Hackers, ¿héroes o piratas?

El pase de diapositivas requiere JavaScript.

Los más famosos han dado golpes millonarios o revelado secretos de Estados y corporaciones. Otros se ven a sí mismos como defensores de la libertad individual frente a los poderes ocultos de la sociedad de la información.

¿En qué piensa uno cuando escucha la palabra hacker? Casi todo el mundo debe tener una idea, aunque sea muy equivocada, sobre cómo es y qué hace un hacker. Tal vez, si vio la película Matrix, usted piense que un hacker es alguien como Neo, su protagonista: un genio de la informática que con una computadora y conexión a internet es capaz de hacer cualquier cosa que se proponga. Alguien que, por la suma correcta de dinero, no tiene inconvenientes en guardar cualquier escrúpulo en el bolsillo.

O tal vez se lo imagine como un idealista que lucha por la libertad de información y la protección de la privacidad en internet, incluso si eso implica poner en riesgo su vida. En ese caso, usted está pensando en alguien como Edward Snowden, el ex empleado de la CIA que hizo pública una serie de documentos clasificados como alto secreto, que destaparon uno de los mayores escándalos de espionaje en la historia de Estados Unidos, y que desde entonces vive en un exilio forzoso.

Como se ve, pese a que es un término muy utilizado, en torno a la figura del hacker se abre un universo de significados, en su gran parte mitos creados por películas, libros, periodistas y abundantes dosis de desconocimiento. Pero, ¿cuánto hay de cierto en todo esto? Otra vez más, ya lo verán, la realidad supera a la ficción.

El bueno, el malo y el lindo

“Lo que se imagina la gente es completamente distinto de lo que es la realidad”, opina José María Schenone, CEO de la consultora DOTLINUX Latinoamérica y fundador de la Organización Argentina de Hackers Eticos, que se dedica al asesoramiento sobre problemas de privacidad y seguridad informática.

“La imagen del hacker está asociada a lo que se ve en la televisión y en las películas, que lo muestran como una persona mala”, dice Schenone y continúa explicando que el término hacker comenzó utilizándose en los años 60 para referirse a los especialistas en informática y que ése es el verdadero significado de la palabra. “Ahora bien −contrapone Schenone−, el que roba información, violenta la seguridad de una computadora o te roba el perfil de Facebook, esa persona no es un hacker; es un delincuente”.

Y esa es una aclaración importante que hay que hacer desde el comienzo, porque es una confusión muy extendida y que provoca severos dolores de cabeza. Como en todas las profesiones, en el mundo hacker no todos son malos ni todos son buenos.

Una de las distinciones más populares se inspiró en el western del cine norteamericano. Según esta clasificación, por un lado están aquellos a los que llaman “hackers de sombrero blanco”, con los que se siente identificado Schenone. Ellos son hackers éticos, quienes trabajan para mejorar la seguridad informática, garantizar la privacidad de los usuarios y aumentar la igualdad en el acceso a la información. Por ejemplo, un programador que desarrolla su aplicación y la comparte con el mundo de forma gratuita.

En la vereda de enfrente están los de “sombrero negro”, más conocidos como crackers o delincuentes informáticos, que responden al estereotipo que existe sobre el hacker: son chicos realmente malos, que tienen como trabajo el colapsar servidores, infectar redes o violar sistemas de seguridad para robar información delicada y privada.

Algunos de ellos lo hacen por una causa altruista, por ejemplo, luchar por la libertad de información como los integrantes de Anonymous (de hecho hay quienes los distinguen como “hackers de sombrero gris”). Pero también están aquellos que trabajan por dinero y se venden al mejor postor; porque hoy, en la era de lo intangible, en el negocio negro de internet corren ríos de dinero.

Por fuera de la ley

Lo que separa a los hackers éticos de los delincuentes informáticos es, por supuesto, si cometen o no un delito. Y para hablar de ese tema hay que remitirse a la Ley 26.388 de delitos informáticos, promulgada a mediados de 2008. Sobre ella consultamos a Miguel Sumer Elías, abogado especializado en derecho informático y director de Informática Legal, una organización que se dedica a asesorar y capacitar a usuarios, empresas y organismos sobre temas vinculados a la seguridad en internet.

A diferencia de otras leyes, la 26.388 no es un cuerpo normativo que esté separado del Código Penal. En cambio, explica Sumer Elías, “lo que hace es darle órdenes al Código Penal para que incorpore, modifique o sustituya algunos de sus artículos con el objetivo de que tengan en cuenta a las nuevas tecnologías de la información y la comunicación”.

Entonces, si un delito es “toda acción negativa que está descripta en el Código Penal −continúa Sumer Elías y ejemplifica: la injuria, el robo o la amenaza−; cuando hablamos de delito informático nos referimos a cualquiera de los delitos tradicionales, pero que se ha cometido a través de medios informáticos o cuando el objetivo es un dato o información”.

Se sabe que uno de los primeros delincuentes informáticos denunciados fue John Draper, también conocido como Capitán Crunch, quien es una leyenda dentro de la cultura hacker. A principios de los 70, él descubrió que con el silbato que venía de regalo en un paquete de cereal para chicos, podía emitir un tono en la misma frecuencia que usaba la compañía telefónica AT&T para indicar que la línea tenía permisos de administrador. De esa manera, silbando sobre el micrófono de cualquier aparato, él podía ingresar al sistema en modo operador, conocer las propiedades del sistema telefónico y hacer llamadas internacionales gratuitas.

Hoy, 40 años después, con el desarrollo de internet y la creciente influencia de las tecnologías en cada aspecto de la vida cotidiana, las posibilidades se han multiplicado infinitas veces y un delincuente informático puede ser denunciado por una gran variedad de delitos, desde amenazas −sean anónimas o no− hasta el acceso, eliminación o publicación de comunicaciones electrónicas privadas. También están la extorsión; el acceso sin autorización a una computadora, celular u otro dispositivo electrónico que tenga acceso restringido; y la distribución de programas destinados a causar daños (malware), entre muchos otros.

Los más serios, sin dudas, son los relacionados a la producción y distribución de pornografía infantil −la tenencia no es delito en la Argentina. Además, la Argentina está siendo testigo de un nuevo fenómeno criminal, algo que hasta hace poco era ciencia ficción. “Siempre se habló del secuestro de información, pero como una leyenda urbana”, explica Carlos Gabriel Rojas, comisionado del Area Especial de Investigaciones Telemáticas de la Policía Metropolitana, quien investiga los casos de dos empresas en las que ocurrió eso recientemente. Según cuenta, “ambas recibieron un ransomware, un programa que, cuando entra en una computadora, toma un montón de archivos del servidor, los encripta y deja una nota de rescate”. En estos dos casos, de los primeros que se denunciaron en la Argentina, las empresas se vieron obligadas a pagar para que les den las claves y poder recuperar la información. Les costó 2.000 y 5.000 dólares que pagaron mediante bitcoins, una nueva moneda virtual que es prácticamente imposible de rastrear.

El caballo de Troya

Como se ve, las cuestiones personales existen y son una posible causa de un ataque. Pero la inmensa mayoría de los accesos en forma ilegal se realiza en forma masiva y las víctimas no tienen ni la más remota idea de que su máquina está siendo afectada.

Y, si se trata de ataques masivos, los reyes indiscutidos son los troyanos, un tipo de malware o software malicioso creado para infiltrarse o dañar una computadora o sistema. Su nombre proviene del mítico caballo de Troya que, según cuenta Homero en su “Odisea”, fue un caballo gigante de madera que los griegos regalaron a los troyanos como ofrenda de paz y así concluir con la guerra que los enfrentaba. Los troyanos aceptaron gustosos este obsequio que escondía una trampa, porque en el vientre del caballo venían escondidos soldados griegos que, de esa manera, pudieron atravesar por la puerta principal a las insuperables murallas de Troya y, una vez dentro, reducir la ciudad a cenizas.

En informática, un troyano es un software malicioso que ingresa a la computadora haciéndose pasar por otra cosa. No son complejos de usar. De hecho, hay foros donde se pueden descargar gratuitamente junto a un detallado y sencillo manual de instrucciones.

En esos manuales explican que un troyano se compone de dos programas distintos pero conectados: El “servidor”, que es aquel que está en la computadora de la víctima y opera sin que el usuario sepa; y el “cliente”, que está en la computadora del atacante y permite un control remoto del equipo infectado.

Entonces, el primer paso para el delincuente es distribuir el “servidor”. Una forma es escondiéndolo dentro de un juego crackeado, por ejemplo, suben el último FIFA a algún foro y esperan a que las víctimas lo bajen. Una vez instalado, van a poder jugar al juego pero, sin sospecharlo, también habrán instalado el troyano. Otro mecanismo es a través de los mails que casi todos recibimos de a montones. En ellos se invita a ver alguna foto escandalosa o a aprovechar alguna oferta increíble, esperando que uno caiga en la trampa y haga clic en un link que lleva a una dirección que instala el troyano.

En ese caso, un delincuente podría empezar a hacer a distancia una gran variedad de cosas en esa computadora: instalar otros programas (incluyendo otros software maliciosos); robar información bancaria, contraseñas o códigos de seguridad; borrar, modificar o transferir cualquier archivo; encender la cámara web; o realizar capturas de pantalla.

Sin embargo, no se suelen utilizar los troyanos para eso, sino para conformar una botnet, que es una red de computadoras infectadas. Comenzaron siendo redes de unos diez a quince equipos administrados desde un solo lugar, y hoy son complejos sistemas que cuentan millones de equipos que pueden administrarse desde varios lugares a la vez.

Para tener una idea, Bredolab fue la botnet más grande de toda la historia. A fines de 2010, las autoridades de Armenia la desmantelaron luego de arrestar a su creador, Georg Avanesov, de 27 años. Avanesov controlaba más de 30 millones de computadoras de todo el mundo y por eso fue condenado a 4 años de prisión.

Pero, si uno a veces no tiene tiempo para ver todas las fotos de las vacaciones del último verano, ¿para qué querría Avanesov tener acceso a tantas computadoras? Jamás podría ver qué es lo que hay en cada una de ellas, ni aunque dedicase el resto de su vida a eso.

Según los investigadores, Avanesov ganaba alrededor de 100 mil euros por mes alquilando el control de los equipos comprometidos a otros delincuentes que querían propagar malware, enviar spam o hacer colapsar páginas web (ataques DDoS). Se estima que, en su momento de mayor actividad, Bredolab llegó a enviar más de 3 mil millones de correos electrónicos infectados por día.

Forajidos de esta era

“Como en todos los ámbitos del mundo criminal, están los profesionales y los amateurs. Cuanto más profesional es un delincuente, más prolijo es en el procedimiento y menos riesgo tiene de ser atrapado”, dice Sumer Elías y explica que, según su experiencia, en el mundo del cibercrimen argentino los profesionales se cuentan con los dedos de las manos.

Es decir, que están aquellos delincuentes informáticos que ven qué quieren hacer y se las ingenian para hacerlo como sea y sin dejar rastros; pero son unos pocos. Y hay quienes hacen el proceso inverso: se bajan el software malicioso junto al manual de instrucciones y buscan en dónde poder usarlo. “Este último caso es como tener una piedra que rompe vidrios azules y, recién entonces, salir a buscar vidrios azules para romper”, explica el comisionado Rojas, quien opina que un delito informático es tan complejo de resolver como logre enredarlo el delincuente. “Hoy se cuentan con las herramientas necesarias para permanecer completamente anónimo en internet, lo que pasa es que algunos saben cómo usarlas y otros no”.

Por otro lado, tampoco ayuda que los límites territoriales sean más vagos que en los delitos tradicionales y que cada país tenga su propia legislación. Hay que pensar que en internet las fronteras físicas no existen y que un delito puede cometerse desde cualquier parte del mundo.

Contactar a un delincuente informático es fácil. Internet está lleno de foros donde alguien ya solicitó sus servicios y recibió una catarata de respuestas con mails de contacto y, muchas de ellas, con acusaciones cruzadas de que son estafadores.

En cambio, no es tan fácil encontrar uno que acceda a ser entrevistado, por más que se prometa anonimato absoluto. Tal vez sean personas que, por la naturaleza de su trabajo, han desarrollado personalidades paranoicas.

Kyle es uno de los que no tuvo problema en responder a las preguntas. Es mexicano, estudiante de Ingeniería en sistemas y ha tenido varios clientes argentinos −ya dijimos que en internet las distancias físicas no existen. El afirma que tarda como mucho una semana en conseguir los archivos que están dentro de una computadora específica y cualquier contraseña de Facebook o correo electrónico.

“En general mis clientes me contactan porque sospechan que su pareja los engaña. Entonces, como el cliente es de confianza para la víctima y tiene acceso a su computadora, yo sólo le indico qué debe hacer y cuándo”, explica Kyle. En ese caso, la tarifa es de las más baratas, alrededor de 500 dólares; pero, en el caso de que Kyle tenga que hacer todo el trabajo, puede llegar a cobrar 1.500 dólares.

“Varios clientes me han contactado para limpiar deudas de tarjetas de crédito, incluso cambiar notas de carreras universitarias y, si bien no las considero imposibles, sí requieren de muchísimo trabajo y de varias personas trabajando al mismo tiempo −cuenta Kyle y agrega−: Además de que corres el riesgo de ser atrapado por delitos federales… soy un simple estudiante y estar en problemas legales no es precisamente una de mis metas.”

Tras el eslabón más débil

“Una cadena es tan fuerte como su eslabón más débil”, dice una frase trillada pero que bien podría servir para explicar el accionar de otro tipo de delincuente informático.

En el mundo real, si una persona tiene intenciones de matar a otra, es muy probable que lo termine logrando. Si es necesario, estudiará los movimientos de su víctima durante meses y esperará el momento justo para actuar. En el mundo virtual ocurre lo mismo: si alguien quiere realizar un ataque personal, siempre habrá recursos para conseguirlo. Basta averiguar en qué empresa trabaja la víctima, en qué banco tiene cuenta o con cuál compañía telefónica tiene su celular, para enviarle un mail que simule ser de alguno de ellos y esperar a ver si la víctima no se da cuenta.

“Eso se llama ingeniería social y es más peligroso que cualquier virus”, explica Federico Kirschbaum, dueño de Infobyte, una consultora de seguridad informática, y organizador fundador de la Ekoparty, un encuentro anual de especialistas en seguridad informática. “Básicamente lo que hacen, continúa Kirschbaum, es engañar a la gente enviando un correo electrónico firmado por la persona tal del banco tal pidiendo si le puede mandar su número de tarjeta porque acredita una deuda y está por ingresar al Veraz”.

Tan cierto como lo anterior, es que se puede mejorar muchísimo la seguridad en internet sólo con que el usuario incorpore algunos hábitos. “Lamentablemente, el principal es desconfiar −continúa Kirschbaum−, porque no hay mejor antivirus que saber a dónde ir y a dónde no. Cosas que son extrañas para la vida real, en internet también deberían ser extrañas. Si en la calle alguien se te acerca y te dice que te va a pagar 10 mil pesos por mes por no hacer nada, uno sospecha. Y en internet es lo mismo, salvo que uno se siente en la seguridad de su hogar y cree que allí dentro nada le puede pasar”.

Publicada en RUMBOS #520

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s