Borrar
Marcus Hutchins.
La forja de un 'hacker'

La forja de un 'hacker'

Muchos empiezan pirateando un juego, y luego internet provee el resto: tutoriales, foros, mentores... De la curiosidad al desafío, y en algunos casos al delito

MIKEL FONSECA

Jueves, 18 de mayo 2017, 21:41

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

El pasado viernes se produjo el mayor ciberataque de la historia de internet. Más de 200.000 ordenadores a lo largo de 150 países infectados por un mismo virus informático, incluidos los de empresas tan sensibles como Telefónica y los hospitales del Reino Unido. Y podría haber sido mucho peor, de no ser por la labor de MalwareTech, pseudónimo de un hacker inglés de 22 años que encontró un interruptor de apagado dentro del propio código del virus. Un momento. ¿Un hacker? ¿Pero no eran precisamente los hackers quienes habían lanzado el ataque?

Sí y no. El término hacker peca de sensacionalista. Engloba por igual a ciberdelincuentes y a simples apasionados de la informática, aunque se tiende a asociar más con los primeros. Pero, como insiste Chema Alonso, jefe de seguridad de Telefónica y hacker más mediático de España, famoso por haber pirateado en directo el teléfono de Pablo Motos, «[los hackers] no tienen un pensamiento único, o una ideología común que los identifique como grupo. Lo único común es su pasión, su curiosidad y sus ganas de hacer cosas únicas y novedosas. No son ni buenos ni malos».

Es el caso de Javier (nombre falso), un hacker entrevistado por este periódico. Ahora trabaja para una importante firma de software internacional, pero en su adolescencia coqueteó con el mundillo. «Te metes porque en esos momentos crees que no tienes nada que perder», rememora. «Tampoco es que haya un frontera, como en las películas cuando dicen: Ahora ya no hay vuelta atrás. Es algo que se va desarrollando solo». Coincide con Alonso en que un hacker no destaca tanto por sus conocimientos informáticos como por «una actitud y una mente inquisitivas».

La curiosidad es condición sine qua non de un hacker, y luego internet provee el resto, en forma de tutoriales. «En mis tiempos, usábamos las listas de correo y UseNet. Después vinieron los foros». Evilzone, referente internacional, y ElOtroLado, meca nacional del pirateo de videojuegos, son dos buenos ejemplos, aunque sus tutoriales más jugosos no estén a primera vista. Pero quien realmente tenga madera de hacker, al final, dará con ellos. «Es una prueba de paso, una especie de rito iniciático. Una forma de decir: si nos has encontrado, es que mereces la pena».

Al interés por descubrir los secretos de los hackers le sigue habitualmente, como le ocurrió a Javier, el contacto con un mentor. «Suele ser alguien con quien compartes alguna afición concreta, como los videojuegos o la astronomía, y que conoces de foros. De repente, un día se fija en ti, te envía un mensaje privado y empieza a guiarte». Guiar, en su mundo, significa desafiar. «Somos muy competitivos señala. Y nada de preguntar directamente ¿cómo se hace tal cosa?, porque lo único que te van a responder es cállate, puto n00b (novato, en la jerga). Hay que tener la piel dura, podemos llegar a ser muy ácidos y mezquinos».

Marcus Hutchins

  • Marcus Hutchins es un tímido analista informático inglés de 22 años al que The Telegraph identifica como MalwareTech, el hacker que consiguió detener el devastador virus WannaCry, que se comió los ordenadores de medio mundo. Y eso que estaba en sus cuatro días de libranza. Como relata en su blog, fue su curiosidad por examinar el código lo que le llevó a descargarse una muestra del virus en su propio ordenador. Comprobó que el gusano llamaba a un dominio web sin registrar que inmediatamente compró por apenas 10 euros. Acababa de frenar la amenaza, aunque todavía no era consciente de ello. Al otro lado del océano, en California, y en tan solo cinco minutos, el también analista informático Darien Huss constataba que el virus había dejado de ejecutarse. Un tercer hacker, del que solo ha trascendido su alias -Kafeine-, los puso en contacto. Un par de pruebas más tarde, ya tenían el virus -o al menos la primera cepa- controlada.

Los hackers no se comunican por las vías convencionales, como Facebook o Whatsapp. Utilizan el IRC, siglas de Internet Relay Chat, «el último reducto», bromea Javier. Uno de los primeros sistemas de comunicación en internet «tiene un encanto retro», que funciona mediante canales. «No está oculto, pero si no conoces el canal, no puedes entrar. Y, desde luego, nadie va a publicar abiertamente cuáles son los canales de los hackers». El IRC proporciona otra ventaja: los servidores que permiten la comunicación, pero también almacenan los mensajes se pueden montar y desmontar rápidamente en cualquier lugar del planeta con un ordenador y una conexión a internet. «El subterfugio es una prioridad», sentencia.

Aunque en su época más activa llegó a realizar prácticas que hoy se considerarían delictivas, mantiene que nunca lo hizo con fines espurios. «Estás visitando una web, o usando un programa, y notas que algo flaquea. ¿Qué pasará si hago esto? ¿Y si cambio esto otro? Es curiosidad científica, aunque admito que un poco morbosa. Te mueven las ganas hacer algo que no ha hecho nadie», reflexiona. «Pero la gracia no está en saber entrar, sino en salir luego sin dejar rastro de lo que has hecho». A Javier, como a otros colegas, le mueve «sólo la superación personal», repite.

La motivación es el punto de inflexión de un hacker. Para Javier, «siempre fue, y sigue siendo», pura curiosidad. Pero conoce de primera mano que otros lo hacen «por el subidón», para «alardear» y también con el objetivo de «putear». Algunos incluso ondean la bandera de la justicia social, los que se hacen llamar hacktivistas, clase a la que podrían pertenecer desde Anonymous a los instigadores de la primavera árabe. «En los casos extremos, la cosa puede derivar en psicopatía; hay gente que sólo quiere ver el mundo arder», bromea cínicamente Javier. Y, por supuesto, hay criminales.

«Yo creo que juegan un papel fundamental las leyes y la cultura de internet imperantes en cada país aprecia. Hay lugares, como Rusia, Turquía o Brasil, donde, aunque te pillen literalmente con las manos en la masa, lo único que vas a penar es una falta administrativa. No tienen legislación al respecto. Pero en internet, el impacto es global. Puedes estar en un pueblito de Siberia y entrar en el ordenador de la CIA». A su juicio, una regulación insuficiente es el caldo de cultivo para la expansión de redes de ciberdelincuentes. «Basta con que les coman el coco a diez chavales recién salidos de la universidad, ni siquiera hace falta que sean unos genios. Les prometen dinero fácil, les convencen de que lo peor que les puede pasar es que se lleven una colleja lo que se dice reclutar».

Una fina línea determina la frontera entre la legalidad y el lado oscuro de internet. En el argot, ellos hablan del sombrero. «Si eres de sombrero blanco, eres un hacker altruista. Si tienes intereses delictivos, eres un hacker de sombrero negro», apunta. Pero Javier cree que nada es completamente blanco o negro. «En cuanto alguien se entera de que soy hacker, me viene con ¿y tú puedes piratearle el Facebook a mi expaeja?. Es un ejemplo frívolo, pero es la fama que tenemos». Espiar y sustraer identidades son los trabajos que más se encargan a los hackers. La contratación suele hacerse por Deep Web, la internet profunda, cuyo acceso y navegación se asemejan a los bajos fondos de una ciudad. Sea cual sea el bando o el sombrero que se elija, saben que «puede ser una forma de ganarse la vida, si asumes el riesgo».

Cazadores de 'bichos'

La mayor amenaza para la ciberseguridad no son precisamente los hackers, sino el error humano. Ningún programa, ninguna app, ningún sistema operativo es infalible. Encontrar estos fallos, estas vulnerabilidades ellos hablan de bug, bicho en inglés es uno de los hobbies preferidos de los hackers. Un desafío que «potencialmente» y Javier hace énfasis en este término puede ser utilizado luego por piratas maliciosos para entrar en un sistema y dañarlo. Sin ir más lejos, el ciberataque del pasado viernes se basaba en un fallo de Windows, que se aprovechó para propagar el virus y sembrar el caos. Es lo que se conoce como un exploit (explotación).

Buscar estos puntos débiles puede llegar a ser muy lucrativo. Muchas empresas están dispuestas a pagar grandes sumas Apple, hasta 200.000 dólares a quien descubra un defecto en alguno de sus productos. Google tiene una norma deontológica para sus empleados: si identifican una vulnerabilidad, sea de la compañía que sea, tienen el deber de comunicárselo por vía privada. En el caso de que, en el plazo de 90 días, la empresa en cuestión no haya publicado un parche para solucionarlo, difunden dicho error. «Es una forma de decirles: poneos las pilas», comenta Javier.

Defensa

  • 825.000 empleos se estima que serán necesarios en el marco de la UE durante la próxima década para asegurar la ciberdefensa.

  • Botón de apagado

  • Aunque los medios han dado por hecho que el virus contenía una suerte de botón de apagado que los ciberdelincuentes querían tener a mano en caso de decidir parar el ataque, Marcus Hutchins tiene otra teoría. La mayoría de análisis de software se hace en las llamadas cajas de arena, unos entornos virtuales aislados de internet. El virus, al llamar a la web y no obtener respuesta, comprendía que estaba siendo analizado y se apagaba para evitar la inspección y su rastreo. Este mecanismo es lo que permitió a Hutchins, inconscientemente, desactivarlo.

Motivar a los hackers con cacerías de bichos se ha convertido en un estándar para todas las corporaciones informáticas de primer nivel, especialmente desde que, hace unos años, el usuario Khalil, harto de intentar alertar a Facebook de un fallo que él había descubierto y de que la red social no le hiciese caso, se aprovechó del error para publicar un comentario en el muro personal de Mark Zuckerberg. Una singular llamada de atención, de la que incluso grabó un vídeo tutorial.

Según un estudio de Hewlett Packard, cada día se descubren de media 22 vulnerabilidades. No todas salen a la luz , ya que existe un «mercado negro» de esta información, como señala Marco Lozano, especialista en ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad). Un negocio que aprovecha el vacío legal y resulta a menudo todavía más jugoso económicamente que las recompensas de las grandes empresas. «Dependiendo del tipo de fallo y de si es un programa de uso común, puede pagarse desde 250 dólares a tres millones», explica. A cambio de una comisión, firmas como Zerodium o Revuln operan como intermediarios entre el hacker y el interesado en conocer una vulnerabilidad concreta, bien sea un país, una compañía o un particular. A principios de mayo, la senadora estadounidense Dianne Feinstein reveló que el FBI había gastado 900.000 dólares en comprar a la firma israelí Cellebrite la fórmula para desbloquear el iPhone del tirador de San Bernardino, el yihadista que acabó en 2015 con 14 personas en California. El móvil era una

Reporta un error en esta noticia

* Campos obligatorios