces puede conv ertirse en un peligro untrabajador que se sienta despreciado, desprestigiado o, incluso,desmotiv ado. Hasta el trabajador más implicado puede llegar asentirse f rustrado. Obv iamente, de sentir f rustración aconv ertirse en un hacker dista un mundo, pero por algo seempieza.
La compañía de esta historia era una empresa del metal quellegó a perder miles de dólares en proy ectos por culpa de untrabajador de este tipo. Este trabajador no tenía losconocimientos necesarios, ni los recursos, para lograr talespropósitos, pero coincidió con contactos que sí los tenían.
El trabajador, al que llamaremos Yerai, había sido despedidodurante un ajuste de plantilla. Las compañías europeas yestadounidenses de éstos sectores industriales se v enconstantemente obligadas a af rontar etapas de reconv ersióndebido a la competencia de la industria coreana y china. Por lotanto Yerai, como otros tantos de sus compañeros, se v ieron dela noche a la mañana en la calle y rozando los cincuenta años,una edad en la que es prácticamente imposible que nadie te
v uelv a a contratar.
Así, se v io prácticamente de improv iso ahogado en deudas ycon un ritmo de v ida que no estaba nada acostumbrado a llev ar.
Yerai se pasaba la may oría del tiempo en Internet. No eraexperto en inf ormática y para nada le interesaban esos temas,pero conv ersaba en salas de chat y en redes sociales. Comoen esos sitios es de lo más habitual que la gente se cuente susv idas, su historia enseguida llamó la atención de Ray. Este Rayera considerado por muchos como un "gurú", una especie deprof esor que enseñaba lo que no estaba en los libros a todo unejército de "newbies" áv idos de conocimiento. Esto lo hacía enf oros o canales de chat reserv ados y específ icamente creadosal ef ecto.
Ray no tenía muchos "golpes" f amosos, pero sus explicacioneseran gráf icas y didácticas y, lo mejor de todo: f uncionaban. Demodo que a nadie le importaba si sus acciones aparecían o noen los periódicos. Aún así, Ray quería realizar una intrusión quele diera aún más f ama y prestigio entre los suy os y que, a lav ez, le reportara un buen puñado de dólares. Él tenía losconocimientos necesarios en ordenadores, y Yerai la suf icienteinf ormación sobre el terreno, f ue sólo cuestión de tiempo queambas personas se dieran cuenta que podían ganar muchodinero con ello si se unían.
El ex-empleado le dibujó planos precisos sobre las instalacionesmás interesantes de los edif icios de la compañía, conindicaciones muy detalladas respecto en dónde se encontrabanlas zonas de más seguridad, qué había que hacer para accedera ellas, turnos de los guardias y de los equipos de trabajo,f ormas de operar de los inf ormáticos... Especialmente v alioso
f ue el patrón de contraseñas que descubrieron (aunque Yeraiapenas se había percatado de ello). Y es que el administradortenía una f orma curiosa de codif icar las clav es: simplementeera el nombre de la persona (la inicial del nombre y el apellidocompleto, sin espacios) seguido del año en que había entradoen la compañía. Era muy f ácil conocer el nombre y losapellidos, sólo había que tener sutileza y una cámara de f otospara captarlo de las identif icaciones que portaba el personal. Yla f echa de entrada con un mínimo de ingeniería social podíaobtenerse. No se puede saber si era por desidia o por simplerutina de que "nunca pasa nada" que el administrador realizabasus passwords así, pero es algo más común de lo quepensamos. De hecho, en algunas de las compañías en las quetrabajé y o mismo, el administrador seguía un patrón parecido.Cuando le hice v er lo erróneo de su procedimiento poco menosque me puso el grito en el cielo y me dejó caer que y o hicierami trabajo y le dejase a él hacer el suy o. Éste tipo decomportamientos no ay udan en nada a las empresas, y lo peores que cuando y a es tarde todo el mundo llora y nadie quierehacerse responsable de nada.
Ray probó desde su sistema la f orma de entrar, y aunque setopó con un f irewall bastante burdamente conf igurado y unbouncer, no consiguió ir más allá de los primeros niv eles. Se leocurrió entonces una manera un tanto absurda de llegar a losniv eles superiores de la red interna de la empresa: le pidió aYerai su pase de seguridad. El pase era una tarjeta de plásticocon banda magnética, muy bien diseñada estéticamente perocon un error garraf al: llev aba el nombre y los apellidos de lapersona, junto con un número, ¡pero carecía de f otograf ía! Esdecir: cualquiera podría cogerle su tarjeta a uno de lostrabajadores y suplantar su identidad. ¿Hay algún guardia deseguridad que sepa los nombres y apellidos de todos los
empleados de una gran o mediana empresa, y que se dedique aleerlos cada v ez que pasan a su lado? Yo creo que ninguno. Esmás, sospecho que es materialmente imposible que hagan algoasí. Por lo tanto es mucho más inv erosímil que, al despedir aalguien en la compañía, ésta no se preocupe en retirarle supase. Más aún: ni siquiera en anulárselo. Porque,ef ectiv amente, el pase de Yerai continuaba f uncionando.
Cualquier hacker, después de algo así, se habría dirigido a laszonas de acceso de alto niv el o al ordenador f ísico de control dederechos de acceso con el f in de darle a su propio pase v íalibre en todo el complejo, pero a Ray no le hizo f alta: Yeraihabía trabajado en mantenimiento, por lo que su pase teníapermisos hasta en las partes más restringidas. Podía sersuerte, pero la v erdad es que f ingiendo ser cualquier otroempleado no le habría sido dif ícil darse permisos a sí mismo, oincluso acercarse a una mesa y entretener a un trabajadormientras le robaba su tarjeta, y a que enseguida descubrió quemuchos de ellos las dejaban tranquilamente en sus escritorios, olas llev aban en los bolsillos de la camisa. En último término,podía haberse hecho con el bolso de cualquiera de lastrabajadoras, y a que algunos estaban en armarios de consignasen el lugar de los celadores, sin llav e y en muchos momentossin v igilancia. Simplemente acercándose a uno de los teléf onosy marcando la extensión del celador (escrita sobre el propioteléf ono de éste) podría hacerse pasar por un superior yreclamarle para cualquier cosa con el f in de que dejase libre supuesto de trabajo. Como se puede v er, había cientos demaneras de conseguir una identif icación de may or niv el, o demodif icar los derechos de la suy a.
Ray no era especialmente hábil con las palabras, ni en lasrelaciones sociales, lo que le dif icultaba en gran manera lograr
av ances en sus objetiv os utilizando ingeniería social. Él pref eríahacerlo todo delante de un ordenador, ante las máquinas sesentía más a gusto, más "en su mundo". Pero incluso alguiencon unas limitaciones como él pudo conseguir inf ormación demucha utilidad.
Lo que hizo f ue dirigirse al departamento de inf ormática. Graciasa las preciadas indicaciones de Yerai, sabía con seguridaddónde estaba. Pero aún así preguntó a un par de trabajadoresque encontró en su camino "para aclararse la garganta".
El departamento de inf ormática era una sala con v ariosescritorios sin div idir entre ellos y sin biombos, casi como si setratase de un comedor o un call-center (un "centro dellamadas"). Observ ó disimulando con su smartphone, como sillamaba y hablaba con alguien, y luego de un rato se f ue. A lahora del tentempié se acercó a la caf etería y v io en la barra ados chicos que había v isto con anterioridad en la sala deinf ormática. Se puso a su lado, llev ando consigo su v aso debebida, disimuladamente, y captó su conv ersación. Estabanhablando de f útbol. Por f ortuna, ése era un tema que éldominaba, y a que también era, en cierta manera, un f orof o. Enun momento dado interv ino en la conv ersación, apoy ando uncomentario que había hecho uno de ellos. A los dos minutos y aestaban hablando animadamente los tres.
Al rato miró la hora y dijo: "¡Tengo que irme! El otro día llegó anuestra of icina el tipo ese bajito de inf ormática, el jef e... ¿cómose llama?". Realmente, describió a un hombre pequeño quehabía v isto en el departamento sólo un rato antes, y que, por suf orma de actuar, parecía uno de los responsables. Uno de loschicos le dijo:- ¡Eduardo! Pero ése no es el jef e...
Ray interv ino:- Uno bajito... ¿El responsable de departamento cómo se llama?Porque si es Eduardo el pequeño... Pero bueno, no era pequeño,es que los nombres no se me quedan grabados, no soy buenopara eso.- No, el bajito es Eduardo, el de sistemas. Pero el deadministración es Fran.
Al f inal de la conv ersación había obtenido dos nombres y dosdescripciones bastante útiles. Se dirigió al ascensor y anotó ensu reloj Casio DataBank ambos nombres, y a que es más f ácilrecuperarlos así por si se le olv idaban que no rebuscando en susmartphone, lo cual llamaría más la atención y no sería tanrápido.
Al día siguiente se f ue hacia las of icinas más alejadas y entróen la sala. En su mano llev aba un cable de red RJ45 queprev iamente tenía guardado en la f unda de su notebook. Saludóa unas auxiliares administrativ as y se f ue a la pared. Loenchuf ó a su portátil y, extendiendo el cable, se alejó hacia unasala común, diciendo:- Soy Luis, de mantenimiento, tengo que utilizar un momento lared. Abajo tenemos que cambiar las rosetas telef ónicas, y a sesabe, en casa del herrero... Así que Eduardo me pidió queenchuf ara desde aquí.
Las chicas sonrieron. Nadie le dijo nada. A nadie le pareció raroque alguien v iniera con un portátil y comenzara a usarloenganchándolo a una terminal, menos aún les parecía raro siésa persona nombraba a uno de los responsables deldepartamento de inf ormática, lo que daba a entender que losconocía. Al menos en apariencia.
Ray no tardó en av eriguar la f orma de diseño y los protocolosde la red. El día anterior había accedido a la sala de serv idoresy pudo estar f ísicamente con los dif erentes perif éricos queusaban. En la red tenían conf igurados enrutadores de reenv ío6to4 de direcciones IP habilitados, a pesar de que no utilizabanIPv 6. Mediante el comando show-link, como administrador,también consiguió saber las interf aces que estaban instaladas.La contraseña de administrador no f ue muy dif ícil de obtener:inicial, apellido y año en el que había entrado a trabajar allí elresponsable de sistemas, cuy a descripción y nombre y a habíaobtenido ay er, y conf irmó luego con Yerai que seguían teniendoa la misma persona. No tuv o que probar muchos passwords,Yerai le indicó una cif ra aproximada en la que había sidocontratado. Claro, si ese era un sistema de clav es totalmenteseguro -pensaría el administrador- ¿por qué no usarla para símismo?
En cualquier caso, había un libro de registro para urgencias, endonde estaban escritas las clav es más importantes. El mismoYerai había tenido en una ocasión acceso a él cuando f ue arepararle alguna cosa en el despacho del director general. Perono hacía f alta recurrir a ello.
Tenían también un serv icio NAT para el personal que seconectaba por red segura desde casa, como ingenieros ydiseñadores. Conf iguró y editó la base de datos de hosts parasu propio acceso desde el exterior y, al acabar, apagó suportátil, retiró el cable de red y se f ue.
Desde el exterior recogió inf ormación de proy ectos y planos dedesarrollo de un inmenso v alor, así como base de datos declientes y cientos de inf ormes conf idenciales.
- ProtecciónHemos v isto cómo un trabajador que aparentemente nadie lerelacionaría con el mundo de la inf ormática, un empleado demantenimiento en éste caso, consigue conv ertirse en laamenaza más seria que pone en peligro a toda la compañía.
He trabajado mucho tiempo en departamentos demantenimiento, y sé muy bien cómo se comporta, por reglageneral, el personal. Desde secretarias de alta dirección que sepelean con su ordenador por cualquier error y permiten quecualquiera acceda a él, hasta recintos de serv idores con laspuertas abiertas y un cuaderno con las clav es colgado de unode los armarios, con el f in de que cualquiera de los inf ormáticosque llegara para solv entar alguna cosa pudiera hacerlo conpriv ilegios de superusuario, ¡asombroso! Con cosas así, no seacaba de entender cómo luego, cuando algo malo ocurre,muchos se echan las manos a la cabeza, ¡lo raro es que lasf iltraciones no ocurran más a menudo!
Partiendo de la base de que ninguna contraseña se deberíaescribir en papel, nadie debería permitir que un extraño con lasola identif icación de una tarjeta sin f oto se conectase anuestra red. Y, y a que mencionamos la tarjeta de identif icación,es un error que se comete muy a menudo el de no anular lastarjetas de acceso, una v ez que su propietario y a no trabaja allí.Además, en lugar de bandas magnéticas, de f ácil lectura y /oescritura, se deberían sustituir por tarjetas con chips,ligeramente más caras pero más f iables, que pueden incorporarincluso partes criptográf icas. De esta f orma es muy dif ícil quese copie o se acceda a su inf ormación para duplicarla.
Se debería organizar la protección de la red por capas, demanera que nadie sin el suf iciente niv el de acceso pudiera
entrar en ella desde determinadas zonas o rangos dedirecciones.
No obstante, y en la compañía de la historia que precede, susagujeros de seguridad eran tan grandes en su propio interior(debido a que suponen que todo el que acceda desde allí esusuario legítimo, lo que se conoce como "seguridad medianteoscuridad") que la intrusión podría haber llegado desde cualquierparte. Lamentablemente, ése no es un caso aislado. Conozcopersonas que hacen auditorías de seguridad para compañías detodo tipo, y ni quieren corregir sus errores ni les interesa, porquela may oría creen que la inv ersión en tiempo y recursos nocompensa. Lo único que buscan es obtener determinadacertif icación. Como nunca ocurre nada, incluso muchosauditores tienen asumido que esto es así y se lo permiten. Pero¿realmente su compañía está a salv o? ¿Cómo puede estarseguro de que no está suf riendo y a una f iltración?
Lo peor de todo ello es que cuando realmente se conf irmen susf allos de seguridad, será y a demasiado tarde. Así que noespere a ello, y prev éngase antes.
La mina de oro de las cabinas de teléfonos
ZeZ era lo que se podría denominar como un "black hat", un"hacker negro" cuy as andanzas eran seguidas casi con elmismo interés por los miembros de la Scene como por lapolicía. No tiene aspecto de hacker, es un chico más bienesmirriado que parece mov erse con la mirada perdida, como sitodo a su alrededor f uera nuev o para él.
Realizó sus primeras intrusiones en la f acultad de Ciencias de laInf ormación, en donde, comenta, "los manuales de hacking yapuntes de phreaking se mov ían entre nuestras manos más quelos libros de estudio".
Uno de sus prof esores era f érreo seguidor de estas técnicas: "Casi puedo decir que él nos inculcó la curiosidad y el interéspor este tipo de activ idades".
No obstante, el prof esor no hacía nada en especial: "Él nos dejaba v islumbrar parte de la metodología, luego cadauno buscábamos pasar al siguiente niv el, o no, según el interésde cada cual. Sólo 'lo dejaba caer'".
ZeZ siempre tuv o dudas de que realmente el docente f uera unactiv ista: "No creo que f uera realmente un hacker, era simplementealguien a quien le interesaban estos temas como mero objeto deestudio".
ZeZ obtuv o una cierta relev ancia entre el mundillo por haberlogrado comprometer una de las aplicaciones que usan lascompañías telef ónicas en la gestión de sus teléf onos móv iles,OPSC:
"Podía activ arme minutos gratis en prepago cuando quisiera,solamente incrementando los minutos en las opciones delserv icio y modif icando su consulta en la base de datos. Teníabarra libre absoluta. Era mejor que incrementar el saldo, porquelas recargas siempre lev antan sospechas, y de ese otro modosi un FronEnd lo v eía, simplemente pensaría que estaría esebono activ ado y no se preocuparía de más, no tienen tiempo.Además, tanto los BackOf icce como los FrontEnds no son másque comerciales, simples v endedores. Ninguno tiene ni idea deinf ormática ni de cómo f uncionan las redes en sí. Además, ensus bases de datos de prepago sólo guardaban los registros delos últimos ochenta días, sabiendo que tenías ese plazo, podíasaprov echar para espaciar tus llamadas y a partir de ese tiempotu registro desaparecería. Eso se lo llegué a hacer también aalgunos amigos. Mucha gente no sabe que se puede pasar unnúmero de móv il de postpago a prepago, pero sí se puede.Muchos de ellos pasaban sus líneas a prepago para poder haceresto. Al f inal lo dejé porque estaba empezando a haberdemasiado gente implicada y podía meterme en un buen lío".
Fue entonces cuando decidió dar el siguiente paso: "La época dorada del hacking telef ónico había pasado. Hubomomentos en que hasta un ciudadano normal y corriente sabíacómo realizar llamadas gratis en las cabinas. Lamentablementetodo eso no duró mucho, más bien era consecuencia de losrápidos cambios que se introducían en el sector, en donde hastalos técnicos estaban perdidos. Los operadores inv irtieronauténticas burradas de dinero en conseguir nuev as cabinas, sepuede decir que mataron moscas a cañonazos comprandocabinas que eran como cajas de caudales".
Eso f ue lo que le motiv ó a encontrar una manera de burlar esossistemas:
"En el mundo del phreaking había cierta desgana con ello, lamay oría se sentían impotentes y habían bajado los brazos ensus intentos de hackear cabinas".
Pero, como suele ocurrir, no suele tardar en aparecer alguien alque le motiv an ese tipo de retos: "Yo cambié la f orma de af rontar el problema. Como las cabinasen sí eran casi inexpugnables, busqué la f orma de inf iltrarme yhackear el sistema de control y comunicación con el queoperaban, es decir, la tarjeta. Ya había actuado antes encabinas telef ónicas, pero cuando los procedimientos dephreaking eran menos sutiles y complejos, introduciendo laspopulares monedas sujetas por hilos o las cabezas de disquetesde 3 1/2 (la parte metálica) y luego monedas para conf undir alv alidador".
Dado que estos procedimientos no f uncionan, v oy a proceder adescribirlos aquí, al menos para que se entienda elf uncionamiento básico de una cabina de teléf onos:La cabina está div idida en v arias partes, técnicamente sedenomina TM debido a ello (de "Teléf ono Modular"), y se puedendif erenciar también por códigos que utiliza el operador,dependiendo de dónde esté instalada la propia cabina (en unacabina cerrada, un poste, un poste múltiple, una marquesina...etc.). El TM se supedita a un SETM, que es el Sistema deExplotación de Teléf onos Modulares, y es quien controla labuena marcha y comportamiento del teléf ono. Aunque la red ensí es más compleja (existen las UATM, CVF, CGEC, lasconocidas como UVI... etc.) para el objeto de nuestro estudiocon la inf ormación de los TM nos es suf iciente. En esteentramado existe un programa muy importante, el SGAT, que esel Sistema de Gestión de Av erías por Teleproceso y que seencuentra bajo el SETM. Es un programa inf ormático que se
encargaba de decirle a los técnicos dónde estaban las cabinas(los TM, más bien) av eriadas, y gestionar sus rutas paraaprov echar el máximo de tiempo. Hay que tener enconsideración que todo el entramado estaba (y está) destinadoa ahorrar lo máximo posible, incluso el carro de las monedasposee una rutina que se encarga de dev olv er las monedas máscercanas para ev itar mov imientos innecesarios y consumoeléctrico.
Cada TM posee un sistema muy complejo de autodiagnosis. Porejemplo, le env ía corriente a la bobina del micróf ono para v er siestá conectado el auricular (de lo contrario, podría ser que elcable lo hubieran roto), hasta env íos de mensajes deoperativ idad (salv ando las distancias, como los ping-pong enuna red) cada determinado tiempo.
Para ev itar la introducción de monedas con hilos, cada monedase dirige por unas canalizaciones especiales que detectan coninf inidad de sensores (ópticos y magnéticos) su v eracidad(miden el tamaño, grosor, resistencia magnética...). Además, elv alidador incluso es capaz de saber la v elocidad de la monedadependiendo de su peso al caer rodando por la rampa deadmisión. Si los f otosensores no la aprueban, se env ía denuev o al cajetín de salida (de ahí que algunas monedas con unpeso menor, aunque sean auténticas, no sirv an en muchascabinas). Una v álv ula especial situada en el canal de entrada secierra al paso de cada moneda, si ésta se encuentra sujeta porcualquier cosa (por un hilo, por ejemplo), la v álv ula no secerrará y la moneda no será admitida. La rampa está diseñadatambién con sistemas anti-atoramiento, en algunas cabinasexistían f allos de diseño que hacía que algunas de las monedasse salieran de ellas y pasaran a la circuitería. Cuando el técnicollegaba, podía encontrarse la cabina cargada de monedas.
Como esas monedas no habían pasado por el v alidador, nocontaban como dinero f acturado (de hecho, tampoco la cabinaf uncionaba). Como las cabinas incluy en un sistema deintroducción de monedas para f acturación (de cara a lostécnicos, para que puedan introducir las monedas "que hay a porallí" sin realizar llamadas), el procedimiento a seguir era realizardicha f acturación y que no los técnicos se quedaran con ellas.Supongo que dependiendo del técnico y su honradez, haría estoo no.
El siguiente procedimiento era introducir la chapita metálica (loque ZeZ menciona como "cabeza de disquete") en la ranura dela tarjeta, prev iamente habíamos realizado la llamada eintroducido el dinero, pero, antes de que se corte dicha llamada,se introduce la tarjeta de metal. En estas cabinas existía un bugde programación que hacía que el sistema del TM no entendieraqué método tenía que cobrar, y a que se habían usado dos, ynos dev olv ía el dinero. Actualmente esto no f unciona, puestoque se ha optado por una solución sencilla, pero ef icaz: una v ezelegido un método de pago por parte del usuario, los demás seinv alidan.
Pero el sistema de ZeZ era más complejo, sutil y sof isticado,acorde con los tiempos:"Estudié las tarjetas de pago y cómo estaban hechas yprogramadas. Era una EEPROM de 256 bits con memoriapermanente, debido a que se f unde uno de los pins de grabaciónen la zona de grabación para el cliente (existían dos zonas: unade cliente y otra de aplicación). No v oy a explicar elprocedimiento de grabación, no porque sea 'materia reserv ada',sino porque es engorroso y no creo que os entretenga mucho.Lo que hice f ue crear un emulador de tarjetas. Copié elprocedimiento de una tarjeta prepago de cabina real, y,
simplemente, cuando llegaba al f inal la reseteaba antes de quese acabase el saldo, con el f in de que el número deidentif icación (un número único que identif ica a cada tarjeta ydel cual no puede haber duplicados) no se inv alidase. Ospreguntaréis de dónde narices obtuv e dicho número. Pues muyf ácil: de una tarjeta nuev a, sin usar".
"No obstante había que tener ciertas precauciones: debías irte acabinas donde no hubiera mucho mov imiento ni miradasindiscretas para que no te v ieran utilizar el 'aparatito', y, comoen todas estas cosas, no abusar del crédito. Aunque lo podíasusar para muchas cosas (y no solo llamadas, las cabinas tepermitían acceder a múltiples serv icios incluso conv ertir eldinero en crédito para el móv il)".
¿Y cómo consiguió ZeZ los diagramas y circuitería de latarjeta?"Hay que entender cómo f uncionan éste tipo de empresas.Aunque la compañía telef ónica ponga todos sus medios yempeño en mantener la máxima seguridad y discreción, no tododepende de ella. En la práctica ella es sólo el eslabón f inal de lacadena. Para que se entienda: imaginemos que la compañíatelef ónica Telecop -un nombre inv entado- realiza un contrato conla suministradora, llamemos a esta compañía, Cay man. ConCay man establece un acuerdo de conf idencialidad, unoscánones de seguridad y un largo etcétera en el protocolo de sustarjetas. Cay man, a su v ez, lo más seguro es que subcontratea una compañía china, por ejemplo Tay cards. Con Tay cards lacompañía Cay man le pide que f abrique equis unidades dedeterminados modelos y protocolos. Tay cards, que jamás haoído hablar de Telecop, y que probablemente subcontratemuchas de las f ases del diseño, le env ía las ref erenciassolicitadas a Cay man. En todo ese proceso se sucede una
enorme cantidad de intercambio de inf ormación técnica, lamay oría en correos electrónicos. Si sabes qué compañíaf abrica la tarjeta, no te será dif ícil f iltrar los correos. Y parasaberlo sólo tuv e que mirar la propia tarjeta".
"Pero hay todav ía caminos más f áciles y rápidos: la may oríade ingenieros y muchos de los trabajadores tienen acceso a esainf ormación. En las BBS puedes encontrar diagramas deprácticamente todo lo que quieras. El propios Windows tienebackdoors ('puertas traseras') instaladas de origen para serutilizadas por gobiernos e instituciones estadounidenses (comola NSA). ¿Cree alguien a día de hoy que la may oría deordenadores posea el sistema operativ o Windows o Mac, y noSolaris o Linux, por mera casualidad? Hay muchísimosintereses metidos. Muchas de las policías y agencias deespionaje disponen de programas y aplicaciones específ icasrealizadas por los mismos que diseñan los sistemas operativ os,para poder colarse en ellos e inf iltrarse. Da igual lo que hagas olo que intentes protegerte: si usas Windows o Mac tus datosestán por toda Internet como un libro abierto. Y toda esainf ormación de las compañías telef ónicas, como clav es ycódigos, también. No tienes ni que lev antarte del sillón paraobtenerla".
Actualmente las bases de datos de las compañías telef ónicasson más minuciosas, y pueden controlar el dinero que seconsume en cada terminal dependiendo del número de tarjeta, alque v a unido su v alor. Si alguien sobrepasase ese límite, esatarjeta quedaría inv alidada y no f uncionaría de todas f ormas.No obstante el método de ZeZ sí podría seguir f uncionando si elemulador utilizara números de tarjetas aún no usados. En estesupuesto, cuando algún cliente comprara una tarjeta legítimacon el mismo número, al introducirla en la cabina el TM le
inf ormaría en el display de que su saldo se encuentra agotado¡aunque acabase de adquirirla!
Le preguntamos a ZeZ sobre otros métodos de phreaking contarjetas en la actualidad:"Lo que se usa muchísimo actualmente son duplicados detarjetas de crédito, que en teoría son más f áciles de realizar yes un f raude que v a en aumento. Copiar una tarjeta de créditoes muy sencillo, simplemente podemos realizar un lector con loscabezales de un reproductor de casettes antiguo, y luegodecodif icar con un programa inf ormático ese archiv o (grabadoen f orma de ondas de sonido) desde la banda magnética de latarjeta. Se llegan a usar duplicados de lectores que engañan amuchísimas personas en los cajeros automáticos: los instalanen el lugar donde v a la ranura, y, al introducir la tarjeta, sequedan grabados los datos. Luego, una pequeña cámara grabael número PIN de la v íctima. Como la ranura f alsa v a a su v eza la ranura real, la v íctima no sospecha nada. Por eso tenemosque v igilar y "tocar" siempre los cajeros, comprobando que laranura sea una pieza que no se muev a y esté bien f ija al panel,y también mirar que no hay a ningún elemento accesorio en elcajero. No obstante hay maf ias y delincuentes que llegan acambiar el f rontal entero del cajero, haciendo una copia igual aloriginal y poniéndolo encima".
Ante estos f raudes, ZeZ es radical aconsejándonos para tenernuestro dinero a salv o:"Llev o muchos años en este mundo de la clonación y emulaciónde tarjetas. Soy uno de los pocos que ha conseguido emular loschips de las cabinas telef ónicas, y casi podría clonar cualquiertarjeta de crédito de la actualidad con métodos muy sencillos.Mi consejo: que no se use dinero de plástico nunca. Ni cheques.Llev a el dinero en metálico para comprar lo que desees y así
podrás controlarlo. En última instancia, puedes perder v arioscientos de dólares o euros si los llev as en el bolsillo, pero conuna tarjeta de crédito puedes perder todo lo que tengas en elbanco".
- ProtecciónLas cabinas telef ónicas en la actualidad se han conv ertido entodo un centro multimedia, de gran atractiv o para los"phreakers". No sólo pueden realizar llamadas comoantiguamente, sino conv ertir nuestro dinero "f also" o v irtual, endinero "real".
Actualmente las cabinas f uncionan con teletarjetas (que sev enden en tiendas, estancos y cientos de establecimientos) ytarjetas de crédito, además de tarjetas tipo "rasca" y tarjetas deoperador. Por lo tanto, y tal como nos adv ierte ZeZ en suinterv ención que acabamos de v er, los delincuentes queobtengan una tarjeta de crédito podrán obtener no sólo dinerometálico en cualquier cajero, sino serv icios en las cabinas.Pueden comprar div ersos contenidos, pero también puedenusarlas para nav egar por Internet de f orma anónima medianteWiFi.
Se han quedando y a anticuados los procedimientos deobtención del dinero directo de la cabina (de las monedas,) conprocedimientos como el bloqueo (mediante arandelas de untamaño determinado que se insertaban en el cajetín e impedíanla apertura de éste, luego, a las pocas horas, y antes de que lapolicía f uera adv ertida, el delincuente llegaba y con un simpledestornillados o nav aja retiraba la arandela y podía sacar larecaudación -el dinero sobrante o "v ueltas" de las llamadas- delos incautos usuarios de la cabina; a continuación únicamentetenía que desplazarse a otra parte de la ciudad y repetir la
operación; con esta sencilla maniobra podían obtener no pocodinero en una sola jornada) o los f raudes como el f amoso "hilo"o la modif icación de monedas f alsas que se utilizan una y otrav ez.
No me v oy a preocupar aquí de aconsejar a los operadorestelef ónicos, porque son multinacionales con suf icientesrecursos y medios como para no requerir nuestros consejos,pero sí v oy a tratar de que los usuarios se protejan. En primerlugar, el dinero gastado en una cabina es, casi siempre, dineroque el operador consigue de manera "extra". Quiero decir, elredondeo es siempre a su f av or, y en algunos casos puede quetengamos suerte y no redondee nada, pero para una llamada dedos minutos podemos tener tan mala f ortuna que perdamoshasta cuatro céntimos, si usamos una tarjeta o monedas. Esto,multiplicado por miles de cabinas, son muchos euros. Por lotanto siempre que puedas, usa tu propio teléf ono móv il parallamar: tendrás un mejor y may or control del gasto y, además,podrás elegir operador.
Otra de las razones por las que no aconsejo usar cabinas esporque, aunque se ha av anzado mucho en su diseño de cara ala protección y para que no les roben "a ellos", de cara alusuario no se puede decir que sea lo mismo. No son pocas lasv eces (por f alta de mantenimiento o por errores puntuales) quete puedes encontrar que no te dev uelv e el dinero o que susserv icios (como recargas de teléf onos móv iles) se quedan conuna parte del dinero (porque el dinero salte del canal de entradaal cuerpo de la TM, o directamente no pase al v alidador y sequede en dicho sitio). En cuanto al carro de dev olución (el carroportamonedas) no f unciona tan bien como debiera casi nunca, yel sof tware de gestión, en lugar de ser el ef iciente ASM(ensamblador) como antes, se ha conv ertido en un
desesperante trasiego de pantallas con indicaciones nadaprecisas y, las más de las v eces, parecen hechas conf usas apropósito.
Por lo tanto, ¿cual es nuestro consejo con las cabinas deteléf onos? Usarlas sólo en casos de urgencia y, siempre, con lamenor cantidad de dinero posible. Porque como lasprobabilidades de f allos son tal altas (de f allos def uncionamiento, no me estoy ref iriendo al phreaking aquí), sitienes que quedarte sin tu dinero, al menos que sea la menorcantidad posible. Porque el título de "la mina de oro de lascabinas de teléf onos" no podría aplicarse a los hackerssimplemente, que obtienen pingües benef icios con ellas, sino alos enormes benef icios -af ortunadamente cada v ez menos- quecon técnicas bastante dudosas (algunas v eces por f allos desof tware o hardware, pero otras simplemente por políticasabusiv as) que obtienen las compañías de teléf onos.
Accediendo a smartphones
Los hackers suelen pref erir realizar sus acciones a distancia, aser posible sin poner las manos f ísicamente en sus objetiv os.Unas v eces es por imposibilidad material de hacerlo (losordenadores están muy lejos de ellos y /o las medidas f ísicasde seguridad son complejas) y otras por la f alsa sensación deseguridad que les da operar desde f uera.
Pero no siempre es así. En muchas ocasiones se v en en lanecesidad de usar prácticas que rozan las de los delincuentes,como las de carteristas o estaf adores. En los relatos que siguennos centraremos en ejemplos de todo ello.
Cada mañana, el hacker al que llamaremos "Nik@" v eía unaescena curiosa por su v entana: una atractiv a rubia se acercabaconduciendo su imponente Mercedes-Benz de color negro haciauna caf etería, y se detenía a conv ersar con v arios policías queestaban allí para tomar el primer caf é del día. Esta simpleacción despertó la curiosidad de Nik@.
El hacker había observ ado cómo habitualmente la chicamanejaba un smartphone, concretamente un Android (aunque lov iera desde la distancia, Nik@ sabía distinguir perf ectamenteesos aparatos). Enseguida lo identif icó como su objetiv o. En elmundo moderno hacerse con ésos dispositiv os es comohacerse con buena parte de la v ida de su propietario (opropietaria, en éste caso): todos sabemos que la gente llev a enellos todo tipo de inf ormación personal y conf idencial.
Al día siguiente Nik@ esperó tras su v entana y, cuando la chicaterminó de hablar con sus amigos policías y entró en lacaf etería, hizo lo mismo. Bajó con su chaqueta en la mano, no
hacía f río, pero el cielo estaba nublado por lo que a nadiellamaba la atención que alguien llegase con su chaqueta colgadadel brazo.
Pidió un caf é y se sentó en una mesa v acía, a espaldas de lav íctima. Puso su chaqueta en el respaldo de su silla y esperó.En un momento dado sacó su cartera. Tras mirar unosdocumentos, al girarse para guardarla de nuev o en el bolsillo desu chaqueta, introdujo la mano en el bolso que la chica teníacolocado a un lado de ella. Así de f ácil se hizo con susmartphone. Lo metió en el bolsillo de su chaqueta al mismotiempo que metía su cartera. Nadie se dio cuenta de nada. Peroeso no era todo. La chica tenía una f ina chaqueta tambiéncolgada de su silla. Nik@ se giró, metió la mano en uno de susbolsillos y extrajo la tarjeta de identif icación, es decir, el pase deacceso, de la compañía donde trabajaba la mujer. Sin pensarlodos v eces la introdujo en el bolsillo de su pantalón, pagó y sef ue.
Podría haberle cogido también la cartera a la chica, peroentonces se daría cuenta al momento de pagar. De esa otraf orma, aunque se diera cuenta por el camino de que no llev abael móv il, pensaría tal v ez que se lo habría dejado en la of icina.Nadie sospecharía de él.
Cuando llegó a su casa cogió el smartphone con muchocuidado, sujetándolo con delicadeza por sus laterales entre elíndice y el pulgar (y a lo había robado antes también así) y mirósu pantalla a la luz. Era un smartphone Samsung, con sistemaoperativ o Android. Este tipo de dispositiv os tienen un sistemade protección básico para impedir el acceso a personas noautorizadas: se trata de un patrón que se ha de seguir uniendocon una línea v arios puntos en la pantalla. Si éste patrón no se
dibuja correctamente un determinado número de v eces, eldispositiv o automáticamente se bloquea. Pero existe una f ormasencilla de av eriguarlo: si se pone a la luz en un determinadoángulo, se pueden v er los trazos que ha dibujado el dedo delpropietario para desbloquearlo. Sólo hay que anotar la rutaseguida para unir los puntos, dibujándola por ejemplo en unpapel, en orden inv erso, y seguirla (existen otras f ormas desaltar por encima de ese patrón de seguridad para acceder aldispositiv o, algunas requieren que el smartphone o tablet poseael llamado "modo depuración" activ ado, o/y activ ación de root;por ello, es altamente recomendable que no tengamos ningunade estas dos opciones activ adas -v ienen desactiv adas pordef ecto- o, en caso de tenerlas, desactiv arlas cuando no lasv ay amos a utilizar). Nik@ dibujó los trazos en el dispositiv o.¡Eureka, f uncionó a la primera! Dentro se encontró con toda lav ida de la propietaria: acceso a sus cuentas de correo, f otos deella, de su f amilia y sus amigas, su domicilio y la dirección desu trabajo...
Nik@ jamás dev olv ió el dispositiv o a su propietaria, según él,y a se había expuesto robándoselo, así que no se iba a exponerde nuev o dev olv iéndoselo. Aunque le env ió un mensaje desdela cuenta de correo de ella y usando su propia conexióntelef ónica, con sólo el texto: "ahora diles a tus amigos policíasque te busquen el smartphone". Según comenta f ue algo inf antilhacerlo, pero conf iesa que disf rutó mucho.
-Protección Nik@ es un buen ejemplo de ese tipo de hackers negros sinescrúpulos, capaces de utilizar todo tipo de prácticas paraconseguir sus objetiv os, y hábiles en dif erentes métodos.
Ciertamente la v íctima pecó de incauta, pero esa actitud es
muy habitual en gran may oría de personas. ¿Quienes con unsistema de protección parecido en su smartphone, se preocupande limpiar la pantalla tras su uso? Prácticamente nadie.
El hecho de dejar su bolso en el suelo en una caf etería denotatambién un cierto grado de conf ianza que acabó pagando muycaro.
La tarjeta de acceso que obtuv o Nik@ podría haberle serv ido,asimismo, para entrar en su compañía e instalar dispositiv osinalámbricos de conexión, bien a los puntos telef ónicos de laempresa o mediante Internet por cable eléctrico (conocido comoPLC). De haberlo hecho, estaría en la red interna de la empresa,por detrás de los cortaf uegos u otras medidas de seguridad,pudiendo operar como un usuario legítimo más. Todo eso podríahaberlo hecho aquella mañana, antes de que anularan la tarjeta,antes incluso de que su v íctima se hubiese dado cuenta.
Con éste ejemplo queda bien claro que cualquier medida deprotección integral que se adopte por una compañía no debereducirse únicamente al sistema inf ormático, sino, y muyimportante, a lo cuidadosos que han de ser los empleados contodo lo que transportan y llev an consigo, y que puede deriv aren una amenaza o un riesgo potencial para la compañía.
Espionaje industrial en su propia casa
Para este tipo de hackers sirv en todo tipo de argucias. El casoque v amos a relatar aquí relata la intrusión de un hackerf ísicamente en el domicilio de su v íctima, para f acilitar elacceso inmediato y así ev itar la pérdida de tiempo. En realidad,dicho hacker había sido contratado por una empresa de lacompetencia para robar inf ormación priv ilegiada (secretoindustrial), y era muy bueno en lo que hacía. Era conocidocomo Sect0r.
Usó un timo para ello en donde el cliente cree que le estánhaciendo un f av or, por lo que incluso se siente agradecido. Lobueno de este timo es que no es necesario que el hacker tengaque disf razarse para acceder ni tenga que f ingir ser de lacompañía que tiene la v íctima, puede ser de otra, o inclusodecir que es un electricista cualquiera.
El procedimiento es el siguiente: el hacker entrará en casa de suv íctima con cualquier excusa. Puede decir que es una rev isióneléctrica de rutina, que v an a instalar algo para el v ecino ytienen que entrar en su v iv ienda para acceder, que es unacampaña de rev isión gratuita, que la compañía ha detectado"extraños" picos de tensión y que v an por las casasav eriguando de dónde proceden, que no le v an a cobrar nada yque sólo es para v er las líneas eléctricas... Las excusas puedenser miles. Irá con una f unda de trabajo, carnés f alsos e inclusodocumentación con números de teléf onos (números deteléf onos de sus cómplices, claro). Si la v íctima argumenta queesos teléf onos no son los números que publicitan la compañía,dirá que esos son números generales de atención al cliente,mientras que los suy os son del serv icio técnico.
Una v ez dentro de la casa de su v íctima se pondrá a mirar lashabitaciones y lugares de la casa con interruptor de luz. Luego,enchuf ará en cualquier enchuf e un aparato y se encenderántodas las luces del mismo (según el número de habitaciones yespacios de la casa) menos una. Entonces le dirá que unaconexión f alla porque no se enciende una de las luces LED delaparato. Da igual que su casa tenga otros interruptores yaparatos conectados, él (o ellos, y a que se suele hacer tambiéncon dos personas o más) dirán que su aparato analiza elcableado de toda la instalación. En cualquier momentoaprov echarán para instalar dispositiv os de conexión inalámbrica,incluso desde su propio router. Pueden también haber preparadootro router idéntico al de su v íctima (tras haber conf irmado, porejemplo desde el exterior de la v iv ienda, la marca y el modelo),pero "pirateado" por ellos mismos, y cambiárselo en unmomento de descuido, o incluso acceder a su ordenadormientras otra persona le entretiene explicándole "la situación".Para hacer toda esa tarea sólo necesitan unos segundos.
Entonces les dirán que necesitan rev isar un disruptor, ocambiarlo. También les pueden decir, si les v e muy descreídos,que no existen y a disruptores como el suy o, "de cristal", peroque se lo cambiarán por uno más moderno, o que una de susinstalaciones carece de él.
Si insisten en ser descreídos, les mostrarán claramente elaparato, y les dirán:- El escáner no f alla, aquí no alumbra una luz, están teniendoproblemas en ése sitio.
Ante semejante e irref utable hecho, accederán a arreglárselo "insitu". Sect0r llev ó esta f orma de estaf a tan descaradamente,que incluso asegura que le cobró unos 150 dólares por una
reparación innecesaria a una de las v íctimas. Si se muestranreticentes, explicó, simplemente hay que decirles unaexplicación que casi nunca f alla: "sólo traer la máquina yconectarla y a les cobran esos cien dólares, luego la reparación.Yo sólo le cobraré la reparación".
Tras conv encerle de no dejar pasar ésa gran oportunidad, ydado que no es recomendable que la instalación eléctrica de lacasa esté con una parte "caída", el cliente accede. Entonces elhacker procederá a destornillar y quitar cualquier enchuf e ointerruptor, lo más alejado posible de la mirada del timado (yprev io corte de la electricidad de la casa, obv iamente).
Esto es lo que se llama "la resolución" de la argucia, y puedendarse v arios casos: en uno, el delincuente simplemente quitaráy v olv erá a poner el enchuf e. Esto lo hará con los másincautos. Con los más desconf iados, cogerá una pequeñísimapieza de su mano y f ingirá conectarla (o incluso la conectará alplástico o la meterá en el enchuf e). Ése será el disruptor.También puede f ingir cambiar una misma pieza del enchuf e ointerruptor usando un juego de manos.
Finalmente, v olv erá a conectar la corriente, enchuf ará elaparato "mágico", y ¡v oilá! Todas las luces del aparato seencenderán.
La v íctima pagará por los serv icios, el delincuente le hará unaf actura f alsa, y se irá habiendo logrado "pinchar" el ordenador y,encima, con dinero extra en sus bolsillos. Aunque descubran laestaf a, nadie sospechará que el objetiv o era el ordenador, sinoque pensarán que era el dinero, y de ahí el sentido de todo este"teatro". Los identif icarán como delincuentes comunes, no comohackers, y nadie pondrá sus sospechas en la red de la casa ni
en el ordenador de la v íctima.
- Protección.
Lo primero, no existe ningún aparato similar, no hay un"escáner" que nos diga dónde f alla la corriente simplementeenchuf ándolo en un enchuf e cualquiera de la casa. Lo queexisten son llamados "tester", y son completamente dif erentes.
El aparato "mágico" del hacker era un instrumento prev iamentepreparado con LEDs, que tiene v arios interruptores. Aunque lacomplejidad puede v ariar, básicamente el delincuente enciendetodos los LEDs según el número de estancias en la casa,menos uno (que suele ser el segundo, o el tercero). Losinterruptores están debidamente "ocultos" en la parte trasera del"inv ento". Una v ez "reparada" la instalación, simplemente,Sect0r encendió todos los LEDs.
Si llaman a su casa, compruebe la documentación,especialmente si dice tratarse de un técnico al que no hallamado. Desconf íe de las of ertas desinteresadas einesperadas, y de las reparaciones "in extremis". El hackerintentará ponerle tras la espada y la pared, haciéndole v er quesi deja pasar esa oportunidad ahora, no la v olv erá a tener yhabrá de pagar más. ¡Incluso algunos tienen el descaro deamenazarlos con precintar la instalación!
No deje pasar a nadie que no conozca. Pida el número deoperario o de identif icación, y consúltelo con la central.
Esta argucia f unciona muy bien porque se le pone a la v íctimaante una ev idencia irref utable: el aparato dice que hay una
av ería, y el aparato no f alla. Además, al usar términos quetodos más o menos han oído hablar pero desconocidos en suparte técnica, como disruptor o pérdida de tensión, la v íctima sesiente perdida. Puede tener enormes conocimientos deinf ormática, pero de electricidad seguro que son nulos. Si a estose le une la celeridad del momento y of recérsele unaoportunidad que no puede dejar escapar o le saldría más caro (lepueden incluso argumentar que si mantiene la instalación conesa av ería se pueden llegar a quemar algunos cables yentonces "hay que perf orar las paredes para cambiarlos"),estamos ante una técnica con un alto porcentaje de buenosresultados. Para el hacker, claro.
De carterista a hacker
Dicen que los carteristas tienen los dedos de cirujano y lasmanos de guante blanco: no es broma, realmente es así. Losmejores carteristas operan con agilidad y astucia, pero tambiéncon audacia. Y es que hay que tener mucha audacia para enuna décima de segundo meterle la mano en los bolsillos ochaquetas de la gente y sacarles sus carteras, sudocumentación o sus dispositiv os móv iles. Pero no todo esinnato. La técnica se depura ante otros compañeros o, en sucaso, maniquíes, y dedicando horas a ensay ar los mejoresmov imientos. Al principio irán por las personas que v istanprendas similares con las que ellos han ensay ado, pero, con elpaso del tiempo, y, sobre todo, al ir ganando conf ianza, seatrev erán con cualquier prenda que v ista la v íctima.
Ser estaf ador y hacker son v ariantes que no están tan alejadasde por sí. Nos estamos ref iriendo, obv iamente, a los llamados"hackers negros".
Los lugares más concurridos son los mejores para llev ar a cabosus delitos, tales como estaciones de bus y metro, semáf orosy, en general, el transporte público a horas punta. Por lo tanto,si necesitan de determinada v íctima algún dispositiv o que llev e,esperarán a que la persona transcurra por esos lugares paraaprov echarse de ello. No pocos smartphones se han obtenidoasí.
Para conf irmar dónde tiene la gente sus carteras y sudocumentación (como pases personales a sus compañías otarjetas de identif icación) pueden también emplear dif erentestécnicas, muchos simplemente se dejan guiar por su experienciao por los bultos de los objetos en la ropa de la gente (sobre todo
en v erano), aunque para el común de los mortales eso pasedesapercibido. Otros utilizan tácticas más depuradas ypsicológicas: ponen ellos mismos carteles a la entrada degrandes concurrencias, adv irtiéndoles a las personas quetengan cuidado con los objetos de v alor que portan.Instintiv amente muchas personas se llev arán la mano al bolsillodonde está su cartera (o lo de más v alor que transportenconsigo), para conf irmar que sigue allí. A esto se le llama"automarcarse". El hacker, que en todo momento se hay av igilando, y a sabe dónde buscar.
En otras ocasiones usan a otra persona, a colegas o incluso aamigos, que se acercará pidiéndoles dinero o, con una carterav acía, les dirá que la han encontrado y si es la suy a. Inclusoinsistirán diciéndoles si de v erdad están seguros de que llev anla suy a encima. Harán lo mismo con sus smartphones ocualquier otro objeto de v alor que quieran llev arse.
Como simple medida de precaución por si algún "listillo" les diceque sí, que esa cartera es suy a, introducirán cualquier cosapersonal (como una tarjeta o un poco de dinero) en la cartera decebo, y si ocurre, un cómplice, o el mismo hacker que siempreestá atento, gritará de inmediato que esa cartera es suy a y quecontiene determinado objeto, dejando al otro como mentiroso yen una situación bastante comprometida.
- Técnicas de distracción usadas por los hackers eninterv ención socialSi la v íctima permanece muy atenta y alerta para que no leroben, existen inf inidad de técnicas de distracción para hacerlebajar la guardia, no únicamente la archiconocida de f ingir quetropezamos. Pueden operar con un cómplice y, al pasar delantede la v íctima, aquél f ingirá que se le cae el smartphone. Esto
llamará la atención y se armará un pequeño rev uelo, e incluso lapropia v íctima se agachará para recogérselo, momento queaprov echará el hacker para, por ejemplo, meterle mano a subolso o a los bolsillos traseros del pantalón. Esto último lo harácuando la v íctima se esté agachando o lev antando, nuncacuando esté agachada para que no lo note al tener la prendamás ceñida al cuerpo.
Para un hacker que quiere obtener determinado dispositiv o uobjeto con estas técnicas, son primordiales tres cosas:ubicación, rapidez e inv isibilidad. Debe aparecer y posicionarselo más cerca y en la parte del cuerpo donde v a a actuar. Luego,debe actuar sin que nadie se dé cuenta y desaparecer. Comotodo esto es muy dif ícil, la may oría de las v eces se trabaja concómplices, que o bien le ay udan en la f ase de distracción, osirv en para recoger el botín y desaparecer, de f orma que sialguien, o las cámaras de v igilancia, detectan el robo, no leencuentren y a con lo robado. También pueden utilizarsecómplices para las dos cosas a la v ez, con los que al f inal serepartirán los benef icios.
La f ase de desaparición de la "mercancía" suele ser tan sutilcomo el propio robo, y se realiza casi en el mismo instante deobtener la mercancía o, incluso, con dif erentes técnicas(metiendo la mercancía en un sobre y arrojándolo al primerbuzón de correo, env iándoselo a él mismo, por ejemplo), almomento mismo del robo, de f orma que el delincuente casi nitoca el objeto a robar.
El caso que v amos a relatar aquí es un ejemplo de lo muchoque se puede obtener en ambos mundos: el de los robos, y elde los hackers.
Geminy es un hacker negro en toda la extensión de la palabra.Nació en los suburbios de Bulgaria, pero pronto comenzó av iajar por otros países, principalmente Europeos. Aunquemenciona que su base está en algún lugar de los Balcanes, locierto es que se muev e bien por cualquier lugar. A ello le ay udael que hable f luidamente inglés con un acento indeterminado, yconoce también el español y el alemán. Consiguió cierta solturacon éste último gracias a unos años que se pasó trabajandopara un banco en Zurich, aunque conf iesa que tiene f acilidadpara los idiomas. Es importante, porque en su "prof esión" sedicen pocas palabras, pero las pocas que se dicen tienen queser claras y precisas. Ha sido contratado por organizaciones detodo tipo, incluso conf iesa que le llegaron a contactar de la CIAy del gobierno de Irán. Pero se negó: "y o no trabajo para esos",dice f irme. Le pregunto si alguno de los departamentos deinf ormática de las policías españolas, o el CNI, se puso encontacto con él. Me responde con un rápido "no". Y añade,seguramente notando mi desasosiego: "los españoles creen quelo saben todo y que no necesitan a nadie". Entiendo que noquiere extenderse más sobre el particular, así que no insisto.
Geminy aprendió desde muy pequeño a robar a los turistas porlas calles: "era eso o quedarte sin comer", asegura, comoesgrimiendo la razón de que no le habían dejado alternativ a. "Dehecho" -explica- "si soy un hacker negro es porque la sociedadme empujó a ello, no hago esto por placer". Pero al argumentarleque con sus conocimientos podría trabajar en cualquierconsultora, me responde:"De ocho de la mañana a diez de la noche, no gracias. No mev a eso de trabajar de sol a sol por mil dólares al mes". Al f inalparece ser que lo que le muev e es el dinero. No obstante nodigo nada.
Sus habilidades le han llev ado a ser muy cotizado entre lasgrandes f irmas:"Muchos hackers contratan a otras personas para hacer el'trabajo de calle' [se ref iere a carteristas y timadores], pero y olo hago y o mismo".
No obstante colaboran muchas v eces con él v arias personas,especialmente una mujer que luego descubro que es también sunov ia:"Es bueno tener a una chica para casi todas las situaciones: unallamada f alsa, salir de una situación comprometida... Loshombres, ante una chica guapa por lo general bajan la guardia.Aunque no quieran. Está en nuestros genes. Me imagino quetiene algo que v er con el romanticismo o la necesidad deprocrear, no me lo preguntes, pero la realidad es esa. Una mujerte f acilita enormemente el trabajo de calle".
Lo bueno de su colaboradora es que es, como él, carterista:"Yo mismo le enseñé y la adiestré en 'el of icio'. No me dueleconf esar que ella incluso es mejor que y o. Las mujeres sonmás sutiles. Mientras un hombre puede robar casi cualquiercosa en los bolsillos de otro, ellas pueden robarles también a lasmujeres. Pero un hombre haciéndose tropezar con una mujerpara 'manosearla'... Mala cosa, enseguida llamaría la atención.No f uncionaría tan bien".
Geminy cobra de diez mil hasta cincuenta mil dólares por"operación", incluso más:"Una v ez me llegaron a pagar cien mil. Eran los planos de unsistema electrónico de una compañía riv al. Y no f ue un preciomuy caro, ellos ganan millones con esos productos, y seahorran millones de dólares más en desarrollo".
Asegura que el espionaje industrial y las copias de propiedadintelectual están a la orden del día:"Con la explosión de todo tipo de dispositiv os portátiles y elauge de la inf ormática, los hackers que nos dedicamos a estono tenemos ni un momento en que nos f alten of ertas. Todo elmundo se copia entre sí: las f armacéuticas, lasautomov ilísticas, las compañías de sof tware... Todos se copian.Es muy tentador av entajar a tu riv al y lanzar productos quetengan una misma base ahorrándote millones y un montón detiempo. Mira a cualquier sitio en el mercado: ¿por qué crees quetodos los productos parecen homogéneos, que son lo mismo?Pues porque en cierta f orma lo son. Quien saca algo nuev o aldía siguiente y a lo tienen los demás".
Pero admite también que eso tiene su parte mala:"A v eces eres consciente de que por tu culpa v an a despedir amucha gente, o v an a tirar millones de dólares en carísimosbuf etes de abogados para presentar y pelear por demandas dederechos de patentes... Pero qué quieres, y o no inv enté éstejuego, sólo intento sobrev iv ir en él".
Por todo ello, Geminy parece una persona sin escrúpulos:"Cuando no tienes qué llev ar a la mesa los escrúpulos hay quemeterlos por donde te quepan. Yo he tenido que tragar conmuchas cosas, no creas. Pero si me preguntas si me remuerdela conciencia por las noches, te diría que no. Muchos no soncapaces de llegar donde estoy, sólo sueñan con ello, pero sequedan en el camino".
No obstante, a pesar de todo lo que dice, Geminy no deja deser un raterillo env uelto por la telaraña de un sistema que diceodiar:"Te obliga a hacer cosas que no quisieras. Cuando de pequeño
te dice tu mamá 'sal ahí af uera para que espabiles', en realidadte está diciendo que serás estaf ado por mucha gente, y quecomo no aprietes los dientes y apuñales tú también, lo v as atener muy dif ícil para sobrev iv ir. Esto es como la selv a, pero elhombre, al ser más inteligente, en lugar de cazar cebras pues secazan unos a otros, pero básicamente es lo mismo, y enesencia, en el f ondo, imperan las mismas reglas. Te dicen: 'síbueno, pero estamos en un estado de derecho, bajo la ley '.Mentira. Es una completa mentira. La ley está al serv icio de losmás poderosos, que son los que las hacen, y son ellos los quemuev en los hilos. A la gente les permiten tener una ciertasensación de seguridad, pero sólo es eso: una sensación".
Le pregunto si en algún momento estuv o tentado de dejarlo:"Mira, han v enido presidentes de poderosísimas corporaciones amis pies, diciéndome que ojala ellos pudieran saber lo que y o séy tener mis dotes. ¿Dejarlo? ¿Estás loco? ¿Has v isto la casaen la que v iv o? ¿Podría tener todo lo que tengo trabajandocomo un miserable el resto de mi v ida?".
Geminy es muy reticente a contar sus casos. Su prof esión seasienta sobre la discreción, cualquier pequeño desliz puede daral traste con su reputación. A dif erencia de otros hackers ycrackers, a mí no me conoce apenas. Pero conf iesa haberutilizado algunas de mis herramientas, y dice sentirse "en parteen deuda conmigo".
Tras v arias sesiones de charla, le v eo más conf iable. Meadv ierte que no puede dar detalles, y sin detalles la historia sequeda algo coja, pero que tome eso o nada. Por supuesto, lotomo.
En Francia -y y a extendido a casi todas partes desde hace
tiempo- es muy habitual que las compañías se pasen entre susempleados los plannings mensuales. A dif erencia de otrospaíses, el planning incluy e una cantidad v aliosa de inf ormaciónsobre la estructura de los proy ectos que están llev ando a cabo:"Una f irma griega quería los planos... Digamos de un 'artef acto'.Para hacerme con ellos no v oy a describir los pasos que dipormenorizadamente, no sólo por seguridad y precaución, sinoporque sería eterno. Para acortar digamos que los tenía en suplanning mensual uno de los directores de proy ecto".
Pero acercarse a él era complicado:"Era una persona muy reserv ada. Tenía cincuenta años, o algoasí, y estaba soltera. Su v ida era del trabajo a casa y de casaal trabajo. Desconf iaba de todo el mundo, y apenas hablaba connadie que no conociera".
Geminy ideó un plan para hacerse con el Blackberry activ o deldirector:"Lo necesitaba activ o para no complicarme la v ida con elacceso. Sí, v ale, puedes leer la memoria, pero también te lopuedes cargar en el proceso. Elaboramos (mi nov ia y y o) unplan para abordarle por la calle. Esperamos pacientemente a undía de donaciones, cuando v an por la calle pidiendo algúndonativ o y te ponen una pegatina en la solapa, ¿sabes a quéme ref iero? Pues del tipo éste y a conocíamos su ruta de sobra,era muy meticuloso. Siempre pasaba por los mismos sitios, y ala misma hora".
Al f inal resolv ieron que la mejor manera de acercarse a él era enmedio de la multitud en un semáf oro:"Al f inal de los Campos Eliseos... No sé si lo conoces... Bueno,hay un semáf oro que cruza v arios carriles. Está lleno a todashoras de gente. Ideamos un doble acercamiento hacia él: mi
nov ia le pediría dinero haciéndose pasar por una de lasactiv istas de una ONG y, al intentar ponerle la pegatina en lasolapa, se haría con la Blackberry. Yo iría por detrás, y f ingiríaser un transeúnte más que tropieza con él al detenerse por minov ia, con el f in de rev isarle los bolsillos. Las pegatinas, lahucha... Lo hicimos todo de f orma casi artesanal, pero daba elpego. La hucha tenía un sistema de modo que se sujetaba a lamuñeca, y dejaba la mano libre. Af ortunadamente mi nov iasabe mucho más f rancés que y o, y o únicamente tenía quedecir 'pardon', pero ella tenía que soltarle toda la parraf ada derogarle que le diera una colaboración en su hucha por la causa".
Hacerse con la Blackberry no era todo:"Le abordó cruzando el semáf oro, ella iba de f rente hacia élcruzando. Él se f ijó en mi nov ia, pero intentó zaf arse. Yo lleguépor detrás y le empujé más hacia ella para que no le f uera tanf ácil escapar, f ingiendo ser un transeúnte más. Fuerelativ amente f ácil. Mi nov ia llev aba su bolso abierto y escondióen él la Blackberry. Un 'v isto y no v isto'. Yo me f ui con sucartera, la llev aba en el bolsillo delantero del pantalón. Hacía undía nublado, y la deslicé con suav idad dentro del paraguas quellev aba colgado del brazo. La cartera tenía su pase y datospersonales que me sirv ieron poco después para borrar mishuellas del sistema. La policía creería que se trataba de unsimple ratero en busca de su dinero, pero lo cierto es queaquélla tarde usé su identif icación personal, y nadie pareciódarse cuenta de ello. La v erdad es que el tipo estaba tan segurode que era metódico y de su sistema de rutina como protección,que debió entrar en shock o algo parecido".
- ProtecciónGeminy nos describe claramente el caso de un hacker negroque v iv e para estar en el límite, muy preparado en todos los
sentidos (incluso en el cuerpo a cuerpo para obtener lainf ormación f ísicamente, como acabamos de v er) y que esmetódico y ef iciente en sus ardides.
Lo primero, debemos dotar a nuestros sistemas portátiles (y asean smartphones, tablets o cualquier dispositiv o parecido) desistemas de acceso con seguridad extra. No se f íe de lasclav es en las tarjetas de memoria, hay dispositiv os que lasborran en un minuto. Ni tampoco de los sistemas de protecciónpor def ecto: y a hemos v isto aquí en otro caso de lo f ácil quees burlarlos. Utilice herramientas de codif icación de niv el alto.Actualmente existen programas que no solo codif ican los datos,sino que, además, les añaden clav es a ellos. La necesidad deun uso constante y de una actualización mensual o semanal delplanning no debería ser razón suf iciente para dejar de lado estosprocedimientos.
Cuando v iaje con su smartphone, o cuando lo llev e consigo,aunque sea hasta el restaurante de la esquina, no lo pierdanunca de v ista. Aunque crea tenerlo seguro en el bolsillo interiorde su chaqueta o de su pantalón, hay carteristas muy hábilesque en una f racción de segundo se lo pueden robar, ¡e inclusosustituir por un cartón doblado, de manera que no note suausencia hasta el momento de sacarlo de su bolsillo! Usebolsillos con cierre, a poder ser no de v elcro, y v ay a con suchaqueta abrochada. Si hace calor y quiere quitársela,manténgala abrochada en la mano, ¡y nunca la pierda de v ista!
Por último, debemos contemplar de manera realista que todospodemos ser v íctimas de este tipo de hackers. Debemosresponder a preguntas del tipo: ¿Podríamos f raccionar lainf ormación, de manera que quien tenga sólo una parte nopueda hacer nada, y que se necesiten v arios dispositiv os para
unirla? ¿Está nuestro departamento de I+D+i a salv o deintrusiones, y cómo se actuaría en el caso de haber una?¿Podríamos con una simple llamada aislar las capas o nodosmás v aliosos del departamento? Además, no son pocos loshurtos que tienen su raíz en la propia empresa: ¿cómopodríamos mejorar nuestra política de auditoria de seguridadinterna, y seguir los mov imientos de los usuarios autorizados demanera transparente? No queremos decir con ello que uno tengaque tomar el papel de policía, pero cuando se llev an inv ertidosmiles de dólares (o millones) en el desarrollo de un producto, talv ez sería conv eniente llev ar a cabo un proceso de controlacorde con el presupuesto que manejamos y el f uturo que nosjugamos. Sobre todo, nuestra compañía puede ser muy "golosa"para otras muchas de su mismo sector de activ idad. Debemosser capaces de implementar unas políticas de seguridadef icientes y robustas, con una capacidad inmediata derespuesta ante imprev istos que sea capaz de operar condiligencia y ef iciencia en cualquier tipo de situaciones.
Los hackers de la nobleza
Keena no era el típico hacker conv encional. Tenía una muybuena posición social, v iv ía en una zona noble en la campiñainglesa, y había estudiado en Oxf ord. Su padre era directiv o deuna compañía radicada en Suiza, y su madre era antropólogapara una respetable institución con sede en Londres. Keena lotenía todo de cara para triunf ar. De hecho triunf ó, pero no en elcampo en el que esperaban sus progenitores.
Con mucho tiempo libre y mucho dinero a su disposición, teníalos ingredientes justos para meterse en grandes líos: "Empecé como muchos en aquélla época, haciendo incursionesmenores en los ordenadores de mis amigos a trav és del IRC".
El IRC era (y aún sigue siendo en gran manera, aunque enmucha menor medida) la primera escuela de una cantidadinnumerable de hackers y crackers. Hubo una época en dondelas charlas para aprender hacking (incluido hacking a móv iles,y o mismo di alguna) atraían a no cientos, sino miles depersonas. Había canales en donde se necesitaba recurrir a Botspara duplicar el contenido del canal principal, ante laimposibilidad de manejar el original, totalmente saturado.Algunos se pasaban horas esperando para esas charlas con lasola intención de que no les quitaran el sitio. En esos años lasconsolas, shells y líneas de comandos no era algo ajeno para lamay oría. La gente, por lo general, estaba más predispuesta aasimilar y entender complejos conceptos y órdenes decomputación que en la actualidad, donde los sistemas gráf icos(GUIs) inundan y a en su totalidad los ordenadores ydispositiv os domésticos.
"En una de esas charlas conocí a Blazek, era un estudiante de
último año en ingeniería de sistemas".
Blazek y él estaban seducidos por "el lado oscuro": "Era una manera de reiv indicarnos, de rev elarnos ante unsistema que v eíamos inf lexible y corrupto".
¿Y cómo lo hicieron?:"Bueno, nuestros primeros objetiv os eran los bancos. Allí todo elque quería ser algo en el mundo del hacking tenía dosalternativ as: o bancos o redes gubernamentales".
A Keena le parecieron más interesantes los bancos porque eranlos sitios donde se guardaba el dinero y, por ello, deberían serlos más seguros: "Era un reto, no nos asustaba la dif icultad, de hecho nosincentiv aba. Cuanta may or dif icultad tuv iéramos más nosinteresaba el sitio".
Pero, ¿para qué querían unos chicos de buena f amilia ypudientes, perpretar una intrusión de semejante calado? "Teníamos una idea romántica en la cabeza. Supongo que todoslos hackers al principio tienen lo mismo: descubriríamos suagujero de seguridad, se lo notif icaríamos y nos conv ertiríamosen héroes".
En sus esf uerzos por alcanzar las tripas inf ormáticas de un granbanco suizo, Keena no tuv o reparos en desplazarse inclusopersonalmente a su sede: "Mi padre v iajaba constantemente a Suiza, no f ue dif ícil quedejase que le acompañase".
En Suiza entró en el banco, pero no pudo hacer mucho: "Enseguida supe que sus medidas de seguridad f ísicas no
tenían nada que v er con las medidas online: había que tenerpases para todo. Intenté conseguir que me llev aran hasta lascajas de seguridad con la excusa de guardar unos objetos dev alor, pero ni aún así conseguí av anzar mucho".
De v uelta a Inglaterra ambos hackers se sentían bastantedef raudados: "Pero también éramos conscientes de que sólo había sido unabatalla, no la guerra, que aquello era una carrera de f ondo y loprimero era persev erar".
Volv ieron al principio, intentando acumular la may or cantidad deinf ormación de quien f uera y de donde f uera, para luegoclasif icarla y elegir lo más útil: "Obtuv imos inf ormación de sus sistemas de seguridad, de susserv idores, de cualquier cosa que cay era en nuestras manosrelacionada con el tema. Incluso alguna de esa inf ormación lapedimos a los prov eedores f ingiendo querer instalar un sistemapara una compañía nuestra".
De hecho, llegaron a crear una compañía f icticia para "dar elpego". Con número de teléf ono y de f ax incluido: "Lógicamente, eso lo hacíamos únicamente para obtenerinf ormación, teníamos la precaución de que no pudieran luegodesv elar nuestro auténtico cometido".
Para ello usaban cuentas f alsas o los datos de sus padres.Nadie iba a v incular lo uno con lo otro: "Lo importante era mantener en el anonimato nuestrosmov imientos como hackers, f uera de ahí podíamos mov ernoscon total libertad. Imprimimos tarjetas de la empresa, ¡no tepodrías creer hasta qué punto son útiles esas tarjetas! Biencomo excusa o para dar un toque de prof esionalidad, su ef ecto
es increíble".
Pero más aún lo f ue cuando se hicieron pasar por agentes de laautoridad: "La may oría de las personas tienden a obedecer a pies juntillaslo que les ordene un policía, están psicológicamente educadospara ello. Por lo tanto, si lo que necesitas es reunir datospersonalmente de alguien, f ingir ser policía es una de lasmejores soluciones".
Con el f in de conseguir sus objetiv os no escatimaron esf uerzos:"Ser hacker es también intentar encontrar los eslabones másdébiles del riv al. Y no es ningún secreto para nadie que la partemás débil siempre es el componente humano".
Con ay uda de una amiga idearon una operación coordinada quedebería f acilitarles el acceso hasta las entrañas del sistema.Keena nos lo explica: "Era una operación en v arias f ases. Fue algo emocionante, unamezcla de ingeniería, astucia y riesgo. Nunca habíamos hechoalgo semejante, por lo que ensay amos antes con 'v íctimas alazar' que nos encontramos por ahí para conseguir aparentarsoltura y naturalidad".
"Teníamos dos objetiv os: por un lado acceder al departamentode inf ormática y, por el otro, conseguir acceso f ísico a lacentral londinense. Blazek y y o nos disf razamos de policías,bueno, no era un disf raz en sí, simplemente nos pusimos unaschaquetas ref lectantes con la palabra 'police' grabada a laespalda, unos pantalones azules y unas placas que habíamoscomprado en una juguetería, pegadas encima de una cartera demano. Esperamos a uno de los ejecutiv os en una calle sinmucho tránsito, y a sabíamos el recorrido y el horario que tenía
porque lo teníamos bajo v igilancia. Le echamos el alto con laexcusa de un control antiterrorista. Le dijimos que estábamosef ectuando una operación contra terroristas islámicos. Lehablamos de que su tez nos parecía árabe (aunque ni muchomenos se parecía) y le pedimos la documentación. Él se of recióamablemente a colaborar, pero no era eso lo que queríamos,sino su pase. Mientras mi amigo se iba hacia nuestro automóv ilcon la excusa de conf irmar su identidad con la central, y o lehice salir para cachearle. El ejecutiv o entonces protestó,diciendo que nos denunciaría a nuestros superiores, pero hizo loque le ordené. Di con su cartera y el pase en el bolsillo interiorde su chaqueta. Le dije a mi amigo: 'rev isa esto'.
"El otro nos dijo: '¡es sólo mi cartera, ahí no hay nada!'. Terminéde cachearle y le dev olv imos sus objetos personales,agradeciéndole su colaboración. Nos f uimos mientras él semetía de nuev o en su coche".
Ésta es una buena muestra de hasta qué punto el papel de laautoridad f unciona. En todo ese mov imiento su amigo habíacogido la identif icación y se había ido a la central bancaria: "El guardia de seguridad ni siquiera se f ijó en la f oto,simplemente pasó por la zona de identif icación como uno más.Hay un truco para ello, y es entrar cuando entran otraspersonas".
Pero aún no se había acabado todo: "Una v ez dentro Blazek se dirigió a la sala de conf erencias.Estaba v acía. Enchuf ó su portátil y y a estaba en la intranet".
Pero aquélla mañana había ocurrido algo más: "La operación tenía dos partes. Una y a la habíamos llev ado acabo nosotros, pero antes, a primera hora, una amiga había
obtenido los números de la secretaria de inf ormática y másnúmeros personales. Para hacerlo se disf razó de embarazada, yllev ó consigo un carrito de bebé con un muñeco dentro".
"Fingió coincidir en el parking con un trabajador, un señor y amay or, y le pidió su móv il para env iar un SMS urgente. Puso laexcusa de que el suy o se había quedado sin batería y le mostróun móv il apagado. En su bolsillo llev aba otro, con el Bluetoothactiv ado y el modo silencio, además de la v ibración".
¿Qué hombre se negaría a una solicitud prov eniente de unaembarazada? Casi ninguno: "Nuestra amiga copió en f ormato v cf las entradas de la agendaque nos interesaban. Así no quedaría rastro de nosotros, sóloun modelo de móv il que, para más precaución, no usábamos".
Con esa inf ormación, y a en el edif icio, Blazek llamó a lasecretaria para que subiera a una de las plantas. Era unaexcusa para sacarla de su puesto. La llamó desde otro teléf onode la sala en el mismo edif icio, por lo que la secretaria nosospechó nada. No tenían la extensión porque, según mencionaKeena, no estaba en el listado de teléf onos, por eso les f uemuy útil la inf ormación conseguida por su amiga. Luego Blazekse f ue a su ordenador y le instaló un troy ano y un snif f er,mientras copiaba archiv os que pudieran serles útiles a unpendriv e, como procedimientos y política de transacciones,métodos de transf erencias...
En un directorio encontró una mina de oro: eran copias deseguridad, duplicados de los programas de la compañía ymanuales. Salió de allí contento pero con mariposas en elestómago por el miedo a que le pillaran con todo el marrón.Cuando llegó a su coche el corazón le iba a mil por hora:
"Cuando v i el rostro de Blazek sabía que no sólo habíamosconseguido lo que queríamos, sino mucho más. Arranqué elcoche inmediatamente".
No v eían el tiempo de probar sus logros, pero tenían queasegurarse de hacerlo bien: "Primero estudiamos los manuales e instalamos los programas.Luego pirateamos una wif i y nos colamos por ella. A los dosminutos el listado de cuentas comenzó a llenarse de números,¡era increíble! Podíamos v er las cuentas de quienesquisiéramos, hacer transf erencias, anular tarjetas de crédito...".
Pero no se olv idaron de su primera motiv ación, de susobjetiv os: "Descubrimos un bug en el sistema de transf erencias, en laaplicación. Que nos podía haber ahorrado semanas de esf uerzosi lo hubiéramos sabido, claro. Lo presentamos en unsimposium de hackers y la consultora que se había encargadode programarlo nos acusó de mentirosos y de que habíamosrobado su sof tware con la única intención de crackearlo parameterle un f allo. Era algo kaf kiano. Nos amenazaron condemandarnos. Af ortunadamente sólo sabían lo del sof tware, porprecaución nos guardamos de dif undir toda la intrusión. Nosf uimos de allí con sentimientos contradictorios y bastantedecepcionados: no había sido como esperábamos. No huboaplausos ni v ítores ni palmaditas en la espalda ni f elicitaciones.Ignoramos si repararon el agujero de seguridad del programa,porque, lógicamente, no quisimos arriesgarnos a robarlo denuev o. De hecho no v olv imos a entrar en la red bancaria".
- Protección Éste es un golpe muy complejo y trabajado y que poseemuchos elementos div ersos, tanto de ingeniería social como de
gestión y administración de redes y de programación. Parallev arlo a cabo se requiere de la participación de v ariaspersonas, práctica más habitual de lo que se piensa la gente. Esllamativ o el robo de identidad f ingiendo ser policías. Medianteese ardid se han realizado multitud de delitos en todo el mundo,y no sólo relacionados con el mundo del hacking. Pida siempreque se identif iquen los policías que le aborden de esa manera, ysi es necesario, llame a la central para conf irmarlo. Aunque enmuchas ocasiones la f alsif icación alcanza también a v ehículosde policía y a sus matrículas, dude de aquéllos que dicen ir "deincógnito" y sin coche of icial, especialmente si v an solos. Tengaen cuenta además que cuando la policía realiza operacionesantiterroristas suelen env iar a v arios agentes armados consubf usiles, y establecen en las v ías sistemas de retención oconos de desv iación. No es normal que env íen a dos agentesde incógnito para ese tipo de tareas, y eso debería y a hacernosdudar de la autenticidad de dichos policías.
Tampoco deberíamos permitir que cualquier desconocido (odesconocida) use nuestro teléf ono móv il. Por supuesto, tratesiempre de ay udar, pero no pierda de v ista lo que escribe o,mejor aún, of rézcase a escribirle el SMS usted mismo. Lacaballerosidad y la gentileza no está reñida con la precaución yel sentido común.
Otro de los puntos llamativ os de ésta historia, y del quedebemos sacar una lección, es el de rev isar siempre nuestrastarjetas de identif icación. Probablemente la v ictima que Keenanos cuenta aquí no se diera cuenta de que f altaba su tarjeta deacceso hasta el día siguiente, cuando abriría la cartera paraentrar a trabajar. Eso le dio a Blazek horas y horas de margen.
Otra regla de oro es nunca abandonar nuestro puesto
inf ormático dejando el ordenador sin protección alguna deacceso. Deberíamos establecer por rutina la conf iguración deque salte el salv apantallas con contraseña, y, si esto nosresulta molesto (el salv apantallas debería saltar a los pocosminutos para ser útil), instalar un programa que con un sólotoque nos bloquee el ordenador. La contraseña que usemos paradicho programa debería ser única, distinta a todas las queusemos y, por supuesto, dif erente a la de nuestro inicio desesión.
Muchas compañías suelen tener como una medida deprotección básica la inf ormación de sus líneas internasreserv adas, de modo que se puedan comunicar entre losmismos departamentos, pero no entre dif erentes. Vemos cómoaquí el hacker v iola esta primera def ensa simplemente usandoel teléf ono directo, tras haber obtenido esa inf ormación de unapersona que sí tiene los números del departamento queinteresa. No es cuestión de suerte, nada surge por casualidad,sino de trabajo, v igilancia a conciencia y observ ancia a losdetalles. No obstante, otras v ías que podrían haber optado unav ez en el edif icio, podrían haber sido perf ectamente el uso dekey loggers con recogida de inf ormación a distancia (incluso sinnecesidad de usar Internet, sino v ía radio), o la instalación deprogramas o rutas f alsif icadas a sus intereses, que simulasenpáginas de acceso a, por ejemplo, el correo de Gmail o Hotmail.
Este ejemplo, f inalmente, nos describe con claridad que notodos los hackers tienen que ser unos jóv enes indisciplinadoscon un ordenador "achicharrado" por las horas de uso, sino quetambién pueden ser personas con muchísimos recursos,potente material inf ormático y mucho tiempo, paciencia y ganaspara ingeniar y entretejer un plan de lo más osado.
El espía espiado
Ekile es uno de esos hackers a los que podríamos englobarcomo "hackers blancos", aunque seguramente que para susv íctimas no les parezca muy correcto. Trabaja en una de lasúltimas plantas de un edif icio de of icinas, donde se encuentra lasede de una ONG: "Empecé a colaborar con ellos hace muchos años cuando eraadolescente. Prácticamente son como mi f amilia".
La razón de que expliquemos esto es que sus activ idades comohacker están íntimamente relacionadas con esa ONG: "Yo era 'el chico del ordenador', poco a poco f ui añadiendo misconocimientos inf ormáticos para tareas puntuales quenecesitábamos".
Aún así admite que poca gente lo sabe: "Por supuesto no es algo of icial. Ninguna ONG, al igual queninguna compañía, admitirá en modo alguno que trabaja conhackers, saben a lo que se expondrían, no sólo por los posiblesdelitos que los hackers pudieran cometer respecto a intrusionesinf ormáticas, sino por la pérdida de prestigio. Los hackers noestán bien v istos socialmente, y eso se traduciría seguramenteen una escapada de muchos benef actores".
Su trabajo, o la parte "oculta" del mismo, sólo lo conoce unapersona. Pero Ekile asegura que así es mejor, él se siente máslibre y a la ONG la mantiene sin cargos en el caso de que algosalga mal.
Pero ¿para qué necesitaría una ONG un hacker?: "Desde que estoy aquí hemos ay udado a legalizar a más de mil'sin papeles', con eso te lo digo todo".
Su f orma de trabajo es peculiar, y sus acciones hacentambalear al mismísimo sistema inf ormático gubernamental: "Aún así no lo hemos conseguido todo, nos f alta mucho caminopor recorrer, porque si no f uera así no habríamos legalizado amil personas, sino a cien mil".
Ekile cree en un mundo sin f ronteras, para él todos tendrían quetener las mismas oportunidades en la v ida: "Nacer en uno u otro país es simple casualidad, y sin embargoalgo tan simple como eso marcará el resto de tu v ida. Si nacesen un país del tercer mundo tienes muchas posibilidades de nollegar a los cuarenta con v ida. Lo que gobiernos como elespañol han hecho con inmigrantes no tiene nombre. Porejemplo, los que llegaron al islote Tierra: f ueron sorprendidos demadrugada por f uerzas del ejército [la Guardia Civ il, dice, esuna f uerza del ejército para él] y arrojados a Marruecos comocriminales. Luego les pegaron una patada y los tiraron a morirseal desierto argelino. La v ida de un ser humano no v ale nadapara los políticos, sólo somos mercancía. Lo que hace elgobierno de los Estados Unidos en la f rontera con México no esmucho mejor".
Pero él no se dedica a intentar entrar en serv idores del gobierno,o no simplemente eso: "Cuando más posibilidades tienes de que te descubran ydesv eles tu presencia es en la activ idad que, por normageneral, te v es obligado a generar al intentar colarte en unserv idor o en una de esas redes".
Por lo tanto, decidió cambiar de estrategia: "Enseguida me di cuenta que en lugar de pelear con losadministradores de sistemas, era mejor hacerlo con los
políticos. Por lo general en seguridad inf ormática su f ormaciónes nula o casi nula, sólo se limitan a cumplir lo que les dicendesde el departamento de inf ormática, la may oría sostenidospor becarios que emiten los inf ormes que los administradores notienen tiempo ni ganas de redactar. Por eso si tienes acceso alsistema de un diputado o de un ministro, tendrás acceso a todoel sistema sin correr ningún riesgo".
Pero ¿cómo conseguir eso?: "Observ a a cualquier político actual, ¿qué llev a consigo? Suportátil, su smartphone, su tablet. Mira a tú alrededor en la callede cualquier ciudad: estamos rodeados de sistemasinf ormáticos. ¿Crees que todos, absolutamente todos, sonseguros?"
Pero ¿cómo puede llegar a entrar en esos dispositiv osinf ormáticos? "Por lógica no v oy a describirlo, además aún está en desarrollo,y sería como decirles a los de Cupertino dónde buscar y québuscar. Pero pronto me di cuenta de que si lograba acceder alsistema operativ o iOS de iPhone y tablets, y al sistema Androidde algunos smartphones, tendría en mi poder 'las llav es delcastillo'. Empecé con eso y, de hecho, cuando of icialmenteanunciaron que les iban a regalar a todos los diputados uniPhone, puedes imaginarte la alegría que me llev é. Todo elmundo cree que los Apple son inf ranqueables, y eso paranosotros, los hackers, es una enorme v entaja, porque hace quelos usuarios bajen la guardia pensando que nadie puede accedera sus sistemas".
Ekile desarrolló dos aplicaciones en apariencia dif erentes entresí, pero que hacían lo mismo, una para la App Store y otra paraAndroid:
"No son más que dos troy anos. A la App Store me costó sudory lágrimas colocarla, allí las prueban con mucha metodología,concienzudamente. Tuv e que abrir v arias cuentas y modif icarv arias v eces el código f uente. En Android sin embargo f uemucho más f ácil, gracias a que puedes también insertarpublicidad, incorporé un código que podía modif icar sucomportamiento según quisiera desde la web".
Un troy ano es un programa que realiza una serie de tareascomo cualquier aplicación legítima pero que, además, incluy ecódigo malicioso: "Para la aplicación de Apple tuv e que recurrir a un VX [un VX esun escritor de v irus]. Quedan muy pocos escritores de v irusrealmente buenos, la may oría de los de ahora sólo saben hacerscripts, no como los de antes que escribían en ensambladorcomo si se tratase de su lengua materna".
Aunque no quiere dar detalles para que no le echen abajo eltrabajo de su aplicación, Ekile menciona que: "El VX lo que hizo f ue añadirle técnicas de of uscación a miprograma. De cara al sistema era algo legal y permitido, lo quepasara después era otra cosa. Apple tiene un sistema derecolección de basura (lo que técnicamente se denomina como"Garbage Collector" en Jav a) realmente ef iciente, cuando dosrutinas reclaman la atención del sistema operativ o, establecerásu orden de acuerdo a su relev ancia, así puedes saber lo queejecuta a cada instante y cómo no llamar la atención".
El problema de su aplicación era -y es- que la v íctima tiene quetenerla instalada en su dispositiv o: "Actualmente inf ecta a cientos de miles de smartphones ytablets, pero eso es lo que y o llamo tráf ico sin importancia. Endispositiv os realmente v aliosos sólo está en un porcentaje
relativ amente bajo. Pero es cuestión de tiempo".
Ekile no quiere tampoco descubrir cómo opera su aplicación,porque eso también f acilitaría el trabajo de los testeadores: "Aprov echo parte del ruido de Internet, cuando estás trabajandoa tope con twitter o WhatsApp no le llama la atención a nadieque su smartphone o tablet empiece a env iar paquetes sinparar".
El próximo paso sería poder acceder mediante un túnel a larecogida de datos en las conexiones VPN: "Es un reto emocionante. No soy el primero en hacer algo así,ni tampoco seré el último, pero lo bueno es que algo tan simple,que no despierta la atención de nadie al no ser ni comportarsecomo un v irus, nos puede dar las llav es para comenzar acambiar las cosas. De hecho y a lo estamos haciendo".
El escenario ante el cual nos pone Ekile es realmenteinquietante: no solamente podría obtener acceso a documentose inf ormación clasif icada de las más altas esf eras políticas delgobierno, sino que, además, podría usarlas en su propiobenef icio, f acilitando como en éste caso (o llegando incluso arealizar) complejos procesos administrativ os.
- Protección Como ha quedado bien patente, ningún sistema o dispositiv oinf ormático está a salv o de intrusos. Al año se inv iertenmillones de euros en la seguridad de las conexiones ydispositiv os del gobierno, pero su ef iciencia brilla por suausencia. De hecho, Ekile nos comentaba "of f the record" cómoencontró la clav e para penetrar en la dirección web of icialmediante un certif icado caducado directamente desde Firef ox.Los programadores que son contratados en auditorías no
pierden el tiempo en pensar en esas cosas, ni tampoco encontemplar las posibilidades que un nav egador no conv encionalpuede of recer a los hackers que se preocupen de inv estigar.Las conexiones SSL que responden a tokkens son uno de lossistemas más utilizados en la realización de esas gestiones,pero para un hacker experimentado no le costará mucho trabajosimularlas haciéndose pasar por un usuario o accediendo a laconsola de administración gracias al trabajo de unos snif f ers ode algún programa alterado de un gestor.
Asimismo, la documentación of icial no debería estar adisposición de un político, por muy alto que sea su cargo. Unhacker puede incluso hacer que la pidan mezclando su correoentre la ingente cantidad de emails que manejan a diario estetipo de personas. Es una argucia de ingeniería social cada v ezmás extendida. El político que lo v ea en su bandeja de entradaapenas sospechará, y mucho menos se preocupará de suprocedencia o de buscar al responsable de que aquello hay allegado allí, principalmente porque éste tipo de personas sólo seatienen a trabajar con sus gabinetes y poco más. Ekile reuniótoda esa experiencia precisamente trabajando para laadministración.
Si en última instancia piensa o intuy e que su smartphone está"pinchado" o hackeado, deje de trabajar inmediatamente con él yapáguelo. El único sistema casi cien por cien f iable son losmóv iles con f irmware propietario, pero ¿quienes a día de hoy seaniman a trabajar aún con ellos?
Los teléfonos listos no son tan listos
Cuando le env ié un borrador de parte del libro a un administradorde sistemas amigo que trabaja realizando auditorías, éste se loremitió a leer a un prof esor univ ersitario. El prof esor me escribiósugiriéndome que incluy era un pequeño apéndice sobre laseguridad en dispositiv os móv iles. Al f inal decidí hacer estapequeña reseña, y a que no es ése el objeto del libro.
Los smartphones (o teléf onos móv iles o celulares inteligentes,como quieras llamarlos) se han conv ertido en parte esencial denuestras v idas, en un complemento imprescindible. Lapreocupación que suscita la historia que contamos aquí sobreEkile (v er el capítulo "El espía espiado") no es raro: la may oríade personas se v erían en un serio compromiso si parte delcontenido de sus tablets o smartphones (muchas v eces íntimo)se div ulgara. Al principio creen que es algo muy improbable, porno decir imposible, pero luego, asombrada, la v íctima sepregunta cómo consiguieron la inf ormación.
Muchos de los hackers y crackers que conozco tienen unav igilancia y cuidado constante como norma de v ida, f ormaparte y a de su rutina, y es por ello que aún permanecen en elanonimato. Hacen cosas tan cuidadosas como no dejar sushuellas dactilares ni en la misma puerta de su portal, si son asíde cuidadosos en algo que para el resto de nosotros nos puedeparecer tan banal, y a nos podemos dar cuenta de hasta quéextremo de resistencia llev an a aplicaciones, redes yserv idores, y también nos podemos hacer una idea de lo dif ícilque ha sido traerlos aquí para que nos expongan algunos de suscasos y, en suma, sus logros a los que tanto esf uerzo handedicado.
En el tema de la seguridad de los smartphones hoy en día casitodos los hackers y VXs se alegran de que en el mercado latotalidad de sistemas operativ os existentes estén copados porlos dos grandes: Apple con su iOs, y Google con su Android.Para ellos no es la principal dif icultad el empeño en seguridad delos desarrolladores, sino la poca repercusión que tendrán susesf uerzos. Es ésa la principal razón -y no otra- que los v irustengan su principal objetiv o a ordenadores Windows, y no aLinux. Porque en sistemas Linux (y Unix en general) también sepueden introducir aprov echando cientos de bugs, y muestra deello es el inmenso número de hackers que lo han hecho y laconstante actualización de kernels.
Cuando lees la inf ormación que Google da sobre la seguridad enAndroid, te cuentan algo que parece un capítulo de un manualsacado de "Barrio Sésamo": "la seguridad en Android" -v ienen adecir- "es como una cajita rellena de arena, en donde la arena nopuede escapar" (puedes v erlo enhttp://support.google.com/googleplay /bin/answer.py ?hl=es&answer=1368854 ). Obv iamente, ésta es una traducción"para analf abetos" de su máquina v irtual y de la f orma que tieneésta de tratar las aplicaciones que se ejecutan medianteseudocódigo (técnicamente by tecode).
En iOs es dif erente: ellos no necesitan "v igilantes" quemonitoreen cada proceso del sistema ni que interpreten como lohace el compilador de Jav a (denominado JIT, "Just In Time"), y aque el código no se ejecuta en una parte controlada y en elentorno de la máquina en donde, a f in de cuentas, la máquinav irtual (JVM, conocida en Android como "Dalv ik") tiene en últimotérmino el control y ella decide qué hacer, sino que, como ocurreen un ordenador no v irtualizado (la v irtualización es una f ormade ejecutar sof tware en un entorno seguro o "blindado") el código
no es pseudocódigo que luego es "compilado" en tiempo deejecución (interpretado) sino que opera directamente sobre elsistema operativ o (tal como lo hace Mac OS X, de hecho usanel mismo lenguaje, el Objectiv e-C). ¿Esto qué quiere decir ycómo le af ecta al usuario? Pues quiere decir que un programaen el iPhone puede tomar el control del sistema operativ o yhacer con él lo que quiera, ¡incluso impedir que se apague eldispositiv o o, en caso de hacerlo, estropearlo! Por eso Applenecesita de la App Store, para tener todo el sof tware controladoy que ninguna de las aplicaciones "se salgan de madre" ni hagande f orma oculta rutinas que no deberían hacer.
Es una f orma muy dif erente de v er la misma cosa. IPhone,iPad y demás dispositiv os sobre iOs es como si -imaginémonos- tuv ieran una red externa muy asegurada, con uncontrol de intrusos exacerbado pero que, una v ez dentro (ycomo y a hemos v isto aquí en multitud de ejemplos) el intrusopuede sentirse como en su casa, con todas las puertasabiertas.
Android, sin embargo, ha elegido otro camino, y es como unared relativ amente f ácil de entrar desde f uera, pero que una v ezdentro para pasar de niv el tienes que sudar tinta, consuperv isores y gestores de aplicación y procesos (el"scheduler") por todos lados. La gestión de memoria también esdif erente en los dos.
Esta f orma de arquitectura tiene también sus pros y suscontras, y no sólo en materia de seguridad: Apple puedeexprimirle más los recursos de su hardware, mientras que lasaplicaciones de Android, al ejecutarse tan -digámoslo así-extremadamente v igiladas y bajo COW (es una f orma decompartición de memoria, dicho a grosso modo, para acelerar la
operativ idad), sus procesos son más lentos al realizar cadaaplicación de manera aislada (cosa que se hizo por seguridad).Además que Apple controla sus componentes, y Android tieneque f uncionar con hardware de f abricantes de lo más v ariopinto.
¿Es más seguro, entonces, Android? No quiero que el lector sellame a engaño, cada uno tiene sus pros y contras, y es eso loque he tratado de aclarar con todas estas explicaciones.
En teoría Android no nos dejaría ejecutar aplicacionesf raudulentas gracias a todos los mecanismos de seguridad,desde Google aseguran que en la práctica es imposible que unaaplicación tome el control del dispositiv o, claro que ellos quév an a decir. De la teoría a la práctica dista bastante, y pruebade ello es la cantidad de troy anos y v irus que se han "colado"en Android. Uno de ellos inf ectó miles de smartphones Androiden China, accediendo incluso a SMS codif icados con "captcha",descif rándolas y robándole al propietario miles de dólares en suf actura. Google se desentiende del asunto dejando laresponsabilidad en las manos de los usuarios, argumentandoque si el usuario le da permisos de acceso a la red y de lecturadel contenido de su sistema -por ejemplo, a la tarjeta dememoria-, ellos no pueden impedirlo. Qué curioso que deje enmanos de propietarios inexpertos (sí, a esos a los que alprincipio dijimos que les había redactado un manual con estilode Barrio Sésamo) la responsabilidad luego de gestionar susistema operativ o. Es como enseñarle a conducir a unosaltándose los semáf oros en rojo, y luego culparle de haberatropellado a un peatón. Pero esta f orma de contradicción esbastante habitual y no sólo la utiliza Google, porque, de hecho,no les sería asumible el riesgo de reconocer sus propiosagujeros de seguridad o debilidades, de la misma manera queApple se niega a asumir los suy os.
Está claro que todo dispositiv o o sistema que esté en red esprocliv e a suf rir ataques, y es, potencialmente, un objetiv o delos hackers. También es cierto que los dispositiv os de hoy endía son más seguros: trabajan con clav es de alto cif rado ypueden utilizar multitud de certif icados de seguridad.Curiosamente es también culpa de esta complejidad el quemuchos administradores y diseñadores de sof twarecomprometan la integridad, muchos de ellos trabajan a presiónpara cumplir plazos (cada v ez más cortos en una industria tancompetitiv a en donde una o dos v eces al año tienes querenov ar el producto para que no se muera) y en condicionesmuchas v eces penosas. El romanticismo de una sala en SiliconValley con programadores jugando a la pelota en mitad de lajornada laboral cada v ez v a quedando relegado a unos pocoaf ortunados, muchas compañías subcontratan serv icios dedesarrollo en oriente, con partes de driv ers realizadas porbecarios o por personal temporal no sólo mal pagado, sino engran medida desincentiv ado. Pero mientras se cumplan plazos yf echas, a casi nadie le importa lo demás.
La seguridad de los smartphones, tabletas y demás es, y será,cada v ez un tema recurrente para salv aguardar la intimidad delos usuarios. Pero cada v ez más la ingeniería social ydeterminadas herramientas (accesibles a quien las quieraobtener) harán de esto una especie de carrera del gato y elratón. Puede que los habituales golpes de antaño no se repitan,de hackers nov atos, pero las intrusiones importantes en buscade v alioso material tendrán (y empiezan a tener) un escenariode realización que obligará a los cuerpos policialesespecializados a un altísimo grado de dedicación y complejidad.Ahora bien: ¿estarán ellos dispuestos a implicarse y robarle asus f amilias el mismo tiempo que dedican los hackers y
crackers?
Ahora mismo existen herramientas de monitoreo capaces debuscarle la pista hasta el último microsegundo de activ idad deuna IP, pero también los hackers tienen otras muchas f ormas deocultar sus mov imientos que sólo unos pocos años atrás nollegaron ni a soñar.
En el f ondo un hacker nunca cree que le v ay an a coger. Dehecho, hoy como ay er, si cogen a muchos de ellos es por losmúltiples errores que cometen en su ambición de lograr llamar laatención y conseguir una cierta f ama.
A modo de resumen...
Muchos libros y programas de telev isión sobre ingeniería socialestán colaborando a crear una cierta psicosis, de manera que unenorme número de personas a las que se les acerca algúndesconocido para solicitarle ay uda acaba crey endo que lequieren estaf ar. Esto colabora a que, si nuestra sociedad y a esde por sí en gran manera insolidaria y egoísta, lo sea aún más.
Nuestros lectores deberían entender que la may oría de laspersonas que se acercan a uno reclamando ay uda es porquerealmente lo necesitan. He trabajado durante muchos años conorganizaciones asistenciales, y puedo aseguraros que la granmay oría de personas que piden auxilio no lo hacen por placer.Cuando uno se encuentra en la calle o en una situación personalconf lictiv a, es muy dif ícil salir de ella, y habitualmente requiereun largísimo proceso de f uerza de v oluntad y asistencia quesuele durar años, no días.
Por ello, no quisiera que ninguno de los que lean este libro caigaen el error de que le v an a estaf ar o de que cualquier personaque pida su ay uda es un riesgo en potencia. Obv iamente, cadauno debe v alorar la petición con sentido común: no es lo mismoque le paren por la calle pidiéndole cincuenta centav os, a que unestaf ador le quiera v ender su automóv il por mil dólares, o unhacker le pida su contraseña personal para acceder a tal partede sistema y hacer determinada cosa.
Espero que con las líneas y capítulos anteriores el lector hay aaprendido a v alorar el riesgo y sepa obrar en consecuencia, ésees el f in primordial de este trabajo. Se deberían dar charlas deseguridad para no caer en extremismos que no llev an a nada, yev itar conv ertirnos en salv ajes en donde estemos todo el rato
mirándonos el ombligo porque, aún así, nadie nos aseguraráestar a salv o de hackers. En todos estos ejemplos has podidocomprobar que hay mucha dif erencia entre la seguridad y lasolidaridad. Por supuesto, si una persona, aunque f uera unextraño, se acerca a tu lugar de trabajo a pedirte un f av or, en unalto porcentaje de casos necesitará realmente que le hagas esef av or, y deberíamos hacérselo si está en nuestras manos. Peroes muy dif erente a eso el que dejemos nuestras tarjetas deidentif icación encima de la mesa o se las conf iemos a guardar aceladores, o que cualquiera sin identif icación entre para"engancharse" a nuestra red sin que ningún superior nosadv irtiera de ello. Esos extremos no entran dentro de lo quedeberíamos v er como solidaridad, sino como integridad, al f in yal cabo, protegiendo nuestra empresa protegemos nuestrotrabajo y, en último término, a la sociedad y a nosotros mismos.
No deberíamos prejuzgar tan ligeramente a las personas. Untipo que se acerque a nosotros por la calle mal v estido y oliendoa humedad no tiene por qué ser un alcohólico, puede quesimplemente sea la única ropa que en los roperos municipales lehay an podido prestar aquélla mañana, o se hay a empapado dela lluv ia. De la misma f orma que un hombre con traje y corbataperf ectamente planchados y sonrisa atractiv a no tiene por quéser un respetable ejecutiv o. Puede tratarse de todo un hacker.Tendemos mentalmente a etiquetar a las personas mediante suaspecto, su f orma de hablar y sus gestos, cuando lasacabamos de conocer. Un hacker lo sabe muy bien, y tratarásiempre que pueda de causar una buena impresión la primerav ez. Luego no le importa, porque probablemente no le v ay a av er nunca más.
Es cierto que la sociedad, en general, es un animal carnív orosin piedad que intentará dev orarnos, pero hay muchas personas
que, precisamente por eso, acabaron dev oradas. No nosconv irtamos con la excusa de nuestra priv acidad, en uncarnív oro más y en ése tipo de sociedad que, precisamente porello, detestamos. Si, en último término, nos surgen dudas,parémonos a pensar y preguntémonos: "¿es esto realmente loque quiero hacer? ¿Soy y o así?". A v eces es mejor dejarnosestaf ar con un par de dólares y dormir tranquilos, que no pornuestra culpa dejar sin un bocadillo o una medicina a personasdesaf ortunadas que lo hubieran podido necesitar.
Siempre que me preguntan respondo f irme que lo primero es lasolidaridad y el altruismo. Para ser injustos, déspotas oinsensibles, siempre tendremos tiempo. Y aún queda gente enquien puedes conf iar, porque, de lo contrario, ¿qué tipo demundo estaremos construy endo? Si hay un conjunto depersonas que tengan el alma negra, no les tomes de excusapara tenerla también tú, y a que ese tipo de personas son lasmás merecedoras de nuestra conmiseración. Intenta mantenerunos principios altruistas, y no los v endas por un posible "lo quepudiera pasar". Toma las lecciones de estas páginas anteriorescomo una muestra de dónde debe residir la auténtica seguridad,y no cómo una excusa para tomar el papel de juez o acusadorde nadie.
Breve glosario de terminología
· Aplicación de escritorio remoto: Es un tipo de programa quepermite a un usuario lejano hacerse con el control de otroordenador y manejarlo como si estuv iera f ísicamente junto a él.Existen muchas v ariedades de estos programas, muchos deellos usados habitualmente por hackers.
· BBS (de Bulletin Board Sy stem): Es un sistema paracomunicarse entre grupos de usuarios (o usuarios anónimos)mediante un programa terminal (o también Telnet si es desdeuna computadora) a trav és de Internet o una línea telef ónica. Elintercambio de inf ormación se realiza mediante texto plano.
· Bot: Script automatizado que podía operar de f ormaindependiente como si f uera una persona real, para realizardif erentes tareas.
· Bugs: Errores o f allos de programación que pueden serv ir, porejemplo, como acceso de puerta trasera ("backdoors").
· Captcha: Tipo de cif rado que, en teoría, impide el uso derobots o automatismos.
· Driv ers: Importante sof tware que cumple tareas de relacióncon el sistema operativ o. Muchos de ellos están realizadosdirectamente en ensamblador para aumentar su ef iciencia.
· GUI: "Graphic User Interf ace", "Interf az Gráf ica de Usuario".Habitualmente una capa de niv el superior para f acilitar larelación hombre-máquina.
· Hacker negro / hacker blanco: Se usa para def inir el tipo de
hacker según sus acciones. El "hacker blanco" es aquél quepenetra en sistemas con el único objeto de aprender y /o hacerv er a sus legítimos dueños sus f allos en seguridad, mientrasque el "hacer negro" aprov echa esos f allos en su propiobenef icio.
· MBR: Acrónimo de "Master Boot Record". El primer sector("sector cero") de los dispositiv os que almacenan datos, comodiscos duros.
· NAT: Es el traductor de direcciones de Red. Para IPv 4 seutilizan las NAT-T.
· Newbie: Persona nov ata en inf ormática o técnicas hacking.
· Phreaking: Son las técnicas de uso y aprendizaje de las líneastelef ónicas, de sus dispositiv os y elementos (hardware) y de susof tware de gestión. No tiene por qué estar relacionado con elmundo del hacking, aunque en la may oría de casos sí lo esté. Alos amantes y estudioso de estas técnicas se les conoce en elargot como "phreakers".
· Shareware: Programas inf ormáticos que, para su uso, serequiere de un pago, aunque el programa f unciona prev iamente"a modo de v ersión de prueba". Pueden ser de muchos tipos: depago tras un tiempo de uso (si no se realiza el pago la licenciaexpira y el programa deja de f uncionar), o de pago para obtenertodas las f uncionalidades (algunas partes del programa nof uncionan si no se compra una licencia). Los hay también quef uncionan plenamente sin que se adquiera la licencia, pero acambio emiten molestos av isos, o publicidad, o tienen partes deinf ormación -en cierta f orma también molestas- para que secompre la licencia.
· Seguridad mediante oscuridad: Filosof ía de seguridad quesobreentiende que cualquier usuario que se encuentre dentro dela red interna de la empresa o a trav és de su sistema de f iltradoexterno es un usuario legítimo y autorizado. Es unplanteamiento muy extendido (sea por premeditación o por otrascausas, como olv ido o conf iguración errónea de los sistemas yaplicaciones de red) y que suele tener consecuenciasdramáticas para la seguridad.
· Stealer (en español "ladrón de inf ormación"). Es el nombregenérico de programas inf ormáticos maliciosos de tipo troy ano,que se introducen a trav és de Internet en un ordenador con elpropósito de obtener de f orma f raudulenta inf ormaciónconf idencial del propietario, tal como su nombre de acceso asitios web, contraseña o número de tarjeta de crédito.
· "The Scene" ("La Scena"). Def ine la relación y el mundo entrehackers, VXs, crackers... etc.
· VX (VXs): Escritores de v irus.
· Warez: Programas, aplicaciones y material div erso pirateadoo/y crackeado.
Códigos de ejemplo
Ejemplos de un código con serv idor FTP y serv idor de f icherosbajo IRC. © (Manuel Gris)
Ejemplo de una parte de código de un script en VB imbuidoen una página web, con la rutina para instalar una aplicación(Nef ty usó algo parecido).© (Manuel Gris)
Direcciones útiles· https://login.launchpad.net/+openid
Serv icio de OpenID de Canonical. OpenID es una herramientade clav es unif icadas, de manera que se puedan utilizar enmultitud de sitios y páginas Web. On OpenID, tendremos lagestión de las cuentas centralizadas, anónima y segura. Elserv icio de Launchpad, además, nos permite elegir entrev isualizar nuestro nombre público o no.
· http://ascii.cl/es/url-decoding.htmDecodif icador de URLs. Nos permite interpretar los símbolosque encadenan las rutas URL para env iar inf ormación sinencriptar.
· http://www.antiav erage.com/ip/Intérprete y conv ertidor de direcciones URL modo texto, adirecciones IP.
· http://blog.gentilkiwi.com/mimikatzUna de las últimas herramientas para la obtención decontraseñas, hashes e iny ecciones en sistemas Windows.
· http://www.tasty cocoaby tes.com/cpa/CPA. Snif f er para sistemas Mac OS X.
· http://www.portswigger.net/burp/intruder.htmlHerramienta perteneciente a la suite BurpSuite para ejecutarataques de f uerza bruta.
· http://www.f wbuilder.org/Interf az GUI de cortaf uegos.
· http://www.comodo.com/secure-dns/switch/
Serv idor DNS seguro.
· https://dev elopers.google.com/speed/public-dns/?hl=esDNS públicas de Google.
Aclaraciones finales
Los relatos que puedes leer aquí son historias nov eladas dealgunas de las andanzas más f amosas de hackers y crackersde hoy en día. Tienen como principal atractiv o que son historiasactuales, con sistemas inf ormáticos de hoy y ordenadoresmodernos, al contrario que otros libros o relatos similares, quesuelen remontarse a los años nov enta u ochenta o, incluso, a laera de los primeros ordenadores. Por lo tanto, es un trabajo,desde el punto de v ista de la actualidad, muy v alioso. Han sidoexpuestas únicamente como ejemplo de lo que este tipo depersonas pueden lograr, y con el único f in de que el lector puedaprotegerse al conocer cómo actúan. Bajo esta premisa es bajola cual se dif unde éste texto.
Lógicamente, por razones obv ias de seguridad, se ha tratado depreserv ar algunos detalles en aquéllos casos en donde ladescripción pormenorizada pudiera llev ar a que alguien pudieserealizar el procedimiento descrito. Los nombres son totalmentef icticios, y si coinciden en algún caso con un hacker o crackerreal es simple y total casualidad.
En algunas de ellas también se ha recurrido a "lo que pudierahaber sido" en caso de llev arse a su f in determinada acción,pero esto no quiere decir que se hay a cometido (y a hemencionado que son relatos de f icción) la mencionada acción.El hecho de relatar el procedimiento completo es simplementepara hacer v er gráf icamente la f ragilidad de determinadossistemas actuales, y para aclarar el modo de actuación de loshackers y crackers.
Por último, se ha tratado de obv iar, siempre que ha sido posibley con el objeto de f acilitar la lectura a la may oría de personas
(aunque no estén f amiliarizadas con la inf ormática), términostécnicos y argot inf ormático o "de la Scene". De este modo sehace el texto más digerible por aquéllos menos habituados atratar con ordenadores. En aquéllas situaciones en las que no hasido posible esto, se ha tratado de aclarar dicha terminología demanera contextual o/y accesoria al texto. No obstante, al f inalencontrarás un pequeño glosario que hará ref erencia a algunostérminos.
