• No se han encontrado resultados

Hackers, Crackers, e Ingenieria - Gris, Manuel

N/A
N/A
Protected

Academic year: 2021

Share "Hackers, Crackers, e Ingenieria - Gris, Manuel"

Copied!
150
0
0

Texto completo

(1)
(2)

Contenido

Hackers y Crackers

Las cajas registradoras de las tiendas en sus manos

Chantaje

Obteniendo las contraseñas de Gmail Las altas esferas

Asalto al tren del dinero

La mina de oro de las cabinas de teléfonos Accediendo a smartphones

Espionaje industrial en su propia casa De carterista a hacker

(3)

El espía espiado

Los teléfonos listos no son tan listos A modo de resumen

Breve glosario de terminología Códigos de ejemplo

Direcciones útiles Aclaraciones finales

(4)

Hackers, Crackers, e ingeniería

social

Manuel Gris - 2012 - Manuel Gris http://ManuelGris.blogspot.com Edición especial Kindle

© Reservados todos los derechos. © De la presente edición: 2012 Diseño de cubierta: Reflejo Creative Número de registro: 1209302422322

No está permitida la reproducción total o parcial de este libro, ni su tratamiento informático, ni su transmisión íntegra (no se incluyen en este caso sinopsis, resúmenes o menciones) por cualquier medio sin el permiso previo y por escrito del autor.

(5)

Introducción

Las cajas registradoras de las tiendas en sus manos Chantaje

Obteniendo las contraseñas de Gmail Las altas esferas

Asalto al tren del dinero

La mina de oro de las cabinas de teléfonos Accediendo a smartphones

Espionaje industrial en su propia casa De carterista a hacker

Los hackers de la nobleza El espía espiado

Los teléfonos listos no son tan listos A modo de resumen

Breve glosario de terminología Códigos de ejemplo

Direcciones útiles Aclaraciones finales

Sinopsis

Tras el best seller de su libro "Técnicas de seguimiento", Manuel Gris regresa con su esperadísimo libro sobre seguridad informática. En "Hackers, crackers e ingeniería social" conocerás uno de los aspectos menos conocidos de los hackers mediante sorprendentes historias que te

(6)

abrirán los ojos a una realidad alternativa, a un mundo en donde nada es lo que parece.

Manuel Gris nos descubre las oscuras amenazas a las que se enfrentan no sólo políticos, compañías multinacionales y gobiernos del mundo entero, sino también el ciudadano de a pie. Este libro te abrirá los ojos a la auténtica realidad hacker en el mundo de hoy.

Introducción

¿Cómo viven los hackers? ¿Cómo operan para llevar a cabo sus ardides? En este libro descubrirás la forma de actuar de muchos de los hackers y crackers, así como su manera de moverse entre el complejo entramado social, tejiendo sus sutiles redes para lograr sus objetivos.

Mediante historias noveladas de las operaciones más complejas, Manuel Gris nos enseña cómo afectan, a día de hoy, las actividades de hackers a empresas y particulares. Fuera del movimiento romántico de la cultura hacker, se nos muestra un escenario de artificios sociales creado para "mantener el rebaño", la masa social, sumisa, y el cual los hackers saben aprovechar muy bien. Al margen de las corrientes políticas, escrutándolo todo, los hackers son capaces de ir más allá de los simples trucos psicológicos y pueden infiltrarse en las más altas esferas del poder. No

(7)

es en vano que gobiernos de todo el mundo, y destacadas multinacionales, recurran a ellos de manera habitual.

Descubre el mundo oculto que respira y se mueve tras tu ordenador.

Al final de cada capítulo encontrarás un apartado con importantes consejos sobre cómo protegerte o proteger a tu compañía de los ataques e infiltraciones descritas previamente en el texto.

(8)

Las cajas registradoras de las tiendas en sus manos

La siguiente historia relata muy claramente lo fácil que es a veces adentrarse en los sitios más seguros e inverosímiles de un negocio, y de que, en realidad, hay más peligros de los que a veces suponen la mayoría de personas, profesionales del comercio o la información. Éste caso se llevó a cabo por un grupo de hackers, a los que vamos a llamar RederZ, y que nos cuentan cómo colocaron su software en una gran cantidad de comercios de todo en tipo de varios países:

"Una vez pusimos el software de gestión en varias tiendas. Primero lo subimos a un famoso sitio de indexación de aplicaciones. Normalmente estos sitios facilitan al internauta programas que son freeware o shareware, pero previamente ellos los suelen probar para confirmar que, en efecto, cumplen lo que dicen y realizan las funciones para las que supuestamente lo colgó allí el programador (y que se especifican en la descripción del programa, un apartado de obligado cumplimiento al enviar la aplicación). Obviamente, nuestro software las cumplía, de modo que las pasó sin problemas. Por regla general no se suelen molestar (ni tienen tiempo material) de probar a fondo un programa. Además, para que nuestra aplicación llegara a revelarse como maligna tuvimos la precaución

(9)

de programar la necesidad de su utilización durante un tiempo, un espacio de tiempo en el que ya podíamos estar seguros de que los testeadores de ese sitio ya la tuvieran desinstalada".

No tuvo que transcurrir mucho tiempo hasta que los miembros de RederZ viesen los resultados. Las aplicaciones de gestión de tiendas suelen ser muy populares, de hecho a día de hoy son prácticamente imprescindibles. Pero la mayoría son caras y, sobre todo, complejas: se requieren instalar bases de datos y configuraciones tan estrictas y profundas (como creación de elementos y campos clave dependiendo de los datos a incluir) que muchos tenderos no tienen los suficientes conocimientos para llevar a efecto una configuración adecuada. Ellos habían obviado todo eso, y habían creado un complejo entramado que desde fuera, de cara al usuario, funcionaba con las virtudes de una base de datos, pero que no lo era, por lo que el usuario podía trabajar como si se tratase de una aplicación de base de datos, pero sin la complicación y defectos de ésta. De hecho era tan flexible y cómoda que pronto se hizo famosa:

"No tardaron en escribirnos felicitándonos por la aplicación. Lo utilizaban todo tipo de comercios, pero especialmente medianos y pequeños, de todas partes del mundo".

(10)

Lo que los usuarios no sabían es que esa aplicación no era más que "malware" (un tipo de software que oculta oscuros propósitos, escondido en una aplicación que, sin embargo, sí hace lo que promete). Los hackers obtenían direcciones IP (direcciones de red) de los usuarios e información sobre los tipos de conexiones que usaban. Pero eso no era lo más peligroso:

"Teníamos listados de toda la mercancía que tenían, lo que vendían, el dinero que entraba en caja, las transacciones que realizaban con tarjetas de crédito... Todo, absolutamente todo."

Podían haber hecho mucho daño, haberse apropiado del dinero no sólo de la tienda, sino de todos los clientes que pagasen con tarjeta de crédito, pero no lo hicieron:

"Nos sorprendimos a nosotros mismos de lo fácil que había sido llegar hasta donde llegamos. No es que tuviéramos miedo, sino que jamás nos planteamos robar dinero, en realidad nunca pensamos que nuestra aplicación la fuera a instalar más de un par de personas". Finalmente decidieron cortar por lo sano: enviaron a la aplicación una actualización que se auto instalaba y modificaba el procedimiento de cálculo, de manera que

(11)

daba siempre error.

"Nos escribieron multitud de correos de todas partes, notificándonos el fallo y rogándonos que lo corrigiéramos, era alucinante: ¡no querían por nada del mundo desprenderse de ella!".

El grupo de hackers recuerda aquélla época con una cierta nostalgia, y advierte: "hoy en día cualquiera podría hacer lo mismo. De hecho incluso de forma más fácil, porque el mercado está copado de complejas aplicaciones de facturación y gestión de tiendas absurdas y un programa rápido, sencillo y fácil es aún más difícil de encontrar".

- Protección.

Protegerse de este tipo de amenazas es a veces complicado, porque las páginas indexadoras de aplicaciones en la mayoría de los casos contienen software totalmente legal. Pero mi recomendación es que siempre se descargue la aplicación desde un sitio de confianza, a poder ser desde la web del autor. Muchos de esos portales de alojamiento tienen la URL del autor del programa en cuestión: visítela. Si nota algo raro, no descargue el programa. Si el autor no dispone más que esa aplicación para su descarga, o su página es un simple link sin más información, desconfíe. Recuerde siempre que el malware no es detectado por los antivirus, por lo tanto en

(12)

éste caso no le protegerán, ya que el programa en sí es totalmente legítimo. De modo que fíese de su instinto y, en último término, consulte en foros o escribiéndole directamente al autor.

(13)

Chantaje

Se tiende a pensar que los crackers y hackers pueden llegar a tener dominio casi absoluto en las compañías de telecomunicaciones, en las de gas, electricidad y, en general, en todo tipo de empresas de suministro básico para la vida diaria de cada persona. Esta es una imagen muy popularizada en películas y novelas, pero dista bastante de la realidad. De hecho, para que hoy en día un hacker pueda llegar a tener un cierto control en esas redes informáticas de ciertas compañías, necesita saltarse enormes medidas de seguridad, tanto a nivel externo (de la red hacia afuera) como interno (de la red de dentro). Eso sin contar cortafuegos y otra serie de mecanismos (hardware o software) de lo más variado. Todo esto supone la inversión de mucho tiempo, y aunque los hackers, en su inmensa mayoría, dispongan de ese tiempo -y de mucha paciencia- a veces la situación requiere medidas mucho más expeditivas.

Éste es el caso de la cracker Nefty. Esta cracker se había ganado una cierta fama dentro de la Scene por lograr crackear programas menores de herramientas web shareware, como editores de mapas HTML con zonas activas y similares. También había logrado modificar el código de una aplicación de edición de fotos, pero casi al mismo tiempo la compañía lanzó una nueva versión

(14)

-bastante exitosa- de su programa, que incluía un algoritmo específico de verificación de claves a partir de lo que se denomina técnicamente como un hash, para dificultar el trabajo de los crackers.

Pero eso no era lo que ahora le preocupaba a Nefty:

"Estaba obsesionada con una genial aplicación que usábamos la mayoría de nosotros en clase, a espaldas de los profesores. El problema de ese programa es que era de pago, y cada diez minutos te salía una ventanita recordándotelo, era un incordio."

Ella se sentía en deuda con sus compañeros, puede que fuera por generosidad o porque suponía todo un reto como cracker (o, también, y quizá no menos importante, para sentirse halagada por ello):

"Yo me sentía un tanto responsable porque se la había instalado al resto de mis compañeros, y ahora casi todos ellos la usaban. Recurrían a ella en los exámenes, cuando había un ejercicio complicado para pasarnos las soluciones unos a otros... En fin, para infinidad de cosas". No le fue difícil conocer cómo estaba realizado el programa: simplemente por su modo de instalación y las librerías que usaba supo que estaba hecho en Visual Basic. Los cracker suelen trabajar con diversas herramientas de descompilación, Nefty lo explica que es

(15)

como un juego, "como programar al revés".

"El programa usaba un sistema de registro sencillo pero eficaz: mediante una tabla básica de matrices, generaba todas las contraseñas, tomando como referencia el número de instalación que se generaba al instalarla. Dos copias no funcionaban con el mismo número, existían conflictos entre sí. Un método simple pero muy bien pensado para una aplicación cuyo cometido era relacionarse unas con otras".

El problema es que ésa tabla de matrices la tenía el programador:

"Hacerse con esa tabla representaba tener el registro de todos los programas que se instalasen, presentes o futuros".

Una alternativa era incluir una aplicación crackeada en sus instalaciones (setup), una vía que intentó, pero que le dejó en punto muerto:

"Por la forma de trabajar de Visual Basic necesitas sí o sí el instalador, no hay otro modo. Podría modificar el ejecutable, pero la función seguiría allí, y, al generar el número de registro el crackeo del programa no serviría para nada si había otra funcionando en red".

Es entonces cuando decidió un paso muy agresivo: hacerse con la tabla completa.

(16)

"Era algo audaz, pero en aquéllos tiempos no me importaba. Me importaba más llegar un día a clase y comenzar el registro masivo de todas las copias que teníamos instaladas".

No fue difícil dar con el desarrollador de la aplicación: aunque se escondía tras el nombre de lo que parecía una empresa, Nefty no tardó en averiguar que detrás estaba una sola persona.

"En el código de un formulario de solicitud aparecía un destinatario con una dirección de e-mail personal, que simplemente siguiendo el hilo te llevaba a una persona física, con nombres y apellidos".

Nefty le escribió y, con todo el descaro, le pidió la tabla de matrices. Era su primer paso "suavecito":

"Lo hice desde una red wifi anónima, por supuesto, aunque en realidad no creí que fuera a responder".

Pero lo hizo:

"Se empezó a hacer el despistado, diciéndome que no sabía a qué me refería y que, si quería el programa, se lo comprase. Cuando le contesté diciéndole que no me interesaba una licencia, sino casi cuarenta, en lugar de ofrecerme un descuento pareció frotarse las manos".

(17)

siguiente paso: conseguir ella misma la tabla. Para hacerlo realizó una serie de pasos bastante inocentes, pero de un resultado prodigioso en aquéllos momentos. Ella misma nos los describe:

"Primero vi mediante un whois en su página (afortunadamente era una página española, y, por obligación, en aquélla época los whois no podían ser anónimos) su nombre y apellidos, su dirección... todos sus datos personales. Gracias a eso, con una simple búsqueda di con su perfil en Facebook. Normalmente suelo mantener varios perfiles en las redes sociales, simulados, uno de chica y otro de chico, son muy útiles. Pero este tipo de perfiles para que "den el pego" tienen que tener una cierta antigüedad. Eso se consigue de una forma muy simple: no es muy difícil entrar cada semana o cada quince días a cada uno de esos perfiles de redes sociales y subir un link de, por ejemplo, un vídeo en YouTube. Con sólo ese gesto das la sensación de que tu perfil está "vivo". Las fotos que colocaba en la imagen principal, por supuesto, no eran mías, sino que las obtenía de sitios de alojamiento de imágenes que se supone privados, pero que en la práctica no son tan "privados". Las cogía de este tipo de servicios en países asiáticos o de Estados Unidos. En los lugares de Estados Unidos más profundos (zonas de Alabama o estados parecidos) la gente no sabe hablar español en su inmensa mayoría, y si ven una página en otro idioma que no sea el inglés ni siquiera la miran, por

(18)

lo que es bastante raro que te adviertan o se den cuenta de que usas su foto".

Con su nombre y apellidos y su página en redes sociales (en Facebook, en éste caso), supo su número de teléfono: "El tipo ni siquiera lo tenía oculto, su número de móvil lo tenía a la vista de todo el mundo. Seguramente pensaba que así le podrían llamar con alguna oferta de trabajo o ligar más, yo que se...".

La cracker también logró averiguar su fecha de cumpleaños:

"En realidad la fecha de cumpleaños no la tenía en público, pero con un poco de paciencia y sabiendo dónde buscar, utilizando cachés y siguiendo sus conversaciones, pude encontrar una conversación en donde le felicitaban". De este modo averiguó el día de su cumpleaños, algo que sería crucial en el proceso de obtener lo que deseaba: "Faltaban sólo un par de meses, ni siquiera, para ése día. Así que ideé un plan. Programé un script y una pequeña aplicación. La aplicación se ejecutaría en segundo plano, totalmente invisible al usuario".

El día de su cumpleaños, el programador encontró en su buzón de correo electrónico una curiosa felicitación:

(19)

cumpleaños me gustaría felicitarte, pero hacerlo desde el Facebook me parece muy frío, así que te envío una felicitación por aquí especialmente para ti, ¡espero que te guste!".

Lógicamente, la tal "Lorena" de Facebook no existía, ni siquiera era uno de los perfiles falsos de Nefty:

"Jugué con su imaginación. Fácilmente podía eliminar el correo, pero sabía que no lo iba a hacer. Era un hombre, le escribía una chica para felicitarle, una chica que, se supone, además, la conocía de Facebook... Era demasiado tentador como para al menos no averiguar de qué iba la cosa. Además, todo eso ocurría el día de su cumpleaños, para felicitarle, cuando tendría seguramente la guardia baja".

En el correo se adjuntaba un link, que le desviaba a una página web expresamente creada por la cracker para la ocasión, con todo el diseño de parecer una página web de felicitaciones "normal":

"Incluí vínculos reales y tomé el diseño de una web real de felicitaciones, lógicamente, sin el código HTML original, sino uno realizado por mí. La subí a un sitio de alojamiento gratuito [Nefty nos rogó que no especificásemos cual] y oculté la URL con un simple frame sobre un marco de una página "legal", no fue muy difícil, únicamente hay que ser cuidadosa y sutil al

(20)

realizarlo, y confirmar que funciona, nada más. Lo bueno de este método es que puedes probarlo antes tú cuantas veces quieras, y como yo había tenido casi dos meses para hacerlo, me bastó y me sobró tiempo".

La página incluía un complejo script que llamaba a un ActiveX y que instalaba un programa -de forma oculta- en el ordenador destino:

"El script únicamente funcionaba en Internet Explorer, por lo que incluí una rutina de modo que, si visitaba la página con otro navegador, la animación (es decir, la postal de felicitación) no aparecía y se le advertía de tal circunstancia. Confiaba en que el interés del tipo fuera tal que accediera con el Explorer -si es que no lo había hecho ya en un primer momento-. El ActiveX simulaba ser la animación de la postal, pero en realidad lo que hacía era copiar un pequeño programa y ejecutarlo luego. Para asegurarme de que de verdad el programa lo hacía, verifiqué que otra copia se instalase en la carpeta de Inicio de Windows, de manera que se ejecutase al iniciar sesión. El propio programa tenía una simple rutina para, en caso de haberse ejecutado una vez, que no se volviera a ejecutar. En todo éste proceso no tardaba ni un minuto". Dado que la postal tardaba más que ese minuto, la cracker tenía tiempo suficiente. Nefty dejó claro que lo que hacía el mismo programa, podía haberlo programado en Visual

(21)

Basic Script, pero no quiso arriesgarse a que la víctima cortase antes la conexión y dejase el trabajo a medio hacer:

"Si llego a hacerlo en el script, tardaría bastante tiempo en hacer todas las tareas que yo quería que hiciera, así que prefería asegurarme con el 'programita' independiente."

Obviamente, había muchas cosas que podrían haber fallado en todo éste plan: el usuario podía cerrar la conexión antes de tiempo, la instalación -a pesar de todas las rutinas de comprobación de Nefty- podría fallar, o incluso el programa no ejecutarse como debiera. Pero a la cracker no le preocupaba:

"Si eso no funcionaba, ya idearía otro plan, en eso consiste mi trabajo. Vas probando cosas hasta que obtienes lo que quieres, no pasa nada si no sale a la primera".

Pero funcionó. Al día siguiente Nefty borró la página falsa de felicitación y todo rastro de ella, y borró la cuenta que había abierto en el servidor gratuito para que no se le pudiera seguir la pista hasta allí. En su correo electrónico tenía una serie de puertos de acceso al ordenador de su víctima, direcciones IP de conexión directa, y ciertas copias de archivos "interesantes" que le podrían servir, como el de registro de contraseñas de Windows.

(22)

El programa instalaba además una aplicación de escritorio remoto en el ordenador de su víctima, confirmando después la correcta instalación. Si ésta no se realizaba bien, el pequeño programa ideado por Nefty se reiniciaría la próxima vez y lo volvería a intentar, todo ello de forma automática:

"Podía fallar por miles de motivos una vez, dos, cien... pero el programa seguiría intentándolo de nuevo hasta que se instalase bien, o el tipo averiguase lo que estaba pasando y se lo 'cargase'".

La forma de confirmación era sencilla: simplemente se aseguraba de que el tamaño del programa de escritorio remoto instalado era el que debía ser, es decir, no tenía un menor tamaño (o no existiese el programa en la ruta). Con la aplicación funcionando, se conectó a ella a última hora de la tarde:

"Ese tipo de tareas es mejor realizarlas cuando la gente está cansada de una jornada delante del ordenador. En esos casos suelen preocuparse menos de lo que ocurre y lo único que quieren es hacer otras cosas, como pasar el rato en redes sociales o jugando, o irse a la cama, en lugar de mirar y remirar qué narices le están haciendo a su computadora una cracker".

(23)

Delante de las narices del tipo, Nefty cogió el código fuente del programa, las tablas de registro, y todo lo que necesitaba, y se lo envió a un FTP anónimo:

"Tenía que hacerlo cuando él estaba conectado, es decir, cuando el ordenador estuviera funcionando. Podía haber esperado a que saltara el salvapantallas, pero el tipo no paraba de hacer tonterías en el ordenador, y luego lo apagaba, de modo que me cansé de esperar. Además, ¿cómo iba a suponer que era yo?"

No podemos saber la expresión que le quedaría en la cara al programador, cuando vio volar su aplicación ante sus ojos: Nefty sabía dónde ir y qué hacer, gracias a los comandos que ejecutaba en la consola de PowerShell para ver el directorio y archivos de su víctima:

"Al parecer sólo tenía ese ordenador, y era el que usaba para hacer todo lo que hacía en materia de programación, y también para uso personal".

No obstante tuvo que ser rápida: el hombre podía desconectar en cualquier momento.

"Lo que hice fue crear un script que me trajese los archivos, principalmente la tabla, y ejecutarlo en PowerShell. Dicho script también le cambiaba la configuración de teclado, de hecho se lo desactivaba volviéndole a cargar el archivo de configuración. Sólo fue un par de toques rápidos. Mientras tanto al tipo lo tenía

(24)

entretenido mareándole con el puntero del ratón".

Tras ese ataque, desapareció. Y lo hizo porque ya tenía lo que quería. Pero cometió un error absurdo, de principiante, descargándole la tabla de registro delante de él. No fue difícil que la víctima sumase dos más dos: "Al día siguiente ya tenía un correo electrónico amenazándome con denunciarme. Por supuesto, le respondí como si no sabía de lo que hablaba, ya que si le amenazaba directamente era como confirmar sus sospechas y ponerme a mí en el disparadero. En lugar de eso le dije que no sabía a qué se refería y que me dejase en paz. Pero me respondió con un correo mucho peor, llamándome de todo, y entonces fue cuando le dije que empezaría a dejarle sin línea móvil, y luego, si seguía con sus amenazas, le dejaría sin electricidad, sin agua, y hasta sin casa. Se rió retándome a que no era capaz de hacerlo". Pero sí lo era:

"Cuando llegas a ese nivel de riesgo tienes que tomar medidas. Sólo tenía dos alternativas: o asustarle tanto como para que me dejase en paz, o esperar a que llamaran a mi puerta la policía el día menos pensado tras una denuncia del tipo aquél. No era algo banal, aunque él no vivía de ese programa, en realidad le iba muy bien con él, y, por lo que había averiguado, estaba contemplando la idea de hacerse autónomo o crear una compañía teniendo

(25)

a ése programa como la estrella principal. Si yo tenía la tabla de registro, podía estropearle todos sus planes registrando copias o crackeándolas con dicha tabla, o, directamente, difundiéndola. Si hacía eso en páginas de 'warez', ya podía irse olvidando de vender más programas, porque aunque los actualizase y les cambiara el sistema de registro, ya nadie se los compraría".

Nefty consiguió lo que se propuso, y el tipo acabó dejándola por miedo:

"Realmente debió recapacitar y darse cuenta de que yo ya no podía volverme atrás, ya no había nada que pudiera hacer, porque, aunque le devolviese la tabla de registros, él no se fiaría de mí y no se creería que me hubiese quedado sin una copia. En éste punto es cuando una, como cracker, tiene que tener la suficiente sangre fría como para confiar en una misma y seguir adelante".

Pero, ¿cómo consiguió acceder a la compañía telefónica para cumplir su amenaza?:

"No lo hice. No tenía tiempo de ir averiguando cómo acceder a la compañía telefónica para llevar a cabo mi amenaza. Pero yo había trabajado en una, y sabía cómo operaban. Tenía el número de móvil del tipo, y, simplemente, les llamé y les dije que me habían robado el móvil, que me bloqueasen la línea para no seguir pagando. Todo esto simulando voz de hombre, claro. Las

(26)

compañías telefónicas tienen como principio -o tenían, cuando yo estaba en ellas- el prevenir antes que curar. De modo que si alguien te llama diciéndote que le han robado su móvil, primero se lo bloqueas, aunque en las preguntas que le hagas (como fecha de nacimiento o número del documento de identidad) fallen. Y si encima les llama un tipo llorando y nervioso, el operador que reciba esa llamada no dudará de que realmente te ocurre algo malo. Lo bueno es que además podía hacer lo mismo las veces que quisiera, porque como cada vez te coge el teléfono un teleoperador nuevo, es muy difícil que vayan leyendo los casos anteriores o los "warnings" que se ponen unos a otros con el ajetreo que tienen. Así que aunque el tipo no hiciera caso y hubiese llamado para reactivar su línea, yo podría volver a bloqueársela usando el mismo sistema, hasta que se dieran cuenta en la compañía de que realmente pasaba algo. Obviamente, la llamada la hacía desde una cabina telefónica, lo más alejada posible de mi ciudad".

Muchas molestias, pero mereció la pena: tras haber comprobado la víctima que realmente Nefty podía "acceder" a su compañía telefónica y dejarle sin línea, no volvió a saber más de él. Unas semanas más tarde la cracker volvió a intentar acceder al ordenador, y comprobó que ya no podía hacerlo. Seguramente había formateado y reinstalado todos los sistemas de seguridad.

(27)

Aún así, Nefty no está orgullosa de su "trabajo":

"Cometí muchos errores, me confié en exceso movida por la codicia y el saber que tenía muy cerca lo que quería conseguir. Hoy en día no habría cometido tantos. De hecho, una vez dentro de su ordenador podría haber hecho lo que me diera la gana, no debería haber actuado tan a prisa ni exponerme tanto".

No obstante, su consuelo es que simplemente copió un programa de forma ilegal:

"Me adentré en un ordenador de otra persona. Vale, es un delito, pero si lo denunciase seguramente ahora se reirían de él, porque, aparte de mi intrusión, él no podría demostrar que yo había sido materialmente la persona que robó su tabla de registros, ni que los programas eran míos. Me ocupé muy mucho de ocultar ese tipo de pruebas". Esa es una forma de explicarlo bastante condescendiente, porque la realidad es que Nefty sí registró las copias de sus compañeros de clase, y sí colgó a su sitio de warez preferido la copia crackeada "y libre" del programa, lo que, muy probablemente, llevó al programador "a la ruina", ya que a día de hoy su programa no ha vuelto a tener actualización.

- Protección.

(28)

no como cracker, sino como hacker negra, en su intrusión, lo cierto es que la víctima tuvo también muchísimos. El primero de ellos es incluir en un formulario una dirección personal, dirección que, además, usaba en multitud de cuentas de Internet y que desvelaban su identidad. No es una buena fórmula mezclar direcciones personales con direcciones de empresa. Pero más grave aún fue caer en la trampa tan antigua de clickear un enlace dentro de un correo electrónico y ejecutar un complemento ActiveX. En éste sentido, la cracker interpretó muy bien su papel de "seductora estafadora", incluso podría haber ido más allá si sus intereses fueran otros, creando un perfil falso para tal persona en su red social preferida.

Otro de los errores de la víctima fue no tener un sistema para monitorear sus hilos de ejecución, y no mirar siquiera qué tenía en su carpeta de inicio o qué se ejecutaba automáticamente. Existen muchos programas para poder informarnos fácilmente de todo ello, pero muy pocos usuarios, realmente, se dan cuenta de su utilidad. Respecto al Whois en un dominio de Internet... es inexplicable que, con todos los problemas de seguridad que conlleva, los Whois no sean anónimos por defecto, y sigan dejando a la vista de cualquier intruso la dirección personal de todo ciudadano que quiera tener su propio dominio.

(29)

Finalmente, el dejarse ejecutar un script mediante shell (o de forma autónoma, como podría también hacerlo en Windows, con JScript o VBScript) y no cortar la conexión de forma inmediata, es algo que roza lo inaudito. Aunque tiene su explicación: ¿cuántos de nosotros, realmente, si vemos que se ejecuta una ventana de script deprisa y aceleradamente, se nos ocurriría como primer movimiento cerrar nuestra conexión? Muy pocos, de ahí el éxito de programas auto instalables, que no son más que virus, muy famosos y extendidos por todo tipo de páginas web.

La última idea de amenazar a la cracker podría dar para un extenso debate. ¿Cómo debemos actuar cuando nos sentimos víctimas de algo así? ¿Debemos acudir directamente a la policía, o ponernos en contacto con el cracker o hacker? En la mayoría de las ocasiones, el hacker muy probablemente accedería, si se lo decimos educadamente, a querer llegar a un acuerdo. La mayoría de ellos una vez descubiertos se sienten totalmente desolados, si llamamos a la policía (en caso de tratarse de una gran compañía), probablemente jamás sepamos cómo han accedido al sistema, y los agujeros de seguridad seguirían allí, además de exponernos en gran medida a que difundan el contenido que han obtenido ilegalmente. El error que cometió la víctima en éste caso ha sido empezar amenazando a la cracker, imaginándose,

(30)

erróneamente, que ella se amilanaría. El resultado fue mucho peor, de hecho, un hacker negro podría haber llegado incluso a eliminar todo el contenido del ordenador y quién sabe cuántas cosas peores. Además, en éste caso la relación entre la acción y la cracker partía más que nada de una intuición de la víctima, y aunque es cierto que ante una investigación profunda por parte de informáticos expertos en seguridad les llevaría a ella, no lo es menos que cuando se trata de una ordenador personal y de la intromisión para obtener un programa, algunas veces la policía es más pragmática. La primera alternativa de llegar a un acuerdo con la cracker quizá hubiera sido lo mejor, pero a veces la víctima se siente tan sorprendida y cabreada, que no se toma tiempo de recapacitar en lo que mejor resultado le daría. Al fin y al cabo, para la víctima de este caso siempre le habría sido mucho mejor regalarle esas cuarenta licencias a Nefty, que no ver su aplicación distribuida gratuitamente por todos los rincones, con la consiguiente pérdida, ya irreparable.

(31)

Obteniendo las contraseñas de Gmail

Darkday es un cracker que conoce profundamente la programación en diferentes lenguajes. Su último trabajo en una auditoria le aburría, él lo califica como "extraordinariamente monótono y sin incentivos". Por "incentivos" no se refiere al dinero, obviamente. Si eres muy bueno programando aún hay muchas compañías que se pelearían por ti. Pero los incentivos que le daban a Darkday en aquélla empresa (una multinacional de muchísimo prestigio, por cierto) no eran nada atractivos para él:

"Te ofrecían vales de comida en su cafetería. Para mí era un castigo, era odioso. Prefiero comer a bocadillos que en cafeterías de una compañía donde lo único que te encuentras son las mismas caras hablando de su trabajo, era como seguir trabajando. También tenías transporte subvencionado, si ibas en tren te pagaban el billete (o parte del mismo). Pero yo tenía la estación a casi una hora de mi casa, perdía cada día un tiempo precioso sólo por tenerles contentos con el dinero que me daban por transporte".

Para él, usar los incentivos que la compañía le ofrecía era más un castigo que otra cosa:

(32)

descuentos? Y si no lo hacías se enfadaban, era como si les despreciaras o algo parecido".

Darkday programaba en muchas ocasiones en Power Builder, un potente lenguaje de bases de datos. Según él tenía un supervisor que desconocía totalmente ese lenguaje:

"Nunca entendí cómo había llegado el chaval aquél a ese puesto. Cuando me hizo la entrevista para entrar me hablaba de cosas inverosímiles, no hacía más que insistirme preguntándome cuánto quería ganar. ¿Que cuánto quería ganar? ¡Pues lo máximo posible! La mayoría de las personas que trabajan en consultoría son estúpidas, son los restos de empleados de otras empresas que no los quieren en ninguna otra parte, o están allí porque no tienen otro sitio a dónde ir."

Darkday recuerda las llamadas que le hacían desde la central: "era absurdo, me llamaban desde la central a cualquier hora y sin avisar, porque allí estaba el único tipo que sabía interpretar lo que yo programaba. ¡Y se supone que esa empresa llevaba el software de muchas de las mayores compañías del mundo!".

No tardó en marchar de allí, y confiesa sentir en aquél momento un gran alivio:

(33)

"En pocos momentos me sentí más aliviado que cuando me largué de aquél sitio, era agobiante. Respiré tranquilo cuando me fui de allí".

Encontró luego algún trabajo limpiando, que le permitió obtener algún dinero, aunque muy poco:

"De cobrar un buen montón de dinero al mes, pasé a cobrar una ridiculez. Además, en un entorno en donde nada de lo que sabía valía ni un centavo. Algunas de mis compañeras se burlaban diciéndome que para qué hablaba de informática si primero tenía que aprender a limpiar. Tenían razón. No eran buenos tiempos, pero me sirvió para aprender un poco de humildad".

Cuando acabó el contrato de limpieza se dedicó a pasarse las horas ante el ordenador:

"Ya ni programaba, me pasaba días enteros en Facebook sin hacer nada. Bueno, perdiendo el tiempo, pero nada de provecho".

Allí conoció a una chica que, aunque ella no estaba muy por la labor de entablar amistad con él, fue la única que le hizo medianamente caso, quizá por lástima, o simplemente porque necesitaba su ayuda en varias ocasiones, ya que Darkday le solía ayudar en las dificultades que tenía con su Mac.

(34)

Fue entonces cuando se quedó tan prendado de ella que se vio en la necesidad de conseguir el acceso a su cuenta de Gmail. La había seguido los pasos, gracias a sus habilidades, de hecho sabía todos sus movimientos en la Red:

"No es muy difícil para alguien con un poco de práctica y paciencia obtener información, a veces muy valiosa, de alguna persona que te interese. Yo llegué a obtener hasta el currículum de esa chica, que había colgado en la red de una compañía y dicha empresa se había despreocupado totalmente de asegurar y privatizar el acceso a esos archivos. De hecho, usaban lo que se denomina "seguridad mediante oscuridad": suponían que sólo quienes conocieran la URL directa del PDF (el propio usuario) podría acceder. Pero no me fue muy difícil averiguarla". Llegó un momento en el que supo que había alguien que también estaba enamorado de la chica, aunque en realidad Darkday cree que era más que un amigo y que estaban en una etapa previa de noviazgo. Celoso por ese descubrimiento, se puso a la tarea de saber más. Nos cuenta cómo lo hizo:

"En Gmail puedes hacer que te envíen el restablecimiento de contraseña si la has olvidado. No voy a dar los pasos que hice para lograrlo, obviamente, pero la chica me escribió por Facebook que no podía acceder a su correo. Como siempre la ayudaba en esos temas, ella confiaba

(35)

totalmente en mí, de modo que le dije que se la restablecería yo y que se la enviaría, y que, a continuación, ella la cambiara. Aceptó. No tardé ni dos segundos en configurar su correo para que reenviara todos sus mensajes a un buzón que yo manejaba. Aunque si no hubiera aceptado podría haberle enviado un link a una copia de Gmail falsa para obtener las credenciales. No es difícil de hacer y casi todos pican".

Con Gmail puedes configurar de forma automática que cualquier correo que llegue a la bandeja de entrada se reenvíe a otro. Esta es una gran función, sin duda, pero su peligrosidad (y atractivo para un hacker) es que no deja huella, simplemente aparece en uno de los apartados de configuración que, por cierto, la persona que usa el correo no suele visitar casi nunca. La acción, al ser totalmente transparente, hace que el auténtico usuario ignore lo que está ocurriendo y no se de cuenta de que tenga su correo "pinchado".

No obstante a Darkday no le sentó muy bien esa acción: "Me sentía mal; ella estaba en su derecho de salir o elegir a quien quisiera. Así que no tardé en volver a acceder a su correo y eliminarle la redirección, y luego deshabilitarle la contraseña para que el sistema volviera a pedirle una nueva".

(36)

- Protección.

Este es un buen ejemplo de lo mucho que ofrecen las nuevas tecnologías a los hackers, y lo fácil que les resulta acceder incluso a lugares en donde supuestamente su seguridad es máxima, como Gmail. También es un buen ejemplo de lo mucho que les afecta la falta de expectativas, la rutina y la desidia que impera en la mayoría de consultoras en la actualidad, abocadas a cumplir unos plazos y a contratar a personas a las que, en la mayoría de las ocasiones, no saben bien dónde amoldarlas.

También es una advertencia para todas las personas en Facebook que dejan su seguridad informática a personas totalmente desconocidas. Aunque pase mucho tiempo con determinada persona en sesiones online, tiene que tener en cuenta que la otra persona puede que no sea quien dice ser. Ciertamente, en el mundo real también se da este tipo de comportamientos, pero es mucho más peligroso cuando dejamos toda nuestra intimidad al aire en forma de currículums, dándoselos a empresas que, supuestamente, dedican grandes esfuerzos en vigilar la seguridad de sus archivos. Tenga cuidado a quienes facilita sus archivos privados, especialmente aquéllos con información confidencial, como datos privados de los Currículums Vitae.

(37)

Las altas esferas

Hay otro mundo, otro estilo de vida lleno de glamour y seducción que el común de los mortales apenas puede llegar a vislumbrar su brillo. Es el mundo del lujo, de las altas finanzas, de la fama y el dinero.

A Justicer se le podría definir como un "hacker negro". A él mismo le gusta definirse y que le definan así. Según su manera de ver las cosas, "los hacker blancos no existen, es simplemente una estrategia para tener contentos a la policía, a los jueces y a los políticos, pero no son reales. Todos los hackers por definición somos hackers negros. Porque entrar en un sistema para luego decírselo a la empresa, que no te han pagado ni un centavo y que, encima, te han quitado horas y horas de sueño, y que en agradecimiento la mayoría de las veces lo único que consigues es una denuncia, es de idiotas. De hecho, la prueba más clara de que los hackers blancos son solo una invención es que muchos de los que se dicen hackers blancos han acabado con sus huesos en la cárcel. ¿Qué clase de hacker blanco es alguien que acaba entre asesinos? No, los hackers blancos es simple cuento". Bueno, no deja de tener parte de razón, pero es su punto de vista. Además, es obvio que esa forma de pensar le sirve a Justicer para justificar sus propios actos. Lo que sí

(38)

es cierto es que la frontera entre hacker blanco o negro muchas veces es tan sutil que hasta a muchos de los propios integrantes de la Scene les cuesta diferenciarla. Pero el relato que nos ocupa no va de eso. Nos lleva a un mundo de flashes de luz y peligros (y también de forma de vida) ajeno a la realidad de los miles de millones de almas que pueblan el planeta, para las cuales no deja de ser unos simples reflejos de sueño que apenas pueden llegar a rozar.

El objetivo de Justicer era una famosa y acaudalada empresaria, con fama mundial, a la que llamaremos "Thania":

"Elegí a Thania porque es una chica a la que se supone inteligente y guapa. Lógicamente, la elegí también por ser mujer: no me producía el mismo placer y excitación si se tratase de un hombre. Ya que iba a hacerlo, ¿por qué no elegir un objetivo bonito y lindo? Bueno, en cierta forma puede que estuviera algo enamorado de ella, ¿quién no?". Justicer vivía con sus padres. Sin trabajo, apenas sin estudios -los continuos viajes de sus padres le habían hecho imposible tener una educación formal, y sus padres apenas sabían leer y escribir- aprendió todo lo que sabía de manera autodidacta:

(39)

libros de ordenadores. La mayoría de ellas eran un desastre, apenas prestaban atención a los libros de informática, solamente actualizaban secciones de narrativa. Espero que eso haya cambiado ahora".

Lo que no podía alcanzar leyendo libros de ensamblador o de administración de redes lo hacía con su propia experiencia, practicando y descargando manuales de Internet.

Pero, ¿qué es concretamente lo que quería de Thania?: "Simple: quería acceder al contenido de su ordenador personal, saber a dónde iba, ver con quién salía, sus amistades... su forma de ser y de pensar. En definitiva: conocerla. Alguien como yo ni en sueños podría aspirar a conocerla en persona, a que me la presentaran o, simplemente, a que me hablase. Alguien como yo tenía que hacer las cosas así si quería conseguir algo de ese tipo de gente".

Pero no era fácil:

"Lo primero hay que entender que ese tipo de personas se mueven mucho. No son los típicos altos directivos que les hackean todo el día sus cuentas en países como Estados Unidos, que no salen de su despacho y que son adictos al trabajo. No. Este tipo de gente viaja en jets privados, hacen cruceros, tienen contactos alrededor del mundo

(40)

entero. Un día están aquí y al siguiente en las Malvinas. Pero sabiendo eso, y teniéndolo presente -porque eso explica que un día puedas conectarte por VPN a determinado ordenador y al siguiente no, y eso no quiere decir que te hayan descubierto-, hay que ser paciente". Aunque suene raro, su primera acción fue bastante "analógica":

"Era una manera de incentivarme a mí mismo. Quería su número de teléfono personal, y para conseguirlo se me ocurrieron varias formas. La primera era la más fácil, y fue, curiosamente, la que funcionó. Era simple y pura ingeniería social".

Justicer buscó en Internet el organigrama de la compañía: "No lo tenían en su web corporativa, o, más exactamente, no lo tenían como tal. Pero siguiendo el llamado 'mapa del sitio' pude hacerme una idea de cómo estaban estructurados los diferentes departamentos".

El 'mapa del sitio" es una especie de "plano" que sirve de guía en la mayoría de los portales de Internet que son algo complejos, o de contenido dispar. En las compañías y corporaciones los diseñadores del site web suelen seguir los esquemas lógicos de la empresa, dividiéndolos virtualmente en secciones, tal y como suele estar la compañía en la realidad.

(41)

Estudiando el mapa, Justicer pudo completar los espacios que le restaban de las diferentes secciones de la empresa. Parece algo banal y que la mayoría de personas obviarían, pero eso nos da una idea de lo meticulosos que llegan a ser los hackers. Además, podría serle de mucha utilidad en el futuro:

"Llegué hasta el punto más cercano que pude a Thania en la escala de altos directivos, concretamente, a su secretaría de dirección".

En muchas de las empresas la Secretaría de Dirección suele ser un departamento de apoyo a la alta gerencia. No es la secretaria en sí, sino una sección auxiliar:

"Llegar allí supuso obtener unos cuantos rangos de direcciones IP y números de teléfono, pero ahí se acababa todo, era un callejón sin salida".

Con ese rango de teléfonos, el hacker se acercó a un locutorio telefónico:

"Tenían guías de teléfonos de todas partes, algunas un poco antiguas, pero seguían siendo útiles. Normalmente la gente iba allí porque podía hacer llamadas más baratas, pero también para informarse de números de teléfonos, por lo tanto no era raro que alguien llegara tranquilamente y se pusiera a anotar listados enteros de números, no llamabas la atención".

(42)

Eso hizo él:

"Había casi una página llena de números de la compañía. Curiosamente en Internet muchos de ellos no estaban, pero nadie se había preocupado de ocultarlos en la guía en papel".

Se hizo con un número de secretaria:

"Y llamé. Yo quería el número de la propia Thania, me imaginé que no se lo darían al primero que llamara... ¿O sí? Si no lo intentaba no lo sabría. Por regla general las altas secretarias tienen una norma básica: ser amables. Están acostumbradas a tratar con millonarios tan excéntricos y a lidiar con personajes de alto standing que tienen que ser gentiles, pero cuidadosas con la información. Algo muy difícil de complementar cuando te llama un hacker que nada tiene que perder".

Y ella, obviamente, podría perder su puesto de trabajo: "O algo peor todavía: enfadar a su jefa 'jefísima'. Así que llamé y sin apenas saludarla le dije que quería hablar con Thania. Se quedó a cuadros. No se lo esperaba en absoluto. Me preguntó: '¿A qué Thania se refiere?' Le dije de inmediato, secamente: 'con Thania, ¿no conoces a tu jefa? Me dio su número pero no sé dónde está ahora, póngame con ella'. Ése 'póngame con ella' es crucial. Era una forma de decirle que ya teníamos algún negocio

(43)

juntos, que habíamos hablado en otras ocasiones. Me pidió que esperase unos instantes, y supuse que se estaría comunicando con ella por línea interna. Pocos segundos después me dijo: 'No está en éste momento'. ¡Bingo! Era lo que esperaba. De hecho, es muy probable que si llamas a ese tipo de gente de la forma que yo lo hice, sin concertar entrevistas ni citas, no esté".

"Ahora tenía que dar el paso siguiente, el más difícil: tenía que ser convincente. Para dar presión, había llamado desde la calle, con número privado y con ruidos de tráfico y gente. Estaba en mi ciudad, pero ella no tenía modo de saber si llamaba desde Nueva York o Tokio: '¿podría darme su número y así la llamo yo? No tengo la agenda aquí. Necesito contactar con ella ahora mismo'. Creo que le di más argumentos, y mucha 'paja', pero en fin, en lo básico es eso lo que le dije. No dudó un instante: me dio su número privado".

Justicer había obtenido, con sólo una llamada de teléfono, sin llegar siquiera ha identificarse, el número personal de Thania:

"Algo increíble, pero aparte de alimentar mi ego, en la práctica no pensaba que me serviría de mucho. ¿Qué podía hacer con él? ¿Llamarla y decirle que estaba buenísima? Era absurdo. Eso sí, me sirvió como motivación para intentar conseguir mi propósito inicial".

(44)

Pero para llegar hasta su ordenador aún había un largo camino que recorrer:

"Tenían muchos servicios externalizados, pero había algunos dominios que estaba claro que corrían en sus propias máquinas: servidor de correo, boletines, y servicios de suscripción parecidos".

Con una herramienta de DNS inversa y escáner de puertos, intentó encontrar algún agujero por el que entrar: "Lo que quería era llegar a su VPN móvil, que seguro tenían, una compañía así siempre la tiene. No me interesaba para nada los demás servidores, a no ser que pudiera usarlos para llegar a ella".

Investigando los servidores comprobó que había algunos pequeños fallos de configuración, pero nada más:

"Una tarde me encontraba ya hastiado. No se me ocurría nada. Jugueteaba y garabateaba con un lápiz sobre el papel, cuando se me ocurrió algo: la red tenía una estructura en anillo, en realidad, el administrador no se había preocupado mucho de su diseño. Simplemente había comenzado con un pequeño anillo y le había ido añadiendo nodos según los necesitase. De esta manera te podías encontrar con nodos antiguos inservibles que ya nadie miraba para ellos".

(45)

Mediante un portal de archivos de Internet, Justicer logró "volver atrás en el tiempo":

"Era como viajar al pasado. Iba volviendo años y años hasta las primeras páginas. Eso me hizo tener una idea más clara de los servidores y cómo los habían estado estructurando".

Muchas de las direcciones de los árboles web ya no existían, pero otras sí:

"Soy un experto en sockets. Me fascinan. Así que en cuanto di con un servidor que mantenía una versión antigua, fue como recibir un premio de lotería. El servidor no contenía muchas cosas, por eso precisamente no habría llamado la atención de nadie. Era simplemente algo que se había quedado atrás".

Durante bastante tiempo se dedicó a escanear puertos: "Debí llegar hasta el cincuenta y pico mil. Hasta que di con uno abierto. Era un servicio IRC antiguo, seguramente para alguna sesión que habían usado tiempo atrás con el fin de comunicarse entre ellos. ¿Pero qué narices hacía un servidor IRC allí? Seguramente el administrador pensó que nadie lo usaría. Fue fácil 'engancharme' a él y hacer un listado de dónde estaba ubicado y el software que corría".

(46)

"Un servidor IRC no es más que algo que enlaza entre dos puntos, pero nada más. Para llegar a él había que estar en la misma máquina que lo ejecutaba, algo impensable para mí".

Pero sí podía hacer que hiciera cosas para las que no estaba, en un principio, pensado. De hecho podía hacer que funcionara como un programa de FTP (transferencia de ficheros), e incluso abriendo y cerrando puertos:

"En realidad los sockets funcionan como archivos. Tú puedes escuchar, escribir, o borrar sobre ellos. Me di cuenta que podía subir al servidor el programa que quisiera, y abrir y cerrar puertos".

Programó un script para que escuchara detrás del cortafuegos de la empresa:

"Ellos tenían el servicio funcionando con Oracle bajo Solaris y con NFS y Remote Procedure Call (RPC). Disponían de IP móvil cuyas direcciones auxiliares eran gestionadas por lo que se denomina un Agente Interno. Accediendo a él podías acceder al tráfico que se conectase y su ubicación".

La explicación técnica es farragosa, pero, básicamente, lo que hizo Justicer fue una suerte de equilibrios sobre las conexiones:

(47)

pero en aquél momento se me ocurrió así. Lo que ideé fue una especie de 'túnel IP' que redireccionaba todo el tráfico VPN a un puerto y lo llevaba hacia el firewall, siguiendo por él. Para las conexiones era algo totalmente transparente. Yo modificaba luego los registros IP móviles, para leerlos, ya que por seguridad son transmitidos codificados y autentificados con MD5. Tras éste proceso sabía quién y desde qué dirección se conectaban, sabiendo de dónde llegaban los paquetes". Pero eso no suponía tener a Thania. Aún:

"Había que armarse de paciencia. El proceso era laborioso, y a veces había tanto tráfico que era imposible de seguir o cumplir. Por eso me conectaba a horas dispares. Lo bueno es que Thania no tenía horarios, y podía estar usando su VPN en horario de trabajo, cuando el uso es masivo, o a media noche, cuando prácticamente nadie lo usaba".

Y por fin, la victoria:

"Tres meses después me encontré con los datos de una conexión entrante. Era una conexión por Internet con tráfico de una dirección ubicada en Singapur. Era ella con toda probabilidad. Conseguir su dirección en la red fue fácil, pero más difícil fue lograr entrar en su portátil. Tenía un firewall muy bien configurado, pero cuando establecía la conexión yo podía redirigirle los paquetes.

(48)

El firewall debía estar dándole la lata sin parar, y debía volverla loca, porque acabó desactivándolo".

"En su ordenador encontré un archivo de claves. Era fácil ver su contenido: solamente tenía que ejecutar un archivo en modo local de su navegador web, algo que podía hacer por DCC (conexión directa). Alguien le habría dicho que protegiese sus contraseñas pero ella, simplemente, pasaba de hacerlo. Y esto es así porque encontré sus claves en un simple archivo .txt. Ejecuté su cámara web, ¡y la pude ver a ella! Parecía estar en la habitación del hotel, sentada en la cama. Pero la luz de activación de la cámara debió asustarla, apagó el ordenador y seguramente llamaría a su administrador de redes para consultarle el problema del firewall".

Pero con las contraseñas, Justicer había conseguido acceso a toda la vida de Thania:

"Podía entrar en sus perfiles sociales, en su correo, leer su agenda... Con una simple aplicación desde mi PC, aunque usaba mi smartphone con una wi-fi crackeada por el tema de los registros".

Fue entonces cuando se encontró con la cruda realidad del mundo "del glamour y el éxito":

"Era un e-mail que le había escrito a una amiga. Estaba en la bandeja de elementos enviados. Omitiré la parte más

(49)

morbosa, pero, básicamente, le contaba los sacrificios 'que en su posición mujeres como ella tenían que hacer'. En el correo adjuntaba dos fotos donde se la veía con un señor, muy viejo, un magnate indio en, digamos, 'posturas comprometedoras'. Busqué más mensajes de ella con ésta amiga, la cual parecía ser su pañuelo de lágrimas, y muchos eran de un estilo parecido. O le confesaba que habría vendido 'hasta a su madre' por obtener tal operación, o... En fin, como te podrás imaginar, todo el romanticismo que yo llegué a sentir por ella se esfumó en un momento. Parecía una mujer sin dignidad, sin principios".

Pero recordemos que al principio decíamos que Justicer era un "hacker negro", así que... ¿Qué hizo después?

"Sí, bueno, le instalé un virus muy bonito en su ordenador, que sobrescribiera su MBR. Luego le fundí varios de los servidores de su empresa. El daño podría haber sido mayor, pero no quería que me pillasen, así que mi golpe se lo llevaron algunos de los servicios más alejados al centro neurálgico que fue mi intrusión. Aún así el daño no debió ser insignificante. Unos cuantos miles de dólares seguro que les costó repararlo".

Justicer no quiere confirmar si aún posee acceso a esa compañía:

(50)

penetrar tan internamente en las redes de una corporación tan grande. Pero ya no me motiva. Quizá si algún día se dan cuenta de algo de lo que hice y me acusan, vuelva a recurrir a ello, quién sabe".

- Protección

Lo que ha hecho Justicer fue algo tan profundo y salvaje, que hablar de protegerse ante este tipo de hackers es casi una temeridad, porque acabarán accediendo de alguna forma. No obstante siempre es bueno recordar que, cuanto más difícil se lo pongamos, más oportunidades tendremos de salvaguardar más partes conflictivas de nuestra red. En primer lugar, la secretaria nunca debió facilitarle dato alguno, debería haber sido informada de un protocolo a seguir ante estos casos. En segundo lugar, el administrador de la red no debería haber consentido que el mapa se estructurase según estaba la compañía, eso le dio pistas sobre a dónde dirigirse para obtener mejores resultados. Un mapa web debe diseñarse siempre de acuerdo a lo que ofrecemos en cada página, no siguiendo el orden como se erigen los departamentos.

Nada que decir sobre el error garrafal y la desidia de dejar zonas abandonadas, e incluso con un servidor aparentemente inofensivo de IRC. Esto es algo intolerable que, desafortunadamente, se da con demasiada frecuencia.

(51)

Sobre la gestión y ejecución de los servicios de conexión Oracle y VPN, más que defectos de éstos es un uso equivocado. El administrador de sistemas debe pensar cuando los configura que pueden usarse de una forma diferente "a la oficial", y debe ponerse en ése supuesto para adoptar políticas de seguridad adicionales. Si se hubieran utilizado soluciones reforzadas (los enlaces inalámbricos admiten medidas accesorias de seguridad que no suelen estar documentadas pero que permiten su uso para aumentar la fiabilidad e integridad del sistema en su proceso de transferencia de datos) al hacker probablemente no le hubiera sido tan sencillo desviar los paquetes.

Por último, el acceso real al ordenador de la víctima con la argucia de hacer que su firewall le resulte molesto parece algo inocente, pero que a veces da buen resultado. Siempre se debería insistir que este tipo de acciones suelen darse cuando la conexión está infestada, y que en ningún supuesto se debería tomar como solución retirar el software que nos protege.

(52)

Asalto al tren del dinero

Hay una película de Hollywood que lleva ese mismo encabezado, y aunque no puedo decir que sea una de mis favoritas, su nombre viene bien para describir la historia que vamos a relatar.

Las compañías dedican muchos recursos para intentar evitar que los hackers hagan estragos en sus redes informáticas, pero ¿qué ocurre cuando el peligro está dentro, cuando un "topo" se encuentra en el interior de la red, o cuando logran colar a uno? No tiene por qué ser una persona malévola o elegida "ex profeso", muchas veces puede convertirse en un peligro un trabajador que se sienta despreciado, desprestigiado o, incluso, desmotivado. Hasta el trabajador más implicado puede llegar a sentirse frustrado. Obviamente, de sentir frustración a convertirse en un hacker dista un mundo, pero por algo se empieza.

La compañía de esta historia era una empresa del metal que llegó a perder miles de dólares en proyectos por culpa de un trabajador de este tipo. Este trabajador no tenía los conocimientos necesarios, ni los recursos, para lograr tales propósitos, pero coincidió con contactos que sí los tenían.

(53)

El trabajador, al que llamaremos Yerai, había sido despedido durante un ajuste de plantilla. Las compañías europeas y estadounidenses de éstos sectores industriales se ven constantemente obligadas a afrontar etapas de reconversión debido a la competencia de la industria coreana y china. Por lo tanto Yerai, como otros tantos de sus compañeros, se vieron de la noche a la mañana en la calle y rozando los cincuenta años, una edad en la que es prácticamente imposible que nadie te vuelva a contratar. Así, se vio prácticamente de improviso ahogado en deudas y con un ritmo de vida que no estaba nada acostumbrado a llevar.

Yerai se pasaba la mayoría del tiempo en Internet. No era experto en informática y para nada le interesaban esos temas, pero conversaba en salas de chat y en redes sociales. Como en esos sitios es de lo más habitual que la gente se cuente sus vidas, su historia enseguida llamó la atención de Ray. Este Ray era considerado por muchos como un "gurú", una especie de profesor que enseñaba lo que no estaba en los libros a todo un ejército de "newbies" ávidos de conocimiento. Esto lo hacía en foros o canales de chat reservados y específicamente creados al efecto.

(54)

explicaciones eran gráficas y didácticas y, lo mejor de todo: funcionaban. De modo que a nadie le importaba si sus acciones aparecían o no en los periódicos. Aún así, Ray quería realizar una intrusión que le diera aún más fama y prestigio entre los suyos y que, a la vez, le reportara un buen puñado de dólares. Él tenía los conocimientos necesarios en ordenadores, y Yerai la suficiente información sobre el terreno, fue sólo cuestión de tiempo que ambas personas se dieran cuenta que podían ganar mucho dinero con ello si se unían.

El ex-empleado le dibujó planos precisos sobre las instalaciones más interesantes de los edificios de la compañía, con indicaciones muy detalladas respecto en dónde se encontraban las zonas de más seguridad, qué había que hacer para acceder a ellas, turnos de los guardias y de los equipos de trabajo, formas de operar de los informáticos... Especialmente valioso fue el patrón de contraseñas que descubrieron (aunque Yerai apenas se había percatado de ello). Y es que el administrador tenía una forma curiosa de codificar las claves: simplemente era el nombre de la persona (la inicial del nombre y el apellido completo, sin espacios) seguido del año en que había entrado en la compañía. Era muy fácil conocer el nombre y los apellidos, sólo había que tener sutileza y una cámara de fotos para captarlo de las identificaciones que portaba el personal. Y la fecha de entrada con un mínimo

(55)

de ingeniería social podía obtenerse. No se puede saber si era por desidia o por simple rutina de que "nunca pasa nada" que el administrador realizaba sus passwords así, pero es algo más común de lo que pensamos. De hecho, en algunas de las compañías en las que trabajé yo mismo, el administrador seguía un patrón parecido. Cuando le hice ver lo erróneo de su procedimiento poco menos que me puso el grito en el cielo y me dejó caer que yo hiciera mi trabajo y le dejase a él hacer el suyo. Éste tipo de comportamientos no ayudan en nada a las empresas, y lo peor es que cuando ya es tarde todo el mundo llora y nadie quiere hacerse responsable de nada.

Ray probó desde su sistema la forma de entrar, y aunque se topó con un firewall bastante burdamente configurado y un bouncer, no consiguió ir más allá de los primeros niveles. Se le ocurrió entonces una manera un tanto absurda de llegar a los niveles superiores de la red interna de la empresa: le pidió a Yerai su pase de seguridad. El pase era una tarjeta de plástico con banda magnética, muy bien diseñada estéticamente pero con un error garrafal: llevaba el nombre y los apellidos de la persona, junto con un número, ¡pero carecía de fotografía! Es decir: cualquiera podría cogerle su tarjeta a uno de los trabajadores y suplantar su identidad. ¿Hay algún guardia de seguridad que sepa los nombres y apellidos de todos los empleados de una gran o mediana empresa, y que se

(56)

dedique a leerlos cada vez que pasan a su lado? Yo creo que ninguno. Es más, sospecho que es materialmente imposible que hagan algo así. Por lo tanto es mucho más inverosímil que, al despedir a alguien en la compañía, ésta no se preocupe en retirarle su pase. Más aún: ni siquiera en anulárselo. Porque, efectivamente, el pase de Yerai continuaba funcionando.

Cualquier hacker, después de algo así, se habría dirigido a las zonas de acceso de alto nivel o al ordenador físico de control de derechos de acceso con el fin de darle a su propio pase vía libre en todo el complejo, pero a Ray no le hizo falta: Yerai había trabajado en mantenimiento, por lo que su pase tenía permisos hasta en las partes más restringidas. Podía ser suerte, pero la verdad es que fingiendo ser cualquier otro empleado no le habría sido difícil darse permisos a sí mismo, o incluso acercarse a una mesa y entretener a un trabajador mientras le robaba su tarjeta, ya que enseguida descubrió que muchos de ellos las dejaban tranquilamente en sus escritorios, o las llevaban en los bolsillos de la camisa. En último término, podía haberse hecho con el bolso de cualquiera de las trabajadoras, ya que algunos estaban en armarios de consignas en el lugar de los celadores, sin llave y en muchos momentos sin vigilancia. Simplemente acercándose a uno de los teléfonos y marcando la extensión del celador (escrita sobre el propio teléfono de

(57)

éste) podría hacerse pasar por un superior y reclamarle para cualquier cosa con el fin de que dejase libre su puesto de trabajo. Como se puede ver, había cientos de maneras de conseguir una identificación de mayor nivel, o de modificar los derechos de la suya.

Ray no era especialmente hábil con las palabras, ni en las relaciones sociales, lo que le dificultaba en gran manera lograr avances en sus objetivos utilizando ingeniería social. Él prefería hacerlo todo delante de un ordenador, ante las máquinas se sentía más a gusto, más "en su mundo". Pero incluso alguien con unas limitaciones como él pudo conseguir información de mucha utilidad.

Lo que hizo fue dirigirse al departamento de informática. Gracias a las preciadas indicaciones de Yerai, sabía con seguridad dónde estaba. Pero aún así preguntó a un par de trabajadores que encontró en su camino "para aclararse la garganta".

El departamento de informática era una sala con varios escritorios sin dividir entre ellos y sin biombos, casi como si se tratase de un comedor o un call-center (un "centro de llamadas"). Observó disimulando con su smartphone, como si llamaba y hablaba con alguien, y luego de un rato se fue. A la hora del tentempié se acercó a la cafetería y vio en la barra a dos chicos que había

Referencias

Documento similar

Para ello, trabajaremos con una colección de cartas redactadas desde allí, impresa en Évora en 1598 y otros documentos jesuitas: el Sumario de las cosas de Japón (1583),

En suma, la búsqueda de la máxima expansión de la libertad de enseñanza y la eliminación del monopolio estatal para convertir a la educación en una función de la

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

En este sentido, puede defenderse que, si la Administración está habilitada normativamente para actuar en una determinada materia mediante actuaciones formales, ejerciendo

En la parte central de la línea, entre los planes de gobierno o dirección política, en el extremo izquierdo, y los planes reguladores del uso del suelo (urbanísticos y

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

6 José Carlos Rovira, en su estudio Léxico y creación poética en Miguel Hernández, expone lo que para él simboliza la figura del rayo: “El poeta es rayo que no cesa,

El objetivo final de la política reformista de Deng, era que China llegara a ser una potencia de primera línea mediante un crecimiento económico y el desarrollo tecnológico,