La forja de un 'hacker'

Marcus Hutchins.
Marcus Hutchins. / AP
  • Muchos empiezan pirateando un juego, y luego internet provee el resto: tutoriales, foros, mentores... De la curiosidad al desafío, y en algunos casos al delito

El pasado viernes se produjo el mayor ciberataque de la historia de internet. Más de 200.000 ordenadores a lo largo de 150 países infectados por un mismo virus informático, incluidos los de empresas tan sensibles como Telefónica y los hospitales del Reino Unido. Y podría haber sido mucho peor, de no ser por la labor de ‘MalwareTech’, pseudónimo de un ‘hacker’ inglés de 22 años que encontró un ‘interruptor de apagado’ dentro del propio código del virus. Un momento. ¿Un ‘hacker’? ¿Pero no eran precisamente los ‘hackers’ quienes habían lanzado el ataque?

Sí y no. El término ‘hacker’ peca de sensacionalista. Engloba por igual a ciberdelincuentes y a simples apasionados de la informática, aunque se tiende a asociar más con los primeros. Pero, como insiste Chema Alonso, jefe de seguridad de Telefónica y ‘hacker’ más mediático de España, famoso por haber pirateado en directo el teléfono de Pablo Motos, «[los hackers] no tienen un pensamiento único, o una ideología común que los identifique como grupo. Lo único común es su pasión, su curiosidad y sus ganas de hacer cosas únicas y novedosas. No son ni buenos ni malos».

Es el caso de Javier (nombre falso), un ‘hacker’ entrevistado por este periódico. Ahora trabaja para una importante firma de ‘software’ internacional, pero en su adolescencia coqueteó con el mundillo. «Te metes porque en esos momentos crees que no tienes nada que perder», rememora. «Tampoco es que haya un frontera, como en las películas cuando dicen: ‘Ahora ya no hay vuelta atrás’. Es algo que se va desarrollando solo». Coincide con Alonso en que un ‘hacker’ no destaca tanto por sus conocimientos informáticos como por «una actitud y una mente inquisitivas».

La curiosidad es condición sine qua non de un ‘hacker’, y luego internet provee el resto, en forma de tutoriales. «En mis tiempos, usábamos las listas de correo y UseNet. Después vinieron los foros». ‘Evilzone’, referente internacional, y ‘ElOtroLado’, meca nacional del pirateo de videojuegos, son dos buenos ejemplos, aunque sus tutoriales más jugosos no estén a primera vista. Pero quien realmente tenga madera de ‘hacker’, al final, dará con ellos. «Es una prueba de paso, una especie de rito iniciático. Una forma de decir: si nos has encontrado, es que mereces la pena».

Al interés por descubrir los secretos de los ‘hackers’ le sigue habitualmente, como le ocurrió a Javier, el contacto con un mentor. «Suele ser alguien con quien compartes alguna afición concreta, como los videojuegos o la astronomía, y que conoces de foros. De repente, un día se fija en ti, te envía un mensaje privado y empieza a guiarte». Guiar, en su mundo, significa desafiar. «Somos muy competitivos –señala–. Y nada de preguntar directamente ‘¿cómo se hace tal cosa?’, porque lo único que te van a responder es ‘cállate, puto n00b’ (novato, en la jerga). Hay que tener la piel dura, podemos llegar a ser muy ácidos y mezquinos».

Los ‘hackers’ no se comunican por las vías convencionales, como Facebook o Whatsapp. Utilizan el IRC, siglas de Internet Relay Chat, «el último reducto», bromea Javier. Uno de los primeros sistemas de comunicación en internet –«tiene un encanto retro»–, que funciona mediante canales. «No está oculto, pero si no conoces el canal, no puedes entrar. Y, desde luego, nadie va a publicar abiertamente cuáles son los canales de los ‘hackers’». El IRC proporciona otra ventaja: los servidores –que permiten la comunicación, pero también almacenan los mensajes– se pueden montar y desmontar rápidamente en cualquier lugar del planeta con un ordenador y una conexión a internet. «El subterfugio es una prioridad», sentencia.

Aunque en su época más activa llegó a realizar prácticas que hoy se considerarían delictivas, mantiene que nunca lo hizo con fines espurios. «Estás visitando una web, o usando un programa, y notas que algo flaquea. ¿Qué pasará si hago esto? ¿Y si cambio esto otro? Es curiosidad científica, aunque admito que un poco morbosa. Te mueven las ganas hacer algo que no ha hecho nadie», reflexiona. «Pero la gracia no está en saber entrar, sino en salir luego sin dejar rastro de lo que has hecho». A Javier, como a otros colegas, le mueve «sólo la superación personal», repite.

La motivación es el punto de inflexión de un ‘hacker’. Para Javier, «siempre fue, y sigue siendo», pura curiosidad. Pero conoce de primera mano que otros lo hacen «por el subidón», para «alardear» y también con el objetivo de «putear». Algunos incluso ondean la bandera de la justicia social, los que se hacen llamar ‘hacktivistas’, clase a la que podrían pertenecer desde ‘Anonymous’ a los instigadores de la ‘primavera árabe’. «En los casos extremos, la cosa puede derivar en psicopatía; hay gente que sólo quiere ver el mundo arder», bromea cínicamente Javier. Y, por supuesto, hay criminales.

«Yo creo que juegan un papel fundamental las leyes y la cultura de internet imperantes en cada país –aprecia–. Hay lugares, como Rusia, Turquía o Brasil, donde, aunque te pillen literalmente con las manos en la masa, lo único que vas a penar es una falta administrativa. No tienen legislación al respecto. Pero en internet, el impacto es global. Puedes estar en un pueblito de Siberia y entrar en el ordenador de la CIA». A su juicio, una regulación insuficiente es el caldo de cultivo para la expansión de redes de ciberdelincuentes. «Basta con que les coman el coco a diez chavales recién salidos de la universidad, ni siquiera hace falta que sean unos genios. Les prometen dinero fácil, les convencen de que lo peor que les puede pasar es que se lleven una colleja… lo que se dice reclutar».

Una fina línea determina la frontera entre la legalidad y el lado oscuro de internet. En el argot, ellos hablan del ‘sombrero’. «Si eres de ‘sombrero blanco’, eres un ‘hacker’ altruista. Si tienes intereses delictivos, eres un ‘hacker’ de ‘sombrero negro’», apunta. Pero Javier cree que nada es completamente blanco o negro. «En cuanto alguien se entera de que soy ‘hacker’, me viene con ‘¿y tú puedes piratearle el Facebook a mi expareja?’. Es un ejemplo frívolo, pero es la fama que tenemos». Espiar y sustraer identidades son los ‘trabajos’ que más se encargan a los ‘hackers’. La contratación suele hacerse por Deep Web, la ‘internet profunda’, cuyo acceso y navegación se asemejan a los bajos fondos de una ciudad. Sea cual sea el bando –o el sombrero– que se elija, saben que «puede ser una forma de ganarse la vida, si asumes el riesgo».

Un periodista de Estambul lee en la redacción de su periódico la noticia del ciberataque del pasado viernes.

Un periodista de Estambul lee en la redacción de su periódico la noticia del ciberataque del pasado viernes. / EFE

Cazadores de 'bichos'

La mayor amenaza para la ciberseguridad no son precisamente los ‘hackers’, sino el error humano. Ningún programa, ninguna ‘app’, ningún sistema operativo es infalible. Encontrar estos fallos, estas vulnerabilidades –ellos hablan de ‘bug’, bicho en inglés– es uno de los hobbies preferidos de los ‘hackers’. Un desafío que «potencialmente» –y Javier hace énfasis en este término– puede ser utilizado luego por piratas maliciosos para entrar en un sistema y dañarlo. Sin ir más lejos, el ciberataque del pasado viernes se basaba en un fallo de Windows, que se aprovechó para propagar el virus y sembrar el caos. Es lo que se conoce como un ‘exploit’ (explotación).

Buscar estos puntos débiles puede llegar a ser muy lucrativo. Muchas empresas están dispuestas a pagar grandes sumas –Apple, hasta 200.000 dólares– a quien descubra un defecto en alguno de sus productos. Google tiene una norma deontológica para sus empleados: si identifican una vulnerabilidad, sea de la compañía que sea, tienen el deber de comunicárselo por vía privada. En el caso de que, en el plazo de 90 días, la empresa en cuestión no haya publicado un parche para solucionarlo, difunden dicho error. «Es una forma de decirles: ‘poneos las pilas’», comenta Javier.

Motivar a los ‘hackers’ con ‘cacerías de bichos’ se ha convertido en un estándar para todas las corporaciones informáticas de primer nivel, especialmente desde que, hace unos años, el usuario ‘Khalil’, harto de intentar alertar a Facebook de un fallo que él había descubierto y de que la red social no le hiciese caso, se aprovechó del error para publicar un comentario en el muro personal de Mark Zuckerberg. Una singular llamada de atención, de la que incluso grabó un vídeo tutorial.

Según un estudio de Hewlett Packard, cada día se descubren de media 22 vulnerabilidades. No todas salen a la luz , ya que existe un «mercado negro» de esta información, como señala Marco Lozano, especialista en ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad). Un negocio que aprovecha el vacío legal y resulta a menudo todavía más jugoso económicamente que las recompensas de las grandes empresas. «Dependiendo del tipo de fallo y de si es un programa de uso común, puede pagarse desde 250 dólares a tres millones», explica. A cambio de una comisión, firmas como Zerodium o Revuln operan como intermediarios entre el ‘hacker’ y el interesado en conocer una vulnerabilidad concreta, bien sea un país, una compañía o un particular. A principios de mayo, la senadora estadounidense Dianne Feinstein reveló que el FBI había gastado 900.000 dólares en comprar a la firma israelí Cellebrite la fórmula para desbloquear el iPhone del tirador de San Bernardino, el yihadista que acabó en 2015 con 14 personas en California. El móvil era una

Recibe nuestras newsletters en tu email

Apúntate