El hacker nuestro de cada día

Abro Google News, busco “hacker”. Las noticias me saltan en la cara. Uno ruso, condenado en Atlanta a 27 años de cárcel por delitos informáticos, recibe 14 años adicionales por un robo de identidades de más de $50 millones. En otros casos, un canadiense se declara culpable de hackear unas 3 mil millones de cuentas de Yahoo entre 2013 y 2016 (hasta ahora el mayor robo de datos) y otro ruso es condenado en Nevada por una estafa en línea de $50 millones.
Veo que expertos recomiendan que las votaciones en EEUU vuelvan a ser manuales, dado que las máquinas electorales han sido objeto de intentos de entrada ¡en 21 estados! Hackers rusos, por si preguntan. Homeland Security ha advertido a los estados que a las máquinas pueden introducirse “malware”, software invasor que altera su funcionamiento (y resultados).
(En el buscador de Google, la palabra genera 229 millones de resultados.)
Por eso cuando leemos o escuchamos la palabra “hacker” temblamos, pensamos en delincuentes. Pero no siempre fue así. Normalmente el término, que comenzó a usarse hace unos 50 años, se refería a programadores computacionales que “picaban” y recomponían código para rehacer programas y adaptarlos a sus necesidades. Bill Gates fue un hacker, Steve Jobs también. Ni qué decir de Tim Berners-Lee, creador de la World Wide Web.
Para no entrar en tipificaciones aburridas, digamos que hay tres tipos de hackers: los de Sombrero Negro (aquellos que causan trastornos, roban o sabotean sistemas); Sombrero Blanco (trabajan éticamente con código, a veces para reparar sistemas “jaqueados”) y los de Sombrero Gris (son éticos o antiéticos según el cristal con que se miren). Por ejemplo, Julian Asange de Wikileaks es un criminal para algunos, un héroe para otros.
He conocido y trabajado con muchos hackers de sombrero blanco y gris. He aprendido una cosa o dos con ellos. No corresponden al cliché del nerd disfuncional con acné pero, la verdad, en la mayoría de los casos tampoco son los chicos populares y extrovertidos. Lástima que el concepto ha pasado, por así decirlo, al lado oscuro de la fuerza y llegado a denotar solamente a quienes usan tal pericia para entrar e intervenir sistemas ajenos, para robar datos o causar daños de diversos tipos.
Para simplificar, usaré un calco semántico del término “hacker” y escribiré el verbo como “jaquear”, que el DRAE atribuye a dar jaque mate en ajedrez. Pero ampliaré su significado a la acción del hacker porque, sea lo que sea, suena muy bien y en el mundo hispano de EEUU nos tomamos esas licencias.
No todo hacker es creado igual
De 2016 Hackmagedon reporta 1.061 ataques cibernéticos de gran magnitud. Dominan los cibercrímenes (72%), es decir, robo de datos de s para ser vendidos en el mercado negro, o de credenciales de tarjetas de crédito para sustraer dinero directamente, o robo de identidad al apropiarse de números de seguro social y similares. En septiembre de 2017 rompió el celofán la noticia de que a la empresa Equifax, le había sustraído información de crédito de 143 millones de s.
(Por cierto que en 2017, hacia mayo, muchos quisieron llorar o lloraron con el Wannacry, un ataque mundial a +230 mil computadoras en 150 países, de tipo “ramsonware”, es decir, secuestro. Si el “malware” penetraba el sistema, encriptaba la data y la hacía inusable. Para destrabar este embrollo los hackers solicitaban entre $300 y 600 en Bitcoins. Que se sepa, al menos unos $130 mil fueron pagados.)
Sin duda, la delincuencia informática es el renglón dominante del hacking. En los EE.UU. hay un marco legal que prohíbe el “jaqueo”. La 18 U.S.C. § 1029 tipifica “la creación, distribución y uso de códigos y dispositivos que dan a los piratas informáticos el no autorizado a sistemas.” Pero, a la vez, la ley solo penaliza en caso de que un código se use para defraudar, robar o entrar a un sistema sin autorización. La mera posesión y distribución del código no es imputable.
Otra ley es la 18 U.S.C. § 1030, que prohibe el no autorizado a computadoras del gobierno. Es más específica, porque penaliza el mero , aún cuando no haya acciones como robo de datos u otros delitos. Las penas van de pequeñas multas a 20 años de cárcel. El rango, pues, es amplio.
Le sigue con 40% el llamado “hacktivismo”. Eso incluye cualquier tipo de activismo que se haga a través de internet y comprende un amplio abanico: por ejemplo, los ataques DDoS que “tumban” un servidor y lo sacan de línea. Se usa mucho entre facciones políticas. La sustracción de data confidencial es otra, para denunciar por ejemplo, como los Papeles de Panamá en 2016 (2,6 Terabytes de información) o los Papeles del Paraíso (1,4 Tb) en 2017. Una delicia para los periodistas. Finalmente, ocurren muchos casos de “defacement” o “desfiguración”, una forma de vandalismo que sustituye un website o parte de éste por otro con mensaje de motivación política, un cambio de aspecto con una especie de grafiti activista.
El ciber espionaje (9,2%) es ejercido por naciones para robar información confidencial de enemigos, rivales y muchas veces amigos. Dicho de otra manera: los gobiernos y ejércitos tienen miles de hackers contratados formal o informalmente. China, por ejemplo, tiene un ejército de hackers de entre 50 y 100 mil guerreros del teclado. Algunos ejecutan saboteo, pero la mayoría busca formas de penetrar sistemas para robar información.
Con 4,3% sigue la “Ciber Guerra”, de la cual hablamos a continuación, aparentemente pequeña pero que se duplica a gran velocidad y, de paso, con un impacto real muchas veces ocultado por los gobiernos.
Hackeando la Geopolítica
En los últimos años el mundo ha sido testigo de un enfrentamiento entre potencias y estados forajidos, entre organismos de inteligencia y comandos ciberguerrilleros, una guerra soterrada que –sin embargo- transcurre en relativo silencio. Mientras en Siria caen Tomahwks y en Corea del Norte vuelan misiles intercontinentales, detrás de nuestras pantallas ocurre una ciberguerra acaso más intensa, incesante y ubicua en un no lugar que está en todas partes: Internet.
Guillaume Poupard, el director general francés de Ciberseguridad Nacional declaró en junio de 2017 que el mundo se está dirigiendo a un “Guerra permanente en el ciberespacio”. Agregó que los ataques intensificados venían de estados inespecíficos, así como grupos criminales o terroristas.
Las naciones desde donde Estados Unidos y Europa reciben la mayor cantidad de ataques son Rusia, Irán, China, las repúblicas de Europa del Este y ahora los santuarios del extremismo islámico, como Siria o Pakistán. Los demás son grupos dispersos, milicias cibernéticas asociadas o no a gobiernos, con motivaciones políticas o meramente económicas. Ni qué decir de “lobos solitarios”, nerds motivados por las más variadas causas (dinero, prestigio, obsesiones, resentimientos).
Hay agendas de todo tipo para estos actores: saboteo, propaganda, reclutamiento y espionaje. Éste último “ocurriendo a un ritmo que nunca hemos visto antes”, según Denise Zheng, subdirector del Centro de Estudios Estratégicos e Internacionales. También reclutamiento hacia causas sociales y, por supuesto, grupos terroristas como el Estado Islámico.
Los últimos años han consolidado el poder de los hackers, sobre todo los amparados y financiados por gobiernos, como la comunidad de inteligencia de EEUU cree que ocurrió con el “jaqueo” de los emails de Hillary Clinton y del Partido republicano. Los indicios apuntan a Rusia, pero se extienden a Irán y Corea del Norte.
En opinión de muchos expertos, filtraciones como los emails privados de John Podesta en WikiLeaks produjeron suficiente combustible para incinerar las recuperaciones que Hillary Clinton lograba de su credibilidad. Podesta era su jefe de campaña y el contenido mayormente burocrático no estaba exento de excesos e indiscreciones que tuvieron alto perfil informativo.
Ya perdida la elección, el comando de campaña de Clinton y el país entendió que la importancia de la seguridad informática había cambiado para siempre. Recientemente expertos independientes y otros contratados por el Partido Demócrata han alcanzado un consenso: ese “jaqueo” fue, si no el factor clave, uno de los más importantes en empujar el triunfo de Donald Trump quien, por supuesto, lo niega.
Que hackers rusos o chinos o norcoreanos hayan robado y publicado información oficial de EEUU y otros países desarrollados es ya un escándalo. Además, son hackers de diversos orígenes y con distintas agendas: han filtrado datos médicos de atletas olímpicos; “jaqueado” cuentas de Instagram, Facebook y Twitter de personas de alto perfil y han birlado millones de dólares de cuentas bancarias o en Bitcoins (sí, la moneda digital sin Banco Central no es inmune). Si usted tiene Bitcoins, revise su billetera y cuide sus credenciales.
De la órbita Latinoamericana les tengo un ejemplo. Venezuela es un caso interesante. En 2016 el periodista Casto Ocando reveló que desde el gobierno chavista “hay una invasión a la privacidad sin precedentes. La maquinaria de espionaje de Nicolás Maduro opera desde varios bunkers en la capital venezolana (…) En oficinas bajo fuerte custodia los hackers pagados por el gobierno trabajan en largas filas de computadoras de última generación, con capacidad para procesar docenas de terabytes de información en bruto, con objetivos precisos: el monitoreo para saber quiénes conspiran, quiénes son los aliados, y quiénes trabajan para sacarlo del poder.”
Recuerdo que fui invitado a un programa de TV hace unos años para hablar sobre este tema y conocí a un ex funcionario del G2 cubano que había escapado de Venezuela a Miami. En sus manos tenía un voluminoso libraco con, literalmente, decenas de miles de emails interceptados de funcionarios públicos, líderes opositores y oficialistas, así como otros individuos que eran sistemáticamente espiados y cuya correspondencia virtual reposaba en los archivos del régimen. (Me enteré de cada cosa con el libraco aquél).
Eso hace enigmática y paradójica a la llamada “ciberguerra”. No se oyen explosiones, ni taladros perforando cajas fuertes, pero el alcance puede ser mayor e incluso destructivo con menos signos visibles o táctiles. Y así las maravillosas ventajas de Internet se pueden voltear en su contra.
Y hay un punto que preocupa mucho más. Lo digital tiene influencia en lo material, no solo en electrones sino en átomos. Una central nuclear, la red eléctrica o la coordinación de trenes se manejan por computadoras en red. Con la “Internet de las Cosas” o ecosistema de máquinas hablando entre sí, una alteración de los comandos puede circular y causar estragos.
Buen argumento (¡Hollywood toma nota!): Un grupo de hackers logra infiltrar varios sistemas de control. Primero los semáforos cambian sus luces sin sentido en Nueva York (claro que tiene que ser en NY), causando choques en calles y avenidas, junto al infaltable impacto dentro de una cristalería. Luego el metro enloquece y gira sin sentido impactando vagones sin son ni ton. La radio de la policía no funciona porque cuando buscan una frecuencia aparece un canal de Pandora con música hip hop. Y así sucesivamente. Huelga decir que las atracciones de Coney Island hacen de las suyas lanzando gente al mar.
En octubre de 2016 se lanzó un ataque dDOS a una empresa de infraestructura de internet llamada Dion. Lo curioso es que buena parte de los requerimientos vinieron de dispositivos del Internet de las Cosas que habían sido infectados de malware. Otro ejemplo ocurrió con Stuxnet, un malware tipo “gusano” que se inyectó exitosamente en el programa nuclear iraní. Allí tomó posesión de los centrifugadores, máquinas que enriquecen el uranio girando concéntricamente. El malware los hizo girar tan rápido que los descalabró, al punto de retrasar el programa varios años. Nadie clamó autoría obviamente, pero se sospecha de un equipo de hackers de EE.UU. e Israel.
Dependemos demasiado de los sistemas y de los bits. Tanto que tenemos que instalar sistemas para monitorear a los sistemas…
Cómo “trabaja” un hacker de sombrero negro
84% de los ataques de un hacker viene por “ingeniería social”, según encuesta de Nuix, una empresa de ciberseguridad . Es decir, aplican manipulación psicológica o engaño para inducir a un a compartir información o “abrir la puerta” hacia ésta.
Hay muchas formas de hacerlo: por ejemplo, a un que llamaré ABC le llega un correo del Internal Revenue Service (IRS) solicitando cierta información urgente. ABC hace clic y llega al website del IRS donde le piden llenar un formulario. Nombre, dirección, social security y otros datos sensibles. ABC no oye más del IRS (que, por cierto, jamás a con este tipo de correos o llamadas telefónicas) pero pronto ve su seguro social en alguna transacción fraudulenta y su cuenta bancaria comprometida si se la pidieron. Se llama “physhing”: pescar datos, usualmente con el pez mismo mordiendo el anzuelo con una carnada falsa.
Modalidades hay muchas: emails con ofertas, un magnate desconocido que se empeña en mandarle millones, loterías que ganó pero en las que nunca participó o un correo legítimo recién jaqueado a alguien que conoce. Otro caso: a ABC le escriben de su banco y le piden urgente que verifique o cambie algo. ABC abre el link, ve la consabida página de inicio de su banco, pone sus credenciales y llega a una página que le dice que han verificado su identidad y que todo está en orden. Pero, de nuevo, era una página simulada del banco para capturar el y la clave. En minutos los sombrero negro están transfiriendo su dinero a una cuenta en un estado forajido de Asia central o un paraíso fiscal del Caribe.
(Recomendación: No crea nada, piénselo dos veces antes de dar información sensible como número de seguro social o de cuentas bancarias, revise bien los remitentes de los emails, ignore lo que no tenga el dominio adecuado (por ejemplo, @SUBANCO.COM y no @SUBANNCO.COM). Venza la propensión a actuar en el momento, tómese su tiempo y haga la investigación que todo ser desconfiado acomete.)
Otra opción es el “malware”, uno de los más peligrosos porque transforma su computadora en un zombie-esclavo bajo las órdenes del hacker, muchas veces sin que se entere el dueño. Usted está navegando con su Chrome o Firefox, se abre una ventana anunciando la consabida actualización de Java. Clic instantáneo, se descarga el programa pero resulta que la pantalla es falsa y lo que se descarga es un código malicioso. Por ejemplo, enviar spam, robar su data o encriptarla y luego pedir rescate para desencriptarlo (¿recuerda el “ramsonware”?).
(Recomendación: Instale y mantenga actualizado su antivirus, asegúrese que sea antimalware y esté activado 24x24 horas en su dispositivo. Revise que las actualizaciones de Java u otro programa estén certificadas por el sistema operativo. De paso, tenga un backup externo, en la nube, tan básico como DropBox o Google Drive o más sofisticado como Carbonite, que replica el disco duro completo en tiempo real, recuperable en cualquier momento.)
Si un hacker roba una cuenta de email hace fiesta. No solo tiene a mensajes confidenciales, sino posiblemente a cuentas de social media y otros recursos. ¿Cómo entrar a un perfil de Facebook, Twitter o incluso de Gmail, por ejemplo, si tenemos el email y no la clave? Pues solicitando cambio de clave. Si no hay opciones de seguridad (esas preguntas sobre dónde estudiamos kínder) la comprobación de ser dueños de la cuenta se da con un correo que envían donde hay que hacer clic. Y ¡voilá! correo confirmado.
(Recomendación: Use cuentas de email blindadas, no solo con preguntas de seguridad sino con la llamada “verificación de dos pasos”. Esto significa que en cada dispositivo donde se abra el correo se valida primero, normalmente, el y clave de siempre, pero luego el sistema envía un código numérico a su teléfono y solo al introducirlo se abre la cuenta de email. Sin su teléfono el hacker nada hace con su y clave.)
En el reporte de 2016 de Hackmagedon, el secuestro de cuentas (de email social media, banco, etc) constituye el caso más común de “jaqueo” (15%). Por su parte, 11,6% de los ataques fue “dirigido” ( targeted), hecho a la medida de la víctima, con referencias familiares para aquél (por ejemplo, desde el correo de un familiar o amigo recién jaqueado). En hacktivismo se usa mucho, mientras que en fraudes y estafas los delincuentes tienden más a la pesca: lanzan muchos emails y trabajan con los que caigan.
Casi igual al anterior, los casos de dDOS (ataques masivos de requerimientos que tumban un sitio o servicio web) rondan el 11%. Estas agresiones masivas vienen de muchos servidores dedicados y también de computadoras invadidas por malware que las programan para disparar requerimientos sin que sus dueños lo sepan.
(Recomendación: Corra los diagnósticos del antivirus cuando su computadora se ponga anormalmente lenta, puede ser un malware que la está usando para sus propósitos. Si tiene servidores web, busque blindarlo lo más posible con “firewalls” y recursos para contrarrestar ataques dDOS, como IPs rotativos, servidores espejo y sistemas de recuperación.)
Hay un amplio 33% de casos cuyo método es ignorado por el . Pero de los conocidos, el ya mencionado malware fue responsable en 8% para los s consultados. Este código mal portado viaja bajo engaño o escondido en los “troyanos”, programas o piezas de código aparentemente normales que esconden enanitos salvajes al servicio de otros intereses.
(Recomendación: Siempre revise que cualquier protección para sus servidores o dispositivos contengan anti malware).
En ese mismo nivel de 8% está el SQLI o “SQL Injection”, literalmente una inyección de código que ataca la base de datos (el sistema nervioso de casi toda plataforma de información digital). Si es exitoso el ataque, puede llevarse una copia o toda la base de datos junto a los datos mismos. Con 4%, el “defacement” que mencionamos anteriormente y el resto se distribuye en otros tipos de invasión y usufructo de dispositivos ajenos.
(Recomendación: Asegúrese de tener respaldo actualizado de sus sistemas y datos en servicios independientes, de modo que pueda recuperarlos rápidamente con mínima pérdida. Asesórese bien al respecto. Asegúrese que usted y sus compañeros de equipo o trabajo tengan la preparación adecuada para actuar con seguridad y precaución a este respecto.)
Vale decir, que en la encuesta de Niux, una cuarta parte de los hackers encuestados es estudiante de tecnología, 21% se califica como profesional y solo 2% se considera hacker a tiempo completo.
Dos tercios de los consultados afirma jaquear principalmente porque le gusta el reto. 31% por dinero.
Hay más, pero después…
Y sí, hay mucho más en este tema: la Web Profunda (“Deep Web”), las criptomonedas como Bitcoin y, si hay tantos sombreros negros ¿dónde están y qué hacen los de sombrero blanco?
Son temas obligados en esta sección: la geografía de internet, incluyendo sus abismos , los nuevos paradigmas y qué podemos aprender de los que saben defenderse y defienden a otros. En una de estas semanas los sorprendo con esa otra parte de la historia.
Mientras tanto, sigamos a ver cómo va la moda de sombreros en esta temporada.
…………………………
Email de Fernando Nunez Noda: [email protected]
Nota: La presente pieza fue seleccionada para publicación en nuestra sección de opinión como una contribución al debate público. La(s) visión(es) expresadas allí pertenecen exclusivamente a su(s) autor(es) y/o a la(s) organización(es) que representan. Este contenido no representa la visión de Univision Noticias o la de su línea editorial.