El oscuro mundo de los 'hackers'

Los hackers siempre se han mantenido bajo la penumbra que proporciona el mito. Protegen su verdadera identidad como una necesidad básica, pues saben que allí reside la clave para mantenerse a salvo de las autoridades y de otros hackers. En el mundo informático se dan a conocer mediante nicknames, es decir, una especie de alias que les permite a sus “colegas” conocerlos sin develar quiénes son. “Nadie te acepta que es hacker, pero por tu etiqueta en internet te haces notar y ya saben que ese ‘ente’ virtual es un hacker”, explicó Jano, un desarrollador de software a quien se le cambió el nombre para mantener su anonimato.

Precisamente, es gracias a los nicknames que los hackers pueden formar parte de una comunidad sin correr el riesgo de vulnerar el misterio de quiénes son. Dependiendo de su interés o del tipo de hacker que hayan decidido ser, estas personas se vinculan a una comunidad específica. Allí, además de compartir el conocimiento que han adquirido en su experiencia de quebrar sistemas, deben exhibir de lo que son capaces. “Es aquí donde demuestras un rango con tus logros, no con palabras”, señaló Venus, otro hacker. De la comunidad dependen las reglas y la exigencia, algunas son muy estrictas y otras carecen incluso de normas.

Colaboran en proyectos comunes, que van desde torneos hasta saturar una página web para generarles pérdidas millonarias a los dueños, pero la mayoría del tiempo se dedican a investigar un tema que les apasiona, pero del que saben poco. “Puedes pasar horas y días investigando lo que te llame la atención y, cuando menos lo esperas, ya conoces ese tema como la palma de tu mano y vas por más”, sostuvo Venus. La curiosidad es el motor que enciende la motivación de los hackers para sumergirse en el mundo informático y encontrar las fallas que les permitan acceder a donde nadie más ha llegado.

Lo que hagan de ahí en adelante con la información que han descubierto depende de la ética de cada uno. Algunos pueden robar cuentas bancarias, tarjetas de crédito e identidades para lucrarse de ello, mientras otros, como Carlos Penagos, pueden reportarles a las empresas las fallas que han encontrado y así fortalecer la seguridad de los sistemas. Penagos, que trabaja para la empresa de seguridad informática Ioactive, presentó durante una convención de hackers, en junio del año pasado, la investigación que realizó, junto con Lucas Apa, sobre censores inalámbricos en plantas industriales y demostró lo vulnerables que son.

Por medio de un radiotransmisor ubicado a 64 kilómetros de distancia, que enviaba información errónea sobre la temperatura y presión a los sensores, fue posible alterarlos y lograr que se comportaran de manera extraña. En palabras castizas, el experimento de Penagos y Apa puso en evidencia lo sencillo que es, para alguien que tenga el conocimiento, modificar el comportamiento de estos sensores. Así se pudo alertar a las compañías fabricantes las fallas de sus productos. Además, estos dispositivos son utilizados en su gran mayoría por compañías de energía, gas y agua, de manera que si se modificaran todos los sensores se podía apagar completamente la planta o, incluso, causar una explosión.

Ahora, ¿qué pueden hacer las autoridades para evitar que hackers no éticos se lucren de las fallas en los sistemas informáticos? La legislación en la materia es amplia, pero resulta ineficaz en términos prácticos. Precisamente, porque si bien condena conductas como el acceso abusivo a un sistema informático o la obstaculización ilegítima de sistema informático o red de telecomunicación, con una pena entre cuatro y ochos años de prisión, rastrear a los hackers que hayan incurrido en estos delitos no es tan fácil. Venus explicó que “irónicamente las autoridades sólo detienen a quienes pueden hallar, a quienes dejan rastros, a quienes no son tan hábiles, los ‘peces gordos’ son los más difíciles”.

De hecho, Carlos Gaitán, jefe de la Unidad de Propiedad Intelectual de la Fiscalía, confirmó que en su despacho no existen mayores procesos ni conoce de sentencias contra hackers. Sin embargo, es muy probable que como “la mayoría de delitos informáticos están relacionados con acceso no autorizado a cierta información y, en esa medida, tienen que ver con hurto, defraudaciones y plagios de páginas” estos procesos se encuentren en otras unidades del ente investigador. Sin embargo, son recordados los casos de un joven estudiante de ingeniería de sistemas que logró acceder a la cuenta del periodista y director de la revista Soho Daniel Samper Ospina y, posteriormente, fue detenido. Así como el bloqueo de la página de la Registraduría en las elecciones parlamentarias de 2010.

En muchas ocasiones las autoridades y las empresas de seguridad informática requieren la colaboración de hackers para poder fortalecer las investigaciones que adelantan. Andrés Guzmán Caballero, director de Adalid, empresa dedicada a este tema, señaló que los hackers éticos con los que trabaja “permiten ver las vulnerabilidades de nuestros clientes. Muchos son tan buenos que terminan trabajando para empresas grandísimas por sus habilidades”. En cuanto a los que trabajan con las autoridades, Venus comentó que un hacker puede aceptar colaborar con las autoridades “si hay buena paga y el lograrlo le va a dar un buen estatus en la comunidad, algunos son presumidos y seguramente llevarán el suceso como ‘medallas de honor’ en su pecho. Afirmación confirmada por Jano, quien agregó que “si deciden hacerlo dependerá del buen arreglo económico al que lleguen”.

Sin embargo, también deben considerarse las consecuencias que pueden tener las interceptaciones sistemáticas, pues el escándalo desatado por el espionaje de la Agencia Nacional de Seguridad de Estados Unidos (NSA) demostró que, además de derechos y libertades civiles, esta práctica debilita la infraestructura misma de comunicaciones sobre la cual depende buena parte de la vida moderna. La intervención en masa de la red ha acelerado un debate que, sin ser nuevo, gira en torno acerca de quién gobierna la web. La respuesta predominante hasta el momento ha sido: nadie.

Si bien el funcionamiento de internet recae en organismos como el Icann (la institución encargada de distribuir los dominios de las páginas en línea), su absoluto control y vigilancia, al menos en el papel, es una tarea por fuera del alcance de corporaciones y gobiernos. El alcance del espionaje de la NSA, revelado por Edward Snowden, extécnico de la CIA, ha impulsado a varios gobiernos (Brasil y Malasia han sido los primeros en anunciarlo) a desarrollar proyectos para construir una especie de redes paralelas a internet con el fin de proteger los datos de sus ciudadanos. La idea es que la información personal de sus nacionales se almacene en servidores instalados dentro de la jurisdicción de estos países, lo que dificultaría su acceso a ellos por parte de terceros como agencias de otros gobiernos.

El lado negativo es que, por un lado, estos datos son más vulnerables al espionaje de los estados que hospedan los servidores y, por el otro, comienzan a transformar internet en un sistema compuesto por varias redes, controladas por unos pocos, en vez de una única red sin un control central. Lo que puede ser una pesadilla en términos ideológicos, pues permitiría derribar la idea de la red como un medio de comunicación abierto que ha permitido niveles de innovación y desarrollo antes impensables. En últimas, se trata de una pelea entre dos modelos: uno en el que la vigilancia estricta (del terrorismo o la disidencia) es imposible y otro en el que puede ser la norma.

El ataque informático a las elecciones de 2010

Uno de los ataques informáticos más recordados contra las entidades del Estado fue el que sufrió en plenas elecciones de 2010 la Registraduría. El domingo 14 de marzo de ese año, un hacker impidió que la entidad emitiera los informes sobre el conteo de la votación. La empresa responsable de manejar la seguridad del portal, Arolen S.A., admitió en ese momento que habían sido víctimas de una avalancha de ataques que terminaron por colapsar la página y evitar que se transmitieran los datos en tiempo real. Asimismo, se logró identificar la dirección IP —es decir, el lugar de donde provenían los ataques—, sin embargo, la Fiscalía decidió archivar la investigación por falta de pruebas. Adalid, la empresa encargada de adelantar las pesquisas para establecer qué había sucedido, aseguró que “los hackers no sólo querían dejar fuera del aire la página de la Registraduría, sino que les apuntaron a las bases de datos con los resultados electorales. Es decir, intentaron un fraude electrónico que no se concretó. Tenían información, pero no las rutas exactas y no pudieron meterse en las bases de datos”.

Los ocho tipos de hackers

En el mundo hay ocho clases para diferenciar a los hackers. El primero son los Black Hat Hackers o Sombrero Negro, es decir, los ‘malos’ del paseo, quienes quieren vulnerar sistemas y hacerlos colapsar. En el lado contrario de ellos están los White Hat Hacker o los Sombreros Blancos, personas que promueven el hacking ético y principalmente trabajan para alguna compañía en el área de seguridad informática protegiendo los sistemas. En el medio de estas dos clases están los Gray Hat Hackers o los Sombrero Gris, que realizan tanto trabajos en la legalidad como en la ilegalidad. En el lado de los ‘malos’ también se ubican los Crackers, quienes diseñan programas para romper seguridades de Softwares y entran en sistemas para robar información y dejar algún virus. También están los hackers que ingresan a los sistemas telefónicos. A ellos los llaman los Phreakers. El Newbie o el Novato es el que se tropieza con una página web sobre hacking y comienza a leer y a ejecutar los programas para ver que  hacen. Junto a ellos están los Script Kiddies, los hackers con menos competencias. Sin embargo, en el fondo del escalafón de conocimientos están los Lammer. Así se le llama a las personas que no saben nada del tema pero se creen hackers.

@MaCamilaRincon

@Troskiller

Los hackers siempre se han mantenido bajo la penumbra que proporciona el mito. Protegen su verdadera identidad como una necesidad básica, pues saben que allí reside la clave para mantenerse a salvo de las autoridades y de otros hackers. En el mundo informático se dan a conocer mediante nicknames, es decir, una especie de alias que les permite a sus “colegas” conocerlos sin develar quiénes son. “Nadie te acepta que es hacker, pero por tu etiqueta en internet te haces notar y ya saben que ese ‘ente’ virtual es un hacker”, explicó Jano, un desarrollador de software a quien se le cambió el nombre para mantener su anonimato.

Precisamente, es gracias a los nicknames que los hackers pueden formar parte de una comunidad sin correr el riesgo de vulnerar el misterio de quiénes son. Dependiendo de su interés o del tipo de hacker que hayan decidido ser, estas personas se vinculan a una comunidad específica. Allí, además de compartir el conocimiento que han adquirido en su experiencia de quebrar sistemas, deben exhibir de lo que son capaces. “Es aquí donde demuestras un rango con tus logros, no con palabras”, señaló Venus, otro hacker. De la comunidad dependen las reglas y la exigencia, algunas son muy estrictas y otras carecen incluso de normas.

Colaboran en proyectos comunes, que van desde torneos hasta saturar una página web para generarles pérdidas millonarias a los dueños, pero la mayoría del tiempo se dedican a investigar un tema que les apasiona, pero del que saben poco. “Puedes pasar horas y días investigando lo que te llame la atención y, cuando menos lo esperas, ya conoces ese tema como la palma de tu mano y vas por más”, sostuvo Venus. La curiosidad es el motor que enciende la motivación de los hackers para sumergirse en el mundo informático y encontrar las fallas que les permitan acceder a donde nadie más ha llegado.

Lo que hagan de ahí en adelante con la información que han descubierto depende de la ética de cada uno. Algunos pueden robar cuentas bancarias, tarjetas de crédito e identidades para lucrarse de ello, mientras otros, como Carlos Penagos, pueden reportarles a las empresas las fallas que han encontrado y así fortalecer la seguridad de los sistemas. Penagos, que trabaja para la empresa de seguridad informática Ioactive, presentó durante una convención de hackers, en junio del año pasado, la investigación que realizó, junto con Lucas Apa, sobre censores inalámbricos en plantas industriales y demostró lo vulnerables que son.

Por medio de un radiotransmisor ubicado a 64 kilómetros de distancia, que enviaba información errónea sobre la temperatura y presión a los sensores, fue posible alterarlos y lograr que se comportaran de manera extraña. En palabras castizas, el experimento de Penagos y Apa puso en evidencia lo sencillo que es, para alguien que tenga el conocimiento, modificar el comportamiento de estos sensores. Así se pudo alertar a las compañías fabricantes las fallas de sus productos. Además, estos dispositivos son utilizados en su gran mayoría por compañías de energía, gas y agua, de manera que si se modificaran todos los sensores se podía apagar completamente la planta o, incluso, causar una explosión.

Ahora, ¿qué pueden hacer las autoridades para evitar que hackers no éticos se lucren de las fallas en los sistemas informáticos? La legislación en la materia es amplia, pero resulta ineficaz en términos prácticos. Precisamente, porque si bien condena conductas como el acceso abusivo a un sistema informático o la obstaculización ilegítima de sistema informático o red de telecomunicación, con una pena entre cuatro y ochos años de prisión, rastrear a los hackers que hayan incurrido en estos delitos no es tan fácil. Venus explicó que “irónicamente las autoridades sólo detienen a quienes pueden hallar, a quienes dejan rastros, a quienes no son tan hábiles, los ‘peces gordos’ son los más difíciles”.

De hecho, Carlos Gaitán, jefe de la Unidad de Propiedad Intelectual de la Fiscalía, confirmó que en su despacho no existen mayores procesos ni conoce de sentencias contra hackers. Sin embargo, es muy probable que como “la mayoría de delitos informáticos están relacionados con acceso no autorizado a cierta información y, en esa medida, tienen que ver con hurto, defraudaciones y plagios de páginas” estos procesos se encuentren en otras unidades del ente investigador. Sin embargo, son recordados los casos de un joven estudiante de ingeniería de sistemas que logró acceder a la cuenta del periodista y director de la revista Soho Daniel Samper Ospina y, posteriormente, fue detenido. Así como el bloqueo de la página de la Registraduría en las elecciones parlamentarias de 2010.

En muchas ocasiones las autoridades y las empresas de seguridad informática requieren la colaboración de hackers para poder fortalecer las investigaciones que adelantan. Andrés Guzmán Caballero, director de Adalid, empresa dedicada a este tema, señaló que los hackers éticos con los que trabaja “permiten ver las vulnerabilidades de nuestros clientes. Muchos son tan buenos que terminan trabajando para empresas grandísimas por sus habilidades”. En cuanto a los que trabajan con las autoridades, Venus comentó que un hacker puede aceptar colaborar con las autoridades “si hay buena paga y el lograrlo le va a dar un buen estatus en la comunidad, algunos son presumidos y seguramente llevarán el suceso como ‘medallas de honor’ en su pecho. Afirmación confirmada por Jano, quien agregó que “si deciden hacerlo dependerá del buen arreglo económico al que lleguen”.

Sin embargo, también deben considerarse las consecuencias que pueden tener las interceptaciones sistemáticas, pues el escándalo desatado por el espionaje de la Agencia Nacional de Seguridad de Estados Unidos (NSA) demostró que, además de derechos y libertades civiles, esta práctica debilita la infraestructura misma de comunicaciones sobre la cual depende buena parte de la vida moderna. La intervención en masa de la red ha acelerado un debate que, sin ser nuevo, gira en torno acerca de quién gobierna la web. La respuesta predominante hasta el momento ha sido: nadie.

Si bien el funcionamiento de internet recae en organismos como el Icann (la institución encargada de distribuir los dominios de las páginas en línea), su absoluto control y vigilancia, al menos en el papel, es una tarea por fuera del alcance de corporaciones y gobiernos. El alcance del espionaje de la NSA, revelado por Edward Snowden, extécnico de la CIA, ha impulsado a varios gobiernos (Brasil y Malasia han sido los primeros en anunciarlo) a desarrollar proyectos para construir una especie de redes paralelas a internet con el fin de proteger los datos de sus ciudadanos. La idea es que la información personal de sus nacionales se almacene en servidores instalados dentro de la jurisdicción de estos países, lo que dificultaría su acceso a ellos por parte de terceros como agencias de otros gobiernos.

El lado negativo es que, por un lado, estos datos son más vulnerables al espionaje de los estados que hospedan los servidores y, por el otro, comienzan a transformar internet en un sistema compuesto por varias redes, controladas por unos pocos, en vez de una única red sin un control central. Lo que puede ser una pesadilla en términos ideológicos, pues permitiría derribar la idea de la red como un medio de comunicación abierto que ha permitido niveles de innovación y desarrollo antes impensables. En últimas, se trata de una pelea entre dos modelos: uno en el que la vigilancia estricta (del terrorismo o la disidencia) es imposible y otro en el que puede ser la norma.

El ataque informático a las elecciones de 2010

Uno de los ataques informáticos más recordados contra las entidades del Estado fue el que sufrió en plenas elecciones de 2010 la Registraduría. El domingo 14 de marzo de ese año, un hacker impidió que la entidad emitiera los informes sobre el conteo de la votación. La empresa responsable de manejar la seguridad del portal, Arolen S.A., admitió en ese momento que habían sido víctimas de una avalancha de ataques que terminaron por colapsar la página y evitar que se transmitieran los datos en tiempo real. Asimismo, se logró identificar la dirección IP —es decir, el lugar de donde provenían los ataques—, sin embargo, la Fiscalía decidió archivar la investigación por falta de pruebas. Adalid, la empresa encargada de adelantar las pesquisas para establecer qué había sucedido, aseguró que “los hackers no sólo querían dejar fuera del aire la página de la Registraduría, sino que les apuntaron a las bases de datos con los resultados electorales. Es decir, intentaron un fraude electrónico que no se concretó. Tenían información, pero no las rutas exactas y no pudieron meterse en las bases de datos”.

Los ocho tipos de hackers

En el mundo hay ocho clases para diferenciar a los hackers. El primero son los Black Hat Hackers o Sombrero Negro, es decir, los ‘malos’ del paseo, quienes quieren vulnerar sistemas y hacerlos colapsar. En el lado contrario de ellos están los White Hat Hacker o los Sombreros Blancos, personas que promueven el hacking ético y principalmente trabajan para alguna compañía en el área de seguridad informática protegiendo los sistemas. En el medio de estas dos clases están los Gray Hat Hackers o los Sombrero Gris, que realizan tanto trabajos en la legalidad como en la ilegalidad. En el lado de los ‘malos’ también se ubican los Crackers, quienes diseñan programas para romper seguridades de Softwares y entran en sistemas para robar información y dejar algún virus. También están los hackers que ingresan a los sistemas telefónicos. A ellos los llaman los Phreakers. El Newbie o el Novato es el que se tropieza con una página web sobre hacking y comienza a leer y a ejecutar los programas para ver que  hacen. Junto a ellos están los Script Kiddies, los hackers con menos competencias. Sin embargo, en el fondo del escalafón de conocimientos están los Lammer. Así se le llama a las personas que no saben nada del tema pero se creen hackers.

@MaCamilaRincon

@Troskiller