Llegamos a ustedes gracias a:



Columnas de opinión

Hackear a los hackers

Por: Roger A. Grimes, arquitecto principal de seguridad de Microsoft

[01/08/2017] El silencio largo e incómodo siempre es la primera señal con el que un hacker, antes muy confiado, se da cuenta de repente que se ha convertido en la víctima. Es algo que pasa siempre.

El hacker malicioso había estado disparando su "cañón de ion en mi dirección de red, intentando abrumar a mi computadora personal y a su conexión a Internet. El día anterior, yo le había enviado un correo electrónico informándole que sabía quién era él, a qué se dedicaba (él era un fotógrafo de bodas en ascenso), su nombre (Rick), y que acaba de casarse con una mujer hermosa. Eso es suficiente para ahuyentar a la mayoría de hackers, pero a veces, al igual que Rick, persisten.

En su canal privado de mensajería instantánea protegido por Tor, Rick estaba diciendo a sus amigos que estaba listo para lanzar un ataque distribuido de denegación de servicio (DDoS), aún más grande, en mi contra. Él había estado usando una herramienta de hackers que parecía hecha para niños, pero ahora estaba pensando en pagarle a un servicio de hackers profesionales para atacarme.

Los ataques DDoS, donde cientos de cientos de miles de computadoras y dispositivos -que en otro contexto son inocentes- pueden ser dirigidos para atacar a una sola víctima, pueden ser devastadoramente difíciles de detener -no solo para mí, sino para cualquiera, casi para cualquier compañía. La inundación sostenida de tráfico malicioso de red, constituido por miles de millones de bits digitales no deseados, puede sacar a cualquiera de las compañías más ricas (del calibre de Google) fuera de Internet. Una vez que estos se inician, la víctima (en este caso, yo) puede ser expulsada de Internet por muchos días.

Me infiltré en su canal de mensajería y le dije que se detuviera. La duda en su respuesta me hizo saber que lo había tomado por sorpresa. Me respondió llamándome por nombres impropios y me acusó de ser alguien que ya era miembro de su foro de hackers. Cuando contesté que no era miembro, volvió a burlarse y dijo que me arrepentiría de haberme infiltrado en su foro privado. Cortésmente, le pedí que dejara de intentar atacarme, porque tenía trabajo verdadero que hacer.

La noche siguiente, casi a la misma hora, pude deducir por la lentitud de mi conectividad a Internet que el ataque DDoS con el que fui amenazado estaba empezando. Si no hacía algo pronto, iba a estar fuera de Internet por días. Así que, por la pura frustración de tener que cumplir con una fecha límite de mi trabajo, me infiltré en su computadora.

Había identificado la computadora y el software que él estaba usando (esto se conoce como "fingerprinting, o toma de huellas dactilares, en el mundo de los hackers). Así supe que usaba un firewall obsoleto para proteger su máquina. Una de mis técnicas de hacker favoritas es introducirme en las computadoras y en las compañías usando el mismo software y los mismos dispositivos en los que ellos confían su protección. Entonces, por medio del uso de una vulnerabilidad conocida en ese firewall, me introduje en su computadora, modifiqué un archivo, y dejé un nuevo script. Después me conecté a él y le dije que le diera un vistazo a mi trabajo.

Mi "trabajo era un archivo que habría reformateado el disco duro de su computadora, y habría sido capaz de destruir todo su contenido si es que él reiniciaba su computadora. Había "remarcado las líneas fatales fuera de mi script para que fuese inofensivo por el momento. Pero pude haber removido literalmente tres letras (rem) y el script, que antes era inofensivo, se hubiese vuelto bastante letal, al menos para su computadora.

El ataque DDoS se detuvo inmediatamente. Él obviamente humillado hacker remoto volvió a conectarse al canal online de chat e increíblemente preguntó "¿Cómo hiciste eso? Finalmente, él estuvo hablando como un ser humano normal, sin la falsa arrogancia. Yo respondí, "Rick, existen muchos hackers que son mejores que tú. Deja de ser un hacker malicioso y usa tus habilidades para hacer el bien. Pasa más tiempo con tu nueva y hermosa esposa. Algún día podrías toparte con la persona o agencia equivocada. Esta es tu advertencia.

Con eso, abandoné el canal de chat y empecé a trabajar. No es la primera vez que me veo forzado a atacar para hacer que otro hacker me deje en paz, y ciertamente no soy el único con las habilidades para hacerlo. De hecho, los mejores y más inteligentes hackers que conozco son hombres y mujeres de bien, no los bichos raros maliciosos que son la plaga en nuestras vidas digitales. Soy un veterano de seguridad de computadora con 30 años de experiencia, siempre librando una buena pelea, junto con otros miles como yo. Nuestros adversarios son, en promedio, menos inteligentes que nosotros.

Esto no quiere decir que los hackers maliciosos sean tontos. Ese no es el caso. Es solo que la vasta mayoría no es brillante; son hackers promedio. Cada año, probablemente sea testigo de uno o dos hackers astutos capaces de lograr algo que nadie había podido hacer antes. Pero la mayoría de hackers con los que me encuentro no son geniales ni creativos. Ellos simplemente usan herramientas, técnicas y servicios que otros hackers más inteligentes han creado previamente. Lejos de ser los hackers míticos que Hollywood suele celebrar, la mayoría son patanes regulares y ordinarios que no podrían escribir el código del ícono de un emoticón.

Si desea conocer a un hacker muy inteligente, hable con un defensor de seguridad cibernética. Tienen que ser expertos en su tecnología y capaces de descifrar cómo detener todas las amenazas que intentan derribarla. Son los Henry Fords y Einsteins de nuestra sociedad digital. Aunque los medios representan a los hackers deshonestos como los más inteligentes, hoy más que nunca, los defensores están ayudando a detectar, detener y arrestar a cada vez más hackers maliciosos.

En estos momentos los hackers casi no tienen riesgos

Al igual que los ladrones de bancos armados con pistolas en los años 1900s, los hackers de hoy son muy exitosos. Las riquezas de nuestra sociedad digital se han acumulado más rápido que las protecciones necesarias. Y las probabilidades de ser atrapado y arrestado por un crimen cibernético son casi nulas. Un hacker puede robar millones de dólares casi sin correr riesgos.

Si roba un banco de verdad lo más probable es que obtenga menos de ocho mil dólares y posiblemente sea arrestado (55% de los ladrones de bancos fueron identificados y arrestados en el 2014, el año más reciente en el que las estadísticas del FBI estuvieron disponibles) y sea encarcelado por años. El peso del riesgo negativo en relación con la recompensa contribuye a que existan menos de cuatro mil robos de bancos cada año.

Compare eso con el crimen cibernético. El FBI afirma recibir 22 mil reportes de quejas relacionadas al crimen cibernético cada mes, y probablemente se estén cometiendo muchos más crímenes. El promedio de pérdida es de 6.500 dólares; y de más de 269 mil quejas sobre crímenes, solo 1.500 casos fueron reportados a las autoridades. Aunque los reportes anuales más recientes del FBI no incluyeron las tasas de condena, su reporte del 2010, con un número similar de quejas y casos reportados, resultó solo en seis condenas criminales. Eso equivale a un solo criminal cibernético por cada 50.635 víctimas, y estos son solo los casos que son denunciados al FBI.

Si roba un millón de dólares online, podrá disfrutar de su nueva riqueza casi libre de preocupaciones. La dificultad de recolectar evidencia legal del crimen, problemas de jurisdicción (va a pasar mucho tiempo antes de que Rusia y China respeten las órdenes de búsqueda y solicitudes de arresto de Estados Unidos), y las habilidades de las autoridades para aplicar medidas en contra del crimen cibernético, hacen que los delitos impliquen un riesgo bajo. Y, como lo mencioné anteriormente, no tiene que ser inteligente para tener éxito. Cualquier niño o agrupación criminal puede hacerlo. Solo se necesita saber unos cuantos trucos del oficio.

El secreto de los hackers

El secreto de los hackers no es ningún secreto. Cometer crímenes cibernéticos es como trabajar en cualquier otro oficio, como ser electricista o plomero. Una vez que aprende a usar algunas herramientas y técnicas, lo demás se resume a práctica y perseverancia. La mayoría de hackers encuentra actualizaciones de software faltantes, configuraciones erróneas, vulnerabilidades o lleva a cabo engaños de ingeniería social. Si funciona una vez, funciona mil veces. Es tan fácil -y funciona de manera tan regular- que la mayoría de profesionales de pruebas de penetración (personas a las que pagan legalmente para que se desempeñen como hackers) renuncian después de pocos años, porque ya no consideran el trabajo como un desafío.

En mis 30 años como profesional de pruebas de penetración, como parte de mi contrato legal, me infiltré en todas las compañías que me fueron asignadas y lo hice en periodos de tres horas o menos. Eso incluye a bancos, agencias del gobierno, hospitales y distintos tipos de negocio. Apenas me gradué de la secundaria, y me reprobaron en una universidad poco exigente con un promedio de calificación de 0,62. Solo digamos que no soy un gran académico.

En la escala del uno al diez, donde diez es el mejor, quizás yo sea un seis o un siete, y puedo infiltrarme en casi todo. He trabajado con hackers que calificaba con un diez, y casi todos ellos se consideran como hackers promedio. Y al mismo tiempo, ellos también pueden hacer una lista de aquellos a quienes consideran merecedores de un diez, y así sucesivamente. Esto significa que muchas personas pueden infiltrarse en casi todo lo que deseen. No existe un conteo oficial de hackers en el mundo, pero no sería ninguna sorpresa que la cifra alcanzara más de diez mil. Por suerte, la mayoría de ellos trabajan para el lado bueno.

Roger A. Grimes es un colaborador de CSO con más de 40 certificaciones. Es autor de ocho libros sobre seguridad informática. Ha estado luchando contra el malware y los hackers malintencionados desde 1987, comenzando con el desmontaje de los primeros virus DOS. Actualmente ejecuta ocho honeypots para rastrear el comportamiento de los hackers y malware, y es consultor de empresas que van desde las Fortune 100 a pequeñas empresas. Frecuente orador y educador de la industria, trabaja actualmente para Microsoft como arquitecto principal de seguridad.