Diario de Navarra | Facebook Se abrirá en otra página Diario de Navarra | Twitter Se abrirá en otra página Hemeroteca Edición impresa
Mi Club DN ¿Qué es? Suscríbete

La Hemeroteca
Internet

Ciberseguridad: La forja de un 'hacker'

Muchos empiezan pirateando un juego, y luego internet provee el resto: tutoriales, foros, mentores... De la curiosidad al desafío, y en algunos casos al delito

El 'hacker' inglés Marcus Hutchins, que detuvo la expansión del virus WannaCry.

El 'hacker' inglés Marcus Hutchins, que detuvo la expansión del virus WannaCry.

Actualizada 22/05/2017 a las 10:37
  • Colpisa. Madrid

El viernes 11 se produjo el mayor ciberataque de la historia de internet. Más de 200.000 ordenadores a lo largo de 150 países infectados por un mismo virus informático, incluidos los de empresas tan sensibles como Telefónica y los hospitales del Reino Unido. Y podría haber sido mucho peor, de no ser por la labor de MalwareTech, pseudónimo de un hacker inglés de 22 años que encontró un interruptor de apagado dentro del propio código del virus. Un momento. ¿Un hacker? ¿Pero no eran precisamente los hackers quienes habían lanzado el ataque?
Sí y no. El término 'hacker' peca de sensacionalista. Engloba por igual a ciberdelincuentes y a simples apasionados de la informática, aunque se tiende a asociar más con los primeros. Pero, como insiste Chema Alonso, jefe de seguridad de Telefónica y hacker más mediático de España, famoso por haber pirateado en directo el teléfono de Pablo Motos, “[los hackers] no tienen un pensamiento único, o una ideología común que los identifique como grupo. Lo único común es su pasión, su curiosidad y sus ganas de hacer cosas únicas y novedosas. No son ni buenos ni malos”.

Es el caso de Javier (nombre falso), un hacker entrevistado para este reportaje. Ahora trabaja para una importante firma de software internacional, pero en su adolescencia coqueteó con el mundillo. “Te metes porque en esos momentos crees que no tienes nada que perder”, rememora. “Tampoco es que haya un frontera, como en las películas cuando dicen: 'Ahora ya no hay vuelta atrás'. Es algo que se va desarrollando solo”. Coincide con Alonso en que un hacker no destaca tanto por sus conocimientos informáticos como por “una actitud y una mente inquisitivas”.

La curiosidad es condición sine qua non de un hacker, y luego internet provee el resto, en forma de tutoriales. “En mis tiempos, usábamos las listas de correo y UseNet. Después vinieron los foros. Evilzone, referente internacional, y ElOtroLado, meca nacional del pirateo de videojuegos, son dos buenos ejemplos, aunque sus tutoriales más jugosos no estén a primera vista. Pero quien realmente tenga madera de hacker, al final, dará con ellos. “Es una prueba de paso, una especie de rito iniciático. Una forma de decir: si nos has encontrado, es que mereces la pena”.

Al interés por descubrir los secretos de los hackers le sigue habitualmente, como le ocurrió a Javier, el contacto con un mentor. “Suele ser alguien con quien compartes alguna afición concreta, como los videojuegos o la astronomía, y que conoces de foros. De repente, un día se fija en ti, te envía un mensaje privado y empieza a guiarte”. Guiar, en su mundo, significa desafiar. “Somos muy competitivos -señala-. Y nada de preguntar directamente '¿cómo se hace tal cosa?', porque lo único que te van a responder es 'cállate, puto n00b' (novato, en la jerga). Hay que tener la piel dura, podemos llegar a ser muy ácidos y mezquinos”.

Los hackers no se comunican por las vías convencionales, como Facebook o Whatsapp. Utilizan el IRC, siglas de Internet Relay Chat, “el último reducto”, bromea Javier. Uno de los primeros sistemas de comunicación en internet -“tiene un encanto retro”-, que funciona mediante canales. "No está oculto, pero si no conoces el canal, no puedes entrar. Y, desde luego, nadie va a publicar abiertamente cuáles son los canales de loshackers". El IRC proporciona otra ventaja: los servidores -que permiten la comunicación, pero también almacenan los mensajes- se pueden montar y desmontar rápidamente en cualquier lugar del planeta con un ordenador y una conexión a internet. “El subterfugio es una prioridad”, sentencia.

Aunque en su época más activa llegó a realizar prácticas que hoy se considerarían delictivas, mantiene que nunca lo hizo con fines espurios. “Estás visitando una web, o usando un programa, y notas que algo flaquea. ¿Qué pasará si hago esto? ¿Y si cambio esto otro? Es curiosidad científica, aunque admito que un poco morbosa. Te mueven las ganas de hacer algo que no ha hecho nadie”, reflexiona. “Pero la gracia no está en saber entrar, sino en salir luego sin dejar rastro de lo que has hecho”. A Javier, como a otros colegas, le mueve “sólo la superación personal”, repite.

La motivación es el punto de inflexión de un hacker. Para Javier, “siempre fue, y sigue siendo”, pura curiosidad. Pero conoce de primera mano que otros lo hacen “por el subidón”, para “alardear” y también con el objetivo de “putear”. Algunos incluso ondean la bandera de la justicia social, los que se hacen llamar hacktivistas, clase a la que podrían pertenecer desde Anonymous a los instigadores de la primavera árabe. “En los casos extremos, la cosa puede derivar en psicopatía; hay gente que sólo quiere ver el mundo arder”, bromea cínicamente Javier. Y, por supuesto, hay criminales.

“Yo creo que juegan un papel fundamental las leyes y la cultura de internet imperantes en cada país -aprecia-. Hay lugares, como Rusia, Turquía o Brasil, donde, aunque te pillen literalmente con las manos en la masa, lo único que vas a penar es una falta administrativa. No tienen legislación al respecto. Pero en internet, el impacto es global. Puedes estar en un pueblito de Siberia y entrar en el ordenador de la CIA”. A su juicio, una regulación insuficiente es el caldo de cultivo para la expansión de redes de ciberdelincuentes. “Basta con que les coman el coco a diez chavales recién salidos de la universidad, ni siquiera hace falta que sean unos genios. Les prometen dinero fácil, les convencen de que lo peor que les puede pasar es que se lleven una colleja… lo que se dice reclutar”.

Una fina línea determina la frontera entre la legalidad y el lado oscuro de internet. En el argot, ellos hablan del sombrero. “Si eres de 'sombrero blanco', eres un hacker altruista. Si tienes intereses delictivos, eres un hacker' de 'sombrero negro'", apunta. Pero Javier cree que nada es completamente blanco o negro. “En cuanto alguien se entera de que soy hacker, me viene con '¿y tú puedes piratearle el Facebook a mi expareja?'. Es un ejemplo frívolo, pero es la fama que tenemos”. Espiar y sustraer identidades son los trabajos que más se encargan a los hackers. La contratación suele hacerse por Deep Web, la internet profunda, cuyo acceso y navegación se asemejan a los bajos fondos de una ciudad. Sea cual sea el bando -o el sombrero- que se elija, saben que “puede ser una forma de ganarse la vida, si asumes el riesgo”.

CAZADORES DE 'BICHOS'

La mayor amenaza para la ciberseguridad no son precisamente los hackers, sino el error humano. Ningún programa, ninguna app, ningún sistema operativo es infalible. Encontrar estos fallos, estas vulnerabilidades -ellos hablan de bug, bicho en inglés- es uno de los hobbies preferidos de los hackers. Un desafío que “potencialmente” -y Javier hace énfasis en este término- puede ser utilizado luego por piratas maliciosos para entrar en un sistema y dañarlo. Sin ir más lejos, el ciberataque del pasado viernes se basaba en un fallo de Windows, que se aprovechó para propagar el virus y sembrar el caos. Es lo que se conoce como un exploit (explotación).

Buscar estos puntos débiles puede llegar a ser muy lucrativo. Muchas empresas están dispuestas a pagar grandes sumas -Apple, hasta 200.000 dólares- a quien descubra un defecto en alguno de sus productos. Google tiene una norma deontológica para sus empleados: si identifican una vulnerabilidad, sea de la compañía que sea, tienen el deber de comunicárselo por vía privada. En el caso de que, en el plazo de 90 días, la empresa en cuestión no haya publicado un parche para solucionarlo, difunden dicho error. “Es una forma de decirles: 'poneos las pilas”, comenta Javier.

Motivar a los hackers con 'cacerías de bichos' se ha convertido en un estándar para todas las corporaciones informáticas de primer nivel, especialmente desde que, hace unos años, el usuario Khalil, harto de intentar alertar a Facebook de un fallo que él había descubierto y de que la red social no le hiciese caso, se aprovechó del error para publicar un comentario en el muro personal de Mark Zuckerberg. Una singular llamada de atención, de la que incluso grabó un vídeo tutorial.

Según un estudio de Hewlett Packard, cada día se descubren de media 22 vulnerabilidades. No todas salen a la luz , ya que existe un “mercado negro” de esta información, como señala Marco Lozano, especialista en ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad). Un negocio que aprovecha el vacío legal y resulta a menudo todavía más jugoso económicamente que las recompensas de las grandes empresas. “Dependiendo del tipo de fallo y de si es un programa de uso común, puede pagarse desde 250 dólares a tres millones”, explica. A cambio de una comisión, firmas como Zerodium o Revuln operan como intermediarios entre el hacker y el interesado en conocer una vulnerabilidad concreta, bien sea un país, una compañía o un particular. A principios de mayo, la senadora estadounidense Dianne Feinstein reveló que el FBI había gastado 900.000 dólares en comprar a la firma israelí Cellebrite la fórmula para desbloquear el iPhone del tirador de San Bernardino, el yihadista que acabó en 2015 con 14 personas en California. El móvil era una pieza crucial para la investigación.
 

Ciberseguridad, negocio en alza
 

 

 

No todas las formas que tiene un hacker de ganarse la vida son ilícitas o de dudosa legalidad. La ciberseguridad es un sector al alza en el mercado laboral. Según las previsiones del INCIBE (Instituto Nacional de Ciberseguridad), la UE tendrá la necesidad de incorporar en la próxima década en torno a 825.000 puestos de trabajo relacionados con la defensa informática. El lunes, el PP lanzaba la propuesta de crear unas 'milicias civiles' con hackers reservistas, para reforzar la capacidad de reacción ante ataques como el del viernes.

Cada vez se ofrecen más vías de formación reglada para un conocimiento que tradicionalmente se adquiría de forma autodidacta. Las certificaciones internacionales en la materia se están convirtiendo en un imprescindible en el currículum de cualquier hacker. Jokin Guevara, experto en seguridad informática, recalca el requisito: “Para ejercer en Inglaterra o Estados Unidos necesitas estas certificaciones, que son expedidas por órganos competentes que hacen exámenes muy duros”. Él cuenta con el título oficial de 'Hacker ético' y asegura que merece la pena. “El mercado está en auge; tanto, que uno puede elegir el trabajo que quiera, para quién trabajar y por cuánto”, observa.

Marcos Lozano compagina su labor en el INCIBE con impartir cursos de seguridad informática. "Lamentablemente, es imposible decir que existe la seguridad total en internet, sobre todo ahora, que hay cada vez más cosas conectadas a la red", enfatiza. Prueba de ello es una de las prácticas que suele proponer a sus alumnos: ganar acceso remoto a una webcam.


Comentarios
Te recomendamos que antes de comentar, leas las normas de participación de Diario de Navarra

Lo más...
volver arriba

© DIARIO DE NAVARRA. Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual

Contenido exclusivo DN+
VER EL CONTENIDO COMPLETO
Ya soy DN+
Continuar

Estimado lector,

Tu navegador tiene y eso afecta al correcto funcionamiento de la página web.

Por favor, para diariodenavarra.es

Si quieres navegar sin publicidad y disfrutar de toda nuestra oferta informativa y contenidos exclusivos, tenemos lo que buscas:

SUSCRÍBETE a DN+

Gracias por tu atención.
El equipo de Diario de Navarra