Beruflich Dokumente
Kultur Dokumente
Hackers y Crackers
Chantaje
Accediendo a smartphones
De carterista a hacker
El espa espiado
2
A modo de resumen
Cdigos de ejemplo
Direcciones tiles
Aclaraciones f inales
Hackers, Crackers, e
ingeniera social
Manuel Gris
ndice
Introduccin
Las cajas registradoras de las tiendas en sus manos
Chantaje
Obteniendo las contraseas de Gmail
Las altas esf eras
Asalto al tren del dinero
La mina de oro de las cabinas de telf onos
Accediendo a smartphones
Espionaje industrial en su propia casa
De carterista a hacker
Los hackers de la nobleza
El espa espiado
Los telf onos listos no son tan listos
4
A modo de resumen
Brev e glosario de terminologa
Cdigos de ejemplo
Direcciones tiles
Aclaraciones f inales
Sinopsis
Tras el best seller de su libro "Tcnicas de seguimiento", Manuel Gris
regresa con su esperadsimo libro sobre seguridad inf ormtica. En
"Hackers, crackers e ingeniera social" conocers uno de los
aspectos menos conocidos de los hackers mediante sorprendentes
historias que te abrirn los ojos a una realidad alternativ a, a un
mundo en donde nada es lo que parece.
Manuel Gris nos descubre las oscuras amenazas a las que se
enf rentan no slo polticos, compaas multinacionales y gobiernos
del mundo entero, sino tambin el ciudadano de a pie. Este libro te
abrir los ojos a la autntica realidad hacker en el mundo de hoy.
Introduccin
Cmo v iv en los hackers? Cmo operan para llev ar a cabo sus
ardides? En este libro descubrirs la f orma de actuar de muchos de
los hackers y crackers, as como su manera de mov erse entre el
complejo entramado social, tejiendo sus sutiles redes para lograr sus
objetiv os.
Mediante historias nov eladas de las operaciones ms complejas,
Manuel Gris nos ensea cmo af ectan, a da de hoy, las activ idades
de hackers a empresas y particulares. Fuera del mov imiento
romntico de la cultura hacker, se nos muestra un escenario de
artif icios sociales creado para "mantener el rebao", la masa social,
sumisa, y el cual los hackers saben aprov echar muy bien. Al
margen de las corrientes polticas, escrutndolo todo, los hackers
son capaces de ir ms all de los simples trucos psicolgicos y
pueden inf iltrarse en las ms altas esf eras del poder. No es en v ano
que gobiernos de todo el mundo, y destacadas multinacionales,
5
y def ectos de sta. De hecho era tan f lexible y cmoda que pronto
se hizo f amosa:
"No tardaron en escribirnos f elicitndonos por la aplicacin. Lo
utilizaban todo tipo de comercios, pero especialmente medianos y
pequeos, de todas partes del mundo".
Lo que los usuarios no saban es que esa aplicacin no era ms que
"malware" (un tipo de sof tware que oculta oscuros propsitos,
escondido en una aplicacin que, sin embargo, s hace lo que
promete). Los hackers obtenan direcciones IP (direcciones de red)
de los usuarios e inf ormacin sobre los tipos de conexiones que
usaban. Pero eso no era lo ms peligroso:
"Tenamos listados de toda la mercanca que tenan, lo que v endan,
el dinero que entraba en caja, las transacciones que realizaban con
tarjetas de crdito... Todo, absolutamente todo."
Podan haber hecho mucho dao, haberse apropiado del dinero no
slo de la tienda, sino de todos los clientes que pagasen con tarjeta
de crdito, pero no lo hicieron:
"Nos sorprendimos a nosotros mismos de lo f cil que haba sido
llegar hasta donde llegamos. No es que tuv iramos miedo, sino que
jams nos planteamos robar dinero, en realidad nunca pensamos que
nuestra aplicacin la f uera a instalar ms de un par de personas".
Finalmente decidieron cortar por lo sano: env iaron a la aplicacin una
actualizacin que se auto instalaba y modif icaba el procedimiento de
clculo, de manera que daba siempre error.
"Nos escribieron multitud de correos de todas partes, notif icndonos
el f allo y rogndonos que lo corrigiramos, era alucinante: no
queran por nada del mundo desprenderse de ella!".
El grupo de hackers recuerda aqulla poca con una cierta nostalgia,
y adv ierte: "hoy en da cualquiera podra hacer lo mismo. De hecho
incluso de f orma ms f cil, porque el mercado est copado de
complejas aplicaciones de f acturacin y gestin de tiendas absurdas
y un programa rpido, sencillo y f cil es an ms dif cil de
encontrar".
8
- Proteccin.
Protegerse de este tipo de amenazas es a v eces complicado, porque
las pginas indexadoras de aplicaciones en la may ora de los casos
contienen sof tware totalmente legal. Pero mi recomendacin es que
siempre se descargue la aplicacin desde un sitio de conf ianza, a
poder ser desde la web del autor. Muchos de esos portales de
alojamiento tienen la URL del autor del programa en cuestin:
v istela. Si nota algo raro, no descargue el programa. Si el autor no
dispone ms que esa aplicacin para su descarga, o su pgina es un
simple link sin ms inf ormacin, desconf e. Recuerde siempre que
el malware no es detectado por los antiv irus, por lo tanto en ste
caso no le protegern, y a que el programa en s es totalmente
legtimo. De modo que f ese de su instinto y, en ltimo trmino,
consulte en f oros o escribindole directamente al autor.
Chantaje
Se tiende a pensar que los crackers y hackers pueden llegar a tener
dominio casi absoluto en las compaas de telecomunicaciones, en
las de gas, electricidad y, en general, en todo tipo de empresas de
suministro bsico para la v ida diaria de cada persona. Esta es una
imagen muy popularizada en pelculas y nov elas, pero dista
bastante de la realidad. De hecho, para que hoy en da un hacker
pueda llegar a tener un cierto control en esas redes inf ormticas de
ciertas compaas, necesita saltarse enormes medidas de
seguridad, tanto a niv el externo (de la red hacia af uera) como interno
(de la red de dentro). Eso sin contar cortaf uegos y otra serie de
mecanismos (hardware o sof tware) de lo ms v ariado. Todo esto
supone la inv ersin de mucho tiempo, y aunque los hackers, en su
inmensa may ora, dispongan de ese tiempo -y de mucha pacienciaa v eces la situacin requiere medidas mucho ms expeditiv as.
ste es el caso de la cracker Nef ty. Esta cracker se haba ganado
una cierta f ama dentro de la Scene por lograr crackear programas
menores de herramientas web shareware, como editores de mapas
HTML con zonas activ as y similares. Tambin haba logrado
modif icar el cdigo de una aplicacin de edicin de f otos, pero casi
al mismo tiempo la compaa lanz una nuev a v ersin -bastante
exitosa- de su programa, que inclua un algoritmo especf ico de
v erif icacin de clav es a partir de lo que se denomina tcnicamente
como un hash, para dif icultar el trabajo de los crackers.
Pero eso no era lo que ahora le preocupaba a Nef ty :
"Estaba obsesionada con una genial aplicacin que usbamos la
may ora de nosotros en clase, a espaldas de los prof esores. El
problema de ese programa es que era de pago, y cada diez minutos
te sala una v entanita recordndotelo, era un incordio."
Ella se senta en deuda con sus compaeros, puede que f uera por
generosidad o porque supona todo un reto como cracker (o,
tambin, y quiz no menos importante, para sentirse halagada por
ello):
"Yo me senta un tanto responsable porque se la haba instalado al
resto de mis compaeros, y ahora casi todos ellos la usaban.
Recurran a ella en los exmenes, cuando haba un ejercicio
complicado para pasarnos las soluciones unos a otros... En f in, para
10
11
20
PDF (el propio usuario) podra acceder. Pero no me f ue muy dif cil
av eriguarla".
Lleg un momento en el que supo que haba alguien que tambin
estaba enamorado de la chica, aunque en realidad Darkday cree que
era ms que un amigo y que estaban en una etapa prev ia de
nov iazgo. Celoso por ese descubrimiento, se puso a la tarea de
saber ms. Nos cuenta cmo lo hizo:
"En Gmail puedes hacer que te env en el restablecimiento de
contrasea si la has olv idado. No v oy a dar los pasos que hice para
lograrlo, obv iamente, pero la chica me escribi por Facebook que no
poda acceder a su correo. Como siempre la ay udaba en esos
temas, ella conf iaba totalmente en m, de modo que le dije que se la
restablecera y o y que se la env iara, y que, a continuacin, ella la
cambiara. Acept. No tard ni dos segundos en conf igurar su correo
para que reenv iara todos sus mensajes a un buzn que y o
manejaba. Aunque si no hubiera aceptado podra haberle env iado un
link a una copia de Gmail f alsa para obtener las credenciales. No es
dif cil de hacer y casi todos pican".
Con Gmail puedes conf igurar de f orma automtica que cualquier
correo que llegue a la bandeja de entrada se reenv e a otro. Esta es
una gran f uncin, sin duda, pero su peligrosidad (y atractiv o para un
hacker) es que no deja huella, simplemente aparece en uno de los
apartados de conf iguracin que, por cierto, la persona que usa el
correo no suele v isitar casi nunca. La accin, al ser totalmente
transparente, hace que el autntico usuario ignore lo que est
ocurriendo y no se de cuenta de que tenga su correo "pinchado".
No obstante a Darkday no le sent muy bien esa accin:
"Me senta mal; ella estaba en su derecho de salir o elegir a quien
quisiera. As que no tard en v olv er a acceder a su correo y
eliminarle la redireccin, y luego deshabilitarle la contrasea para que
el sistema v olv iera a pedirle una nuev a".
- Proteccin.
Este es un buen ejemplo de lo mucho que of recen las nuev as
tecnologas a los hackers, y lo f cil que les resulta acceder incluso
a lugares en donde supuestamente su seguridad es mxima, como
Gmail. Tambin es un buen ejemplo de lo mucho que les af ecta la
f alta de expectativ as, la rutina y la desidia que impera en la may ora
23
24
cierta f orma puede que estuv iera algo enamorado de ella, quin
no?".
Justicer v iv a con sus padres. Sin trabajo, apenas sin estudios -los
continuos v iajes de sus padres le haban hecho imposible tener una
educacin f ormal, y sus padres apenas saban leer y escribiraprendi todo lo que saba de manera autodidacta:
"Me pateaba todas las bibliotecas pblicas en busca de libros de
ordenadores. La may ora de ellas eran un desastre, apenas
prestaban atencin a los libros de inf ormtica, solamente
actualizaban secciones de narrativ a. Espero que eso hay a cambiado
ahora".
Lo que no poda alcanzar ley endo libros de ensamblador o de
administracin de redes lo haca con su propia experiencia,
practicando y descargando manuales de Internet.
Pero, qu es concretamente lo que quera de Thania?:
"Simple: quera acceder al contenido de su ordenador personal, saber
a dnde iba, v er con quin sala, sus amistades... su f orma de ser y
de pensar. En def initiv a: conocerla. Alguien como y o ni en sueos
podra aspirar a conocerla en persona, a que me la presentaran o,
simplemente, a que me hablase. Alguien como y o tena que hacer
las cosas as si quera conseguir algo de ese tipo de gente".
Pero no era f cil:
"Lo primero hay que entender que ese tipo de personas se muev en
mucho. No son los tpicos altos directiv os que les hackean todo el
da sus cuentas en pases como Estados Unidos, que no salen de
su despacho y que son adictos al trabajo. No. Este tipo de gente
v iaja en jets priv ados, hacen cruceros, tienen contactos alrededor
del mundo entero. Un da estn aqu y al siguiente en las Malv inas.
Pero sabiendo eso, y tenindolo presente -porque eso explica que un
da puedas conectarte por VPN a determinado ordenador y al
siguiente no, y eso no quiere decir que te hay an descubierto-, hay
que ser paciente".
Aunque suene raro, su primera accin f ue bastante "analgica":
"Era una manera de incentiv arme a m mismo. Quera su nmero de
telf ono personal, y para conseguirlo se me ocurrieron v arias
f ormas. La primera era la ms f cil, y f ue, curiosamente, la que
26
"Deb llegar hasta el cincuenta y pico mil. Hasta que di con uno
abierto. Era un serv icio IRC antiguo, seguramente para alguna
sesin que haban usado tiempo atrs con el f in de comunicarse
entre ellos. Pero qu narices haca un serv idor IRC all?
Seguramente el administrador pens que nadie lo usara. Fue f cil
'engancharme' a l y hacer un listado de dnde estaba ubicado y el
sof tware que corra".
Pero no poda hacer mucho con l:
"Un serv idor IRC no es ms que algo que enlaza entre dos puntos,
pero nada ms. Para llegar a l haba que estar en la misma
mquina que lo ejecutaba, algo impensable para m".
Pero s poda hacer que hiciera cosas para las que no estaba, en un
principio, pensado. De hecho poda hacer que f uncionara como un
programa de FTP (transf erencia de f icheros), e incluso abriendo y
cerrando puertos:
"En realidad los sockets f uncionan como archiv os. T puedes
escuchar, escribir, o borrar sobre ellos. Me di cuenta que poda subir
al serv idor el programa que quisiera, y abrir y cerrar puertos".
Program un script para que escuchara detrs del cortaf uegos de la
empresa:
"Ellos tenan el serv icio f uncionando con Oracle bajo Solaris y con
NFS y Remote Procedure Call (RPC). Disponan de IP mv il cuy as
direcciones auxiliares eran gestionadas por lo que se denomina un
Agente Interno. Accediendo a l podas acceder al trf ico que se
conectase y su ubicacin".
La explicacin tcnica es f arragosa, pero, bsicamente, lo que hizo
Justicer f ue una suerte de equilibrios sobre las conexiones:
"Me imagino que habr maneras ms f ciles de hacerlo, pero en
aqul momento se me ocurri as. Lo que ide f ue una especie de
'tnel IP' que redireccionaba todo el trf ico VPN a un puerto y lo
llev aba hacia el f irewall, siguiendo por l. Para las conexiones era
algo totalmente transparente. Yo modif icaba luego los registros IP
mv iles, para leerlos, y a que por seguridad son transmitidos
codif icados y autentif icados con MD5. Tras ste proceso saba
quin y desde qu direccin se conectaban, sabiendo de dnde
llegaban los paquetes".
30
33
38
que nadie sin el suf iciente niv el de acceso pudiera entrar en ella
desde determinadas zonas o rangos de direcciones.
No obstante, y en la compaa de la historia que precede, sus
agujeros de seguridad eran tan grandes en su propio interior (debido
a que suponen que todo el que acceda desde all es usuario legtimo,
lo que se conoce como "seguridad mediante oscuridad") que la
intrusin podra haber llegado desde cualquier parte.
Lamentablemente, se no es un caso aislado. Conozco personas
que hacen auditoras de seguridad para compaas de todo tipo, y ni
quieren corregir sus errores ni les interesa, porque la may ora creen
que la inv ersin en tiempo y recursos no compensa. Lo nico que
buscan es obtener determinada certif icacin. Como nunca ocurre
nada, incluso muchos auditores tienen asumido que esto es as y se
lo permiten. Pero realmente su compaa est a salv o? Cmo
puede estar seguro de que no est suf riendo y a una f iltracin?
Lo peor de todo ello es que cuando realmente se conf irmen sus
f allos de seguridad, ser y a demasiado tarde. As que no espere a
ello, y prev ngase antes.
40
sabiendo que tenas ese plazo, podas aprov echar para espaciar tus
llamadas y a partir de ese tiempo tu registro desaparecera. Eso se
lo llegu a hacer tambin a algunos amigos. Mucha gente no sabe
que se puede pasar un nmero de mv il de postpago a prepago,
pero s se puede. Muchos de ellos pasaban sus lneas a prepago
para poder hacer esto. Al f inal lo dej porque estaba empezando a
haber demasiado gente implicada y poda meterme en un buen lo".
Fue entonces cuando decidi dar el siguiente paso:
"La poca dorada del hacking telef nico haba pasado. Hubo
momentos en que hasta un ciudadano normal y corriente saba
cmo realizar llamadas gratis en las cabinas. Lamentablemente todo
eso no dur mucho, ms bien era consecuencia de los rpidos
cambios que se introducan en el sector, en donde hasta los tcnicos
estaban perdidos. Los operadores inv irtieron autnticas burradas de
dinero en conseguir nuev as cabinas, se puede decir que mataron
moscas a caonazos comprando cabinas que eran como cajas de
caudales".
Eso f ue lo que le motiv a encontrar una manera de burlar esos
sistemas:
"En el mundo del phreaking haba cierta desgana con ello, la may ora
se sentan impotentes y haban bajado los brazos en sus intentos de
hackear cabinas".
Pero, como suele ocurrir, no suele tardar en aparecer alguien al que
le motiv an ese tipo de retos:
"Yo cambi la f orma de af rontar el problema. Como las cabinas en
s eran casi inexpugnables, busqu la f orma de inf iltrarme y hackear
el sistema de control y comunicacin con el que operaban, es decir,
la tarjeta. Ya haba actuado antes en cabinas telef nicas, pero
cuando los procedimientos de phreaking eran menos sutiles y
complejos, introduciendo las populares monedas sujetas por hilos o
las cabezas de disquetes de 3 1/2 (la parte metlica) y luego
monedas para conf undir al v alidador".
Dado que estos procedimientos no f uncionan, v oy a proceder a
describirlos aqu, al menos para que se entienda el f uncionamiento
bsico de una cabina de telf onos:
La cabina est div idida en v arias partes, tcnicamente se denomina
TM debido a ello (de "Telf ono Modular"), y se pueden dif erenciar
42
48
Accediendo a smartphones
Los hackers suelen pref erir realizar sus acciones a distancia, a ser
posible sin poner las manos f sicamente en sus objetiv os. Unas
v eces es por imposibilidad material de hacerlo (los ordenadores
estn muy lejos de ellos y /o las medidas f sicas de seguridad son
complejas) y otras por la f alsa sensacin de seguridad que les da
operar desde f uera.
Pero no siempre es as. En muchas ocasiones se v en en la
necesidad de usar prcticas que rozan las de los delincuentes, como
las de carteristas o estaf adores. En los relatos que siguen nos
centraremos en ejemplos de todo ello.
Cada maana, el hacker al que llamaremos "Nik@" v ea una escena
curiosa por su v entana: una atractiv a rubia se acercaba conduciendo
su imponente Mercedes-Benz de color negro hacia una caf etera, y
se detena a conv ersar con v arios policas que estaban all para
tomar el primer caf del da. Esta simple accin despert la
curiosidad de Nik@.
El hacker haba observ ado cmo habitualmente la chica manejaba
un smartphone, concretamente un Android (aunque lo v iera desde la
distancia, Nik@ saba distinguir perf ectamente esos aparatos).
Enseguida lo identif ic como su objetiv o. En el mundo moderno
hacerse con sos dispositiv os es como hacerse con buena parte de
la v ida de su propietario (o propietaria, en ste caso): todos
sabemos que la gente llev a en ellos todo tipo de inf ormacin
personal y conf idencial.
Al da siguiente Nik@ esper tras su v entana y, cuando la chica
termin de hablar con sus amigos policas y entr en la caf etera,
hizo lo mismo. Baj con su chaqueta en la mano, no haca f ro, pero
el cielo estaba nublado por lo que a nadie llamaba la atencin que
alguien llegase con su chaqueta colgada del brazo.
Pidi un caf y se sent en una mesa v aca, a espaldas de la
v ctima. Puso su chaqueta en el respaldo de su silla y esper. En un
momento dado sac su cartera. Tras mirar unos documentos, al
girarse para guardarla de nuev o en el bolsillo de su chaqueta,
introdujo la mano en el bolso que la chica tena colocado a un lado
49
51
53
- Proteccin.
Lo primero, no existe ningn aparato similar, no hay un "escner" que
nos diga dnde f alla la corriente simplemente enchuf ndolo en un
enchuf e cualquiera de la casa. Lo que existen son llamados "tester",
y son completamente dif erentes.
El aparato "mgico" del hacker era un instrumento prev iamente
preparado con LEDs, que tiene v arios interruptores. Aunque la
complejidad puede v ariar, bsicamente el delincuente enciende todos
los LEDs segn el nmero de estancias en la casa, menos uno (que
suele ser el segundo, o el tercero). Los interruptores estn
debidamente "ocultos" en la parte trasera del "inv ento". Una v ez
"reparada" la instalacin, simplemente, Sect0r encendi todos los
LEDs.
Si llaman a su casa, compruebe la documentacin, especialmente si
dice tratarse de un tcnico al que no ha llamado. Desconf e de las
of ertas desinteresadas e inesperadas, y de las reparaciones "in
extremis". El hacker intentar ponerle tras la espada y la pared,
hacindole v er que si deja pasar esa oportunidad ahora, no la
v olv er a tener y habr de pagar ms. Incluso algunos tienen el
descaro de amenazarlos con precintar la instalacin!
No deje pasar a nadie que no conozca. Pida el nmero de operario o
de identif icacin, y consltelo con la central.
Esta argucia f unciona muy bien porque se le pone a la v ctima ante
54
una ev idencia irref utable: el aparato dice que hay una av era, y el
aparato no f alla. Adems, al usar trminos que todos ms o menos
han odo hablar pero desconocidos en su parte tcnica, como
disruptor o prdida de tensin, la v ctima se siente perdida. Puede
tener enormes conocimientos de inf ormtica, pero de electricidad
seguro que son nulos. Si a esto se le une la celeridad del momento y
of recrsele una oportunidad que no puede dejar escapar o le saldra
ms caro (le pueden incluso argumentar que si mantiene la
instalacin con esa av era se pueden llegar a quemar algunos cables
y entonces "hay que perf orar las paredes para cambiarlos"),
estamos ante una tcnica con un alto porcentaje de buenos
resultados. Para el hacker, claro.
55
De carterista a hacker
Dicen que los carteristas tienen los dedos de cirujano y las manos
de guante blanco: no es broma, realmente es as. Los mejores
carteristas operan con agilidad y astucia, pero tambin con audacia.
Y es que hay que tener mucha audacia para en una dcima de
segundo meterle la mano en los bolsillos o chaquetas de la gente y
sacarles sus carteras, su documentacin o sus dispositiv os
mv iles. Pero no todo es innato. La tcnica se depura ante otros
compaeros o, en su caso, maniques, y dedicando horas a ensay ar
los mejores mov imientos. Al principio irn por las personas que
v istan prendas similares con las que ellos han ensay ado, pero, con
el paso del tiempo, y, sobre todo, al ir ganando conf ianza, se
atrev ern con cualquier prenda que v ista la v ctima.
Ser estaf ador y hacker son v ariantes que no estn tan alejadas de
por s. Nos estamos ref iriendo, obv iamente, a los llamados "hackers
negros".
Los lugares ms concurridos son los mejores para llev ar a cabo sus
delitos, tales como estaciones de bus y metro, semf oros y, en
general, el transporte pblico a horas punta. Por lo tanto, si
necesitan de determinada v ctima algn dispositiv o que llev e,
esperarn a que la persona transcurra por esos lugares para
aprov echarse de ello. No pocos smartphones se han obtenido as.
Para conf irmar dnde tiene la gente sus carteras y su
documentacin (como pases personales a sus compaas o tarjetas
de identif icacin) pueden tambin emplear dif erentes tcnicas,
muchos simplemente se dejan guiar por su experiencia o por los
bultos de los objetos en la ropa de la gente (sobre todo en v erano),
aunque para el comn de los mortales eso pase desapercibido. Otros
utilizan tcticas ms depuradas y psicolgicas: ponen ellos mismos
carteles a la entrada de grandes concurrencias, adv irtindoles a las
personas que tengan cuidado con los objetos de v alor que portan.
Instintiv amente muchas personas se llev arn la mano al bolsillo
donde est su cartera (o lo de ms v alor que transporten consigo),
para conf irmar que sigue all. A esto se le llama "automarcarse". El
hacker, que en todo momento se hay a v igilando, y a sabe dnde
buscar.
56
57
58
Sus habilidades le han llev ado a ser muy cotizado entre las grandes
f irmas:
"Muchos hackers contratan a otras personas para hacer el 'trabajo de
calle' [se ref iere a carteristas y timadores], pero y o lo hago y o
mismo".
No obstante colaboran muchas v eces con l v arias personas,
especialmente una mujer que luego descubro que es tambin su
nov ia:
"Es bueno tener a una chica para casi todas las situaciones: una
llamada f alsa, salir de una situacin comprometida... Los hombres,
ante una chica guapa por lo general bajan la guardia. Aunque no
quieran. Est en nuestros genes. Me imagino que tiene algo que v er
con el romanticismo o la necesidad de procrear, no me lo preguntes,
pero la realidad es esa. Una mujer te f acilita enormemente el trabajo
de calle".
Lo bueno de su colaboradora es que es, como l, carterista:
"Yo mismo le ense y la adiestr en 'el of icio'. No me duele
conf esar que ella incluso es mejor que y o. Las mujeres son ms
sutiles. Mientras un hombre puede robar casi cualquier cosa en los
bolsillos de otro, ellas pueden robarles tambin a las mujeres. Pero
un hombre hacindose tropezar con una mujer para 'manosearla'...
Mala cosa, enseguida llamara la atencin. No f uncionara tan bien".
Geminy cobra de diez mil hasta cincuenta mil dlares por
"operacin", incluso ms:
"Una v ez me llegaron a pagar cien mil. Eran los planos de un
sistema electrnico de una compaa riv al. Y no f ue un precio muy
caro, ellos ganan millones con esos productos, y se ahorran millones
de dlares ms en desarrollo".
Asegura que el espionaje industrial y las copias de propiedad
intelectual estn a la orden del da:
"Con la explosin de todo tipo de dispositiv os porttiles y el auge de
la inf ormtica, los hackers que nos dedicamos a esto no tenemos ni
un momento en que nos f alten of ertas. Todo el mundo se copia entre
s: las f armacuticas, las automov ilsticas, las compaas de
sof tware... Todos se copian. Es muy tentador av entajar a tu riv al y
lanzar productos que tengan una misma base ahorrndote millones y
un montn de tiempo. Mira a cualquier sitio en el mercado: por qu
59
63
70
El espa espiado
Ekile es uno de esos hackers a los que podramos englobar como
"hackers blancos", aunque seguramente que para sus v ctimas no
les parezca muy correcto. Trabaja en una de las ltimas plantas de
un edif icio de of icinas, donde se encuentra la sede de una ONG:
"Empec a colaborar con ellos hace muchos aos cuando era
adolescente. Prcticamente son como mi f amilia".
La razn de que expliquemos esto es que sus activ idades como
hacker estn ntimamente relacionadas con esa ONG:
"Yo era 'el chico del ordenador', poco a poco f ui aadiendo mis
conocimientos inf ormticos para tareas puntuales que
necesitbamos".
An as admite que poca gente lo sabe:
"Por supuesto no es algo of icial. Ninguna ONG, al igual que ninguna
compaa, admitir en modo alguno que trabaja con hackers, saben
a lo que se expondran, no slo por los posibles delitos que los
hackers pudieran cometer respecto a intrusiones inf ormticas, sino
por la prdida de prestigio. Los hackers no estn bien v istos
socialmente, y eso se traducira seguramente en una escapada de
muchos benef actores".
Su trabajo, o la parte "oculta" del mismo, slo lo conoce una
persona. Pero Ekile asegura que as es mejor, l se siente ms libre
y a la ONG la mantiene sin cargos en el caso de que algo salga mal.
Pero para qu necesitara una ONG un hacker?:
"Desde que estoy aqu hemos ay udado a legalizar a ms de mil 'sin
papeles', con eso te lo digo todo".
Su f orma de trabajo es peculiar, y sus acciones hacen tambalear al
mismsimo sistema inf ormtico gubernamental:
"An as no lo hemos conseguido todo, nos f alta mucho camino por
recorrer, porque si no f uera as no habramos legalizado a mil
personas, sino a cien mil".
Ekile cree en un mundo sin f ronteras, para l todos tendran que
tener las mismas oportunidades en la v ida:
"Nacer en uno u otro pas es simple casualidad, y sin embargo algo
71
75
80
A modo de resumen...
Muchos libros y programas de telev isin sobre ingeniera social
estn colaborando a crear una cierta psicosis, de manera que un
enorme nmero de personas a las que se les acerca algn
desconocido para solicitarle ay uda acaba crey endo que le quieren
estaf ar. Esto colabora a que, si nuestra sociedad y a es de por s en
gran manera insolidaria y egosta, lo sea an ms.
Nuestros lectores deberan entender que la may ora de las personas
que se acercan a uno reclamando ay uda es porque realmente lo
necesitan. He trabajado durante muchos aos con organizaciones
asistenciales, y puedo aseguraros que la gran may ora de personas
que piden auxilio no lo hacen por placer. Cuando uno se encuentra en
la calle o en una situacin personal conf lictiv a, es muy dif cil salir
de ella, y habitualmente requiere un largsimo proceso de f uerza de
v oluntad y asistencia que suele durar aos, no das.
Por ello, no quisiera que ninguno de los que lean este libro caiga en
el error de que le v an a estaf ar o de que cualquier persona que pida
su ay uda es un riesgo en potencia. Obv iamente, cada uno debe
v alorar la peticin con sentido comn: no es lo mismo que le paren
por la calle pidindole cincuenta centav os, a que un estaf ador le
quiera v ender su automv il por mil dlares, o un hacker le pida su
contrasea personal para acceder a tal parte de sistema y hacer
determinada cosa.
Espero que con las lneas y captulos anteriores el lector hay a
aprendido a v alorar el riesgo y sepa obrar en consecuencia, se es
el f in primordial de este trabajo. Se deberan dar charlas de
seguridad para no caer en extremismos que no llev an a nada, y
ev itar conv ertirnos en salv ajes en donde estemos todo el rato
mirndonos el ombligo porque, an as, nadie nos asegurar estar a
salv o de hackers. En todos estos ejemplos has podido comprobar
que hay mucha dif erencia entre la seguridad y la solidaridad. Por
supuesto, si una persona, aunque f uera un extrao, se acerca a tu
lugar de trabajo a pedirte un f av or, en un alto porcentaje de casos
necesitar realmente que le hagas ese f av or, y deberamos
hacrselo si est en nuestras manos. Pero es muy dif erente a eso
el que dejemos nuestras tarjetas de identif icacin encima de la mesa
o se las conf iemos a guardar a celadores, o que cualquiera sin
81
identif icacin entre para "engancharse" a nuestra red sin que ningn
superior nos adv irtiera de ello. Esos extremos no entran dentro de lo
que deberamos v er como solidaridad, sino como integridad, al f in y
al cabo, protegiendo nuestra empresa protegemos nuestro trabajo y,
en ltimo trmino, a la sociedad y a nosotros mismos.
No deberamos prejuzgar tan ligeramente a las personas. Un tipo que
se acerque a nosotros por la calle mal v estido y oliendo a humedad
no tiene por qu ser un alcohlico, puede que simplemente sea la
nica ropa que en los roperos municipales le hay an podido prestar
aqulla maana, o se hay a empapado de la lluv ia. De la misma
f orma que un hombre con traje y corbata perf ectamente planchados
y sonrisa atractiv a no tiene por qu ser un respetable ejecutiv o.
Puede tratarse de todo un hacker. Tendemos mentalmente a
etiquetar a las personas mediante su aspecto, su f orma de hablar y
sus gestos, cuando las acabamos de conocer. Un hacker lo sabe
muy bien, y tratar siempre que pueda de causar una buena
impresin la primera v ez. Luego no le importa, porque probablemente
no le v ay a a v er nunca ms.
Es cierto que la sociedad, en general, es un animal carnv oro sin
piedad que intentar dev orarnos, pero hay muchas personas que,
precisamente por eso, acabaron dev oradas. No nos conv irtamos
con la excusa de nuestra priv acidad, en un carnv oro ms y en se
tipo de sociedad que, precisamente por ello, detestamos. Si, en
ltimo trmino, nos surgen dudas, parmonos a pensar y
preguntmonos: "es esto realmente lo que quiero hacer? Soy y o
as?". A v eces es mejor dejarnos estaf ar con un par de dlares y
dormir tranquilos, que no por nuestra culpa dejar sin un bocadillo o
una medicina a personas desaf ortunadas que lo hubieran podido
necesitar.
Siempre que me preguntan respondo f irme que lo primero es la
solidaridad y el altruismo. Para ser injustos, dspotas o insensibles,
siempre tendremos tiempo. Y an queda gente en quien puedes
conf iar, porque, de lo contrario, qu tipo de mundo estaremos
construy endo? Si hay un conjunto de personas que tengan el alma
negra, no les tomes de excusa para tenerla tambin t, y a que ese
tipo de personas son las ms merecedoras de nuestra
conmiseracin. Intenta mantener unos principios altruistas, y no los
v endas por un posible "lo que pudiera pasar". Toma las lecciones de
82
83
las NAT-T.
Newbie: Persona nov ata en inf ormtica o tcnicas hacking.
Phreaking: Son las tcnicas de uso y aprendizaje de las lneas
telef nicas, de sus dispositiv os y elementos (hardware) y de su
sof tware de gestin. No tiene por qu estar relacionado con el
mundo del hacking, aunque en la may ora de casos s lo est. A los
amantes y estudioso de estas tcnicas se les conoce en el argot
como "phreakers".
Shareware: Programas inf ormticos que, para su uso, se requiere
de un pago, aunque el programa f unciona prev iamente "a modo de
v ersin de prueba". Pueden ser de muchos tipos: de pago tras un
tiempo de uso (si no se realiza el pago la licencia expira y el
programa deja de f uncionar), o de pago para obtener todas las
f uncionalidades (algunas partes del programa no f uncionan si no se
compra una licencia). Los hay tambin que f uncionan plenamente
sin que se adquiera la licencia, pero a cambio emiten molestos
av isos, o publicidad, o tienen partes de inf ormacin -en cierta f orma
tambin molestas- para que se compre la licencia.
Seguridad mediante oscuridad: Filosof a de seguridad que
sobreentiende que cualquier usuario que se encuentre dentro de la
red interna de la empresa o a trav s de su sistema de f iltrado
externo es un usuario legtimo y autorizado. Es un planteamiento
muy extendido (sea por premeditacin o por otras causas, como
olv ido o conf iguracin errnea de los sistemas y aplicaciones de
red) y que suele tener consecuencias dramticas para la seguridad.
Stealer (en espaol "ladrn de inf ormacin"). Es el nombre genrico
de programas inf ormticos maliciosos de tipo troy ano, que se
introducen a trav s de Internet en un ordenador con el propsito de
obtener de f orma f raudulenta inf ormacin conf idencial del
propietario, tal como su nombre de acceso a sitios web, contrasea
o nmero de tarjeta de crdito.
"The Scene" ("La Scena"). Def ine la relacin y el mundo entre
hackers, VXs, crackers... etc.
VX (VXs): Escritores de v irus.
85
86
Direcciones tiles
https://login.launchpad.net/+openid
Serv icio de OpenID de Canonical. OpenID es una herramienta de
clav es unif icadas, de manera que se puedan utilizar en multitud de
sitios y pginas Web. On OpenID, tendremos la gestin de las
cuentas centralizadas, annima y segura. El serv icio de Launchpad,
adems, nos permite elegir entre v isualizar nuestro nombre pblico o
no.
http://ascii.cl/es/url-decoding.htm
Decodif icador de URLs. Nos permite interpretar los smbolos que
encadenan las rutas URL para env iar inf ormacin sin encriptar.
http://www.antiav erage.com/ip/
Intrprete y conv ertidor de direcciones URL modo texto, a
direcciones IP.
http://blog.gentilkiwi.com/mimikatz
Una de las ltimas herramientas para la obtencin de contraseas,
hashes e iny ecciones en sistemas Windows.
http://www.tasty cocoaby tes.com/cpa/
CPA. Snif f er para sistemas Mac OS X.
http://www.portswigger.net/burp/intruder.html
Herramienta perteneciente a la suite BurpSuite para ejecutar ataques
de f uerza bruta.
http://www.f wbuilder.org/
Interf az GUI de cortaf uegos.
http://www.comodo.com/secure-dns/switch/
Serv idor DNS seguro.
https://dev elopers.google.com/speed/public-dns/?hl=es
DNS pblicas de Google.
93
Aclaraciones finales
Los relatos que puedes leer aqu son historias nov eladas de algunas
de las andanzas ms f amosas de hackers y crackers de hoy en da.
Tienen como principal atractiv o que son historias actuales, con
sistemas inf ormticos de hoy y ordenadores modernos, al contrario
que otros libros o relatos similares, que suelen remontarse a los
aos nov enta u ochenta o, incluso, a la era de los primeros
ordenadores. Por lo tanto, es un trabajo, desde el punto de v ista de
la actualidad, muy v alioso. Han sido expuestas nicamente como
ejemplo de lo que este tipo de personas pueden lograr, y con el nico
f in de que el lector pueda protegerse al conocer cmo actan. Bajo
esta premisa es bajo la cual se dif unde ste texto.
Lgicamente, por razones obv ias de seguridad, se ha tratado de
preserv ar algunos detalles en aqullos casos en donde la descripcin
pormenorizada pudiera llev ar a que alguien pudiese realizar el
procedimiento descrito. Los nombres son totalmente f icticios, y si
coinciden en algn caso con un hacker o cracker real es simple y
total casualidad.
En algunas de ellas tambin se ha recurrido a "lo que pudiera haber
sido" en caso de llev arse a su f in determinada accin, pero esto no
quiere decir que se hay a cometido (y a he mencionado que son
relatos de f iccin) la mencionada accin. El hecho de relatar el
procedimiento completo es simplemente para hacer v er
grf icamente la f ragilidad de determinados sistemas actuales, y
para aclarar el modo de actuacin de los hackers y crackers.
Por ltimo, se ha tratado de obv iar, siempre que ha sido posible y
con el objeto de f acilitar la lectura a la may ora de personas (aunque
no estn f amiliarizadas con la inf ormtica), trminos tcnicos y
argot inf ormtico o "de la Scene". De este modo se hace el texto
ms digerible por aqullos menos habituados a tratar con
ordenadores. En aqullas situaciones en las que no ha sido posible
esto, se ha tratado de aclarar dicha terminologa de manera
contextual o/y accesoria al texto. No obstante, al f inal encontrars
un pequeo glosario que har ref erencia a algunos trminos.
94