28 SECURITY

¿Recuerda I Love You, Code Red, Zeus o PoisonIvy? Los polémicos genios detrás de estos malware son leyendas. ¿Qué los mueve? A continuación, crónicas de verdaderos hackers que responden estas preguntas.

Quisi Aguilar

Así funciona la mente de un infi ltrado

Cuando todos van a dormir esperan descansar plenamente, de eso se en-carga el hombre de arena o también

conocido como Sandman en la cultura celta o en las historietas de DC Comics. El ciber-mundo no es muy diferente de la mitología celta, también posee un Sandman al que lla-mamos hacker, el cual visita cada noche la habitación de las personas mientras duermen para esparcir arena mágica en sus sistemas.

Si el hacker está de su lado tendrá dulces sue-ños, si no, es mejor que duerma con un ojo abierto y abrace fuerte la almohada porque al igual que la canción de Metallica, cuando se va la luz y entra la noche su seguridad se va a la tierra de nunca jamás, así es, nunca jamás verá sus datos o dinero y tendrá la peor de sus pesadillas.

Pero no todos los Sandman son tan malos, en el gremio también están los conocidos como White Hats, aquellos que más bien protegen la informa-ción.

Para conocer más a profundidad la cultura de estos individuos, IT Now entrevistó a un grupo de hackers de distintas partes del mundo. ¿El descubri-miento más relevante? Independientemente de los objetivos de cada uno, ya sea para fi nes maliciosos o para proteger una empresa, a todos los motiva la curiosidad por lo desconocido.

“Hacker es una persona que tiene una curiosidad en extremo por alguna área en específi co y esa te lleva a investigar más allá de lo que te han enseña-do o puedas saber. Esto te permite obtener ciertos

29SECURITY

“El principal problema es la compensación económica, ser un hacker de sombrero negro paga mucho mejor que un hacker de sombrero blanco, esa motivación hace que la gente apunte hacia la parte oscura”.

Matías Katz MKIT

niveles de conocimiento para encontrar fallas en el sistema, cómo mejorarlo, cómo vulnerarlo, etc.”, explicó Álvaro Andrade, CEO de Ethical Hacking Consultores.

Una radiografía de hackers, tanto los de sombre-ro blanco –aquellos que trabajan para proteger a las organizaciones de manera legal-, como los de som-brero negro –que atacan para obtener un benefi cio personal-, nos dejan estos hallazgos:

El motivo del crimen“Mi motivación principal todavía se centra en

el aprendizaje y la comprensión sobre los últimos tipos de ataques y tendencias en TI que son verda-deramente únicos. Por ejemplo, estoy fascinado por contenedores de software como Docker. Sospecho que en un corto período se verá más y más sobre estos contenedores, en relación a eso alguien va a desarrollar una manera de hackear o encontrar vul-nerabilidades signifi cativas. Eso va a ser divertido verlo”, expresó de Chris McKie, White Hat y di-rector de Comunicación Corporativa de Gigamon.

En otros casos, la motivación va más allá de la curiosidad y está ligada a propósitos personales, al-gunos sombreros negros hacen sus ataques porque simplemente tienen ganas de causarle daño a una empresa por un motivo específi co, o bien cuando un tercero quiere perjudicar a la competencia y con-trata a un hacker para que lo haga. También existen los que buscan ganarse dinero y extorsionan a los usuarios para devolver los datos o bien los venden en sitios de la Deep Web.

“El principal problema es la compensación económica, ser un hacker de sombrero negro paga mucho mejor que un hacker de sombrero blanco, esa motivación hace que la gente apunte hacia la parte oscuro. De hecho, si fuera un sombrero negro, no tendría esta conversación con vos, no trabajaría legalmente en una empresa, tendría un perfi l ocul-to”, comentó Matías Katz, hacker ético y CEO de MKit en Argentina.

Lo cierto es que todos han pasado por esa etapa de oscuridad. “No hay nadie hoy día que trabaje en temas de hacking o ciberseguridad, un sombrero blanco, sin que nunca haya tenido el sombrero ne-gro puesto”, dijo Álvaro Andrade, de Ethical Hac-king Consultores.

Respeto entre colegasEn el mundo de los hackers existen una serie de

reglas y códigos no expresos en los cuales se res-petan a aquellos “profesionales” que tengan más tiempo en el ambiente, aquellos que hayan estado en la vieja escuela cuando todo empezó y también aquellos cuyos logros marcan una distinción.

“Soy miembro de una organización a nivel mun-dial que nos rige bajo un código de ética profesio-nal. Para obtener esa certifi cación ellos realizan una investigación y se deben mandar recomendaciones de otros profesionales ya certifi cados. Esto le ga-rantiza a las empresas que el trabajo que se hace es profesional y bajo estrictos códigos de ética”,

mencionó Pablo Barrera, White Hat y fundador de Pakal Security Labs.

En el caso de Edson Borelli, coordinador Glo-bal de Seguridad e infraestructura en Futura Net-works, él sigue su propia ética que se basa en no hacerle daño a ninguna persona, más bien lo que trata es de enseñar, por eso brinda ponencias en todo el mundo.

Los códigos de ética se basan en no hacer daño a

un individuo que está dentro del círculo y no afectar a quien no esté haciendo un mal. Por ejemplo, en los casos conocidos de hacktivismo, que es la com-binación entre hacking y activismo, generalmente los ataques van dirigidos hacia compañías que es-tán haciendo, desde la perspectiva de los perpetra-dores, un mal, por ejemplo, gobiernos de facto, tira-nos o empresas petroleras que están contaminando el medio ambiente.

“Nosotros con Anonymous Brasil éramos lla-mados para hacer todos los ataques globales, yo trabajaba con cuatro personas y estábamos al frente de todos los ataques que estaban ocurriendo. Brasil tiene los mejores hackers del mundo, estábamos coordinados por Anonymous y estuvimos en esa fase durante dos años. En un momento, tuvimos que avisar a todos los bancos que para una hora y día específi co se caerían los sistemas pero les di-jimos cómo podían protegerse”, recordó Borelli, quien fue parte de este movimiento de hacktivistas.

La estrategia más popular Una de las estrategias que se ha vuelto popular

entre los hackers tiene que ver con la Federación Iberoamericana de Asociaciones de Derecho e In-formática (Fiadi), se refi ere a la protección de datos personales a nivel de registros biológicos, ya que muchas aseguradoras toman los datos médicos, para posteriormente, con los diagnósticos, incre-mentar la prima del seguro. Actualmente, esas ba-ses de datos no están reguladas y hay un mercado negro que está trafi cando esa información a nivel de aseguradoras.

Otra de las estrategias es la famosa ingeniería social que tiene un 100% de efectividad, ya que normalmente el eslabón más débil de la cadena de la seguridad de la información es el usuario.

En muchos casos los hackers buscan el camino más fácil para entrar a la red, a menudo detectan los puertos que están abiertos y envían spam a los emails con un enlace malicioso para ver quién hace clic en ellos. De este modo revisan si los nombres de usuario o contraseñas suministrados por el pro-veedor de los routers o access points no se han cambiado y sondean la red para ver dónde están los putos débiles, si no pueden encontrar alguno se mueven al siguiente objetivo.

Desde hace algunos años la región centroame-ricana es atractiva para los hackers porque hay muchas pequeñas o medianas empresas con pocos controles de seguridad, en el caso de los cibercrimi-nales que son inteligentes y sofi sticados, actúan en una escala global y atacan a todos por igual.

“América Central no era más que un juego para los hackers y aprendices, sin embargo hoy el co-mercio ha empezado a surgir con más fuerza con la banca electrónica y los pagos móviles que se combinan con las redes inalámbricas inseguras, lo cual hace que haya más elementos atractivos”, dijo Nelson Chacón Reyes, especialista en seguridad informática de Latam CSI.

Slash, hacktivista de

Anonymous Brasil“No concuerdo con la expresión

ciberdelincuente”

TIPO DE HACKER: Soy hacktivista, pero no concuerdo con la expresión ciberdelincuente.

NACE UNA PASIÓN: Trabajo con software solo para la ob-tención de información, como herramientas de ataque, negación de servicios, ingeniería social y para analizar el tráfi co en la red. Yo tengo este estilo de vida hace 9 años, hoy tengo 26 años.

HERRAMIENTAS FAVORITAS: Me gustan las herramientas del Día Cero creadas por otros grupos undergound como Kali Li-nux y otros sistemas operativos de seguridad.

BRECHAS DE SEGURIDAD: SQL Injection, es una falla muy explotada pues busca información dentro de banco de datos y todas las fallas divulgadas a nivel global en los últimos tiempos como Shellshock, Bashscript, Poodle y SSL.

PROYECTO MÁS EXITOSO: Todas las grandes operacio-nes de Anonymous Brasil desde su fundación entre el 2008 y 2009 hasta 2013. Proyectos como Lulzsec Brasil, Brasilian High Tech Team, ataques a bancos de Brasil, gobierno y Sony global.

¿USA LA DEEP WEB? Cuando es necesario sí, la uso para las transacciones fi nancieras por Bitcoin o en busca de conocimien-to avanzado en múltiples niveles.

Nacidos para hackearComo la canción que acompaña los viajes en motocicleta del Easy Rider, quienes se hacen llamar hackers parecen predestinados para desprogramar computadoras y sistemas. Estas son sus historias, contadas por ellos mismos.

Quisi Aguilar Robert Hansen, VP de WhiteHat

Labs, Grupo de Tecnología

Avanzada de EE.UU.“Trato de evitar sentimientos

acerca de la tecnología”

TIPO DE HACKER: Sombrero blanco, paso mucho tiempo de-sarrollando nuevo software y técnicas que nunca se han visto antes.

NACE UNA PASIÓN: Me involucré en la seguridad hace más de 20 años. Creo que mi pasión no creció de la tecnología, pero si del rompecabezas de la misma, me gustan los desafíos. No pude encon-trar el tipo de retos mentales que necesitaba en otras industrias y los ordenadores si atrajeron mi interés.

HERRAMIENTAS FAVORITAS: Yo no tengo ninguna herra-mienta favorita, puedo usar lo que necesito para hacer el trabajo. Es cierto que hay algunas herramientas que son más fáciles que otras pero realmente trato de evitar tener sentimientos acerca de la tecnolo-gía, solo uso lo que sea más adecuado para el trabajo.

BRECHAS DE SEGURIDAD: Inyección de SQL, inyección de comandos y Cross Site Scripting son probablemente más explo-tados. Eso es porque los tres son comunes, fáciles y dan la atacante exactamente lo que necesitan.

PROYECTO MÁS EXITOSO: Podría ser el XSS Cheat, Slowloris, Content-Security, X-Frame-Options, X-XSS-Protection IE. Todo era cuestión de poner la cabeza hacia abajo para encontrar soluciones creativas a los problemas que nadie había pensando.

30 SECURITY

31SECURITY

Matías Katz, CEO de MKit

“Cuando alguien pasa al lado oscuro no vuelve”

TIPO DE HACKER: Ético. Cuando alguien se pasa al lado oscuro no vuelve, por más que te

metan preso con condenas, al día siguiente que salís compras una computadora y seguís haciendo lo que hacías, eso es para siempre, no hay refl exión.

NACE UNA PASIÓN: Todo empezó cuando tenía 6 años y estaba tratando jugar “El príncipe de Persia”, había un nivel que no podía pasar, lo que hice fue entrar a los archivos que estaban detrás del juego, lo entendí y anoté en el archivo de confi guración el nivel en que quería estar.

Todo fue empírico, no fui a la facultad no hice ninguna especia-lidad, solamente me senté y empecé a investigar hasta el día hoy.

HERRAMIENTAS FAVORITAS: Las herramientas que utili-zamos son las mismas que se emplean para fi nes maliciosos, cual-quiera que sea su motivación:

• Wireshark: Es un analizador de tráfi co para solucionar proble-mas en redes de comunicaciones para desarrollo de software y pro-tocolos.

• Nmap: Descarga una identifi cación de una red y brinda como resultado cuáles son los equipos que están dentro de la red y sus puertos abiertos.

• Nessus: Analiza directamente un grupo de servidores disponi-bles y rastrea las vulnerabilidades que pueden llegar a tener en los servicios que están corriendo.

• Acunetix: Es exclusivo para el análisis web, eso se lo pasa a una aplicación publicada en Internet y detecta cuáles son las vulnerabili-dades que pueden tener los desarrolladores del cliente.

BRECHAS DE SEGURIDAD: La que más aparece en todos los sitios son las inyecciones SQL, es una acción que se hace a través de una vulnerabilidad en las páginas web. Habla con la base de datos de la empresa y descarga información, esto es ilegal e invasivo, si no tiene una autorización del cliente para hacerlo está violando la ley, ese fue el ataque que se hizo en el caso de Ashley Madison.

PROYECTO MÁS EXITOSO: Un software que analiza com-portamientos específi cos en redes sociales donde podemos captar en tiempo real con una demora de menos de 10 segundos todo tipo de interacción, podemos localizar de donde vino la información, si es positivo o negativo.

Vitaly Kamluk, principal experto en seguridad de Kaspersky Lab y colaborador

de InterpolEl programador que luchó contra

Cosmic Duke y Dark Hotel

TIPO DE HACKER: Sombrero blanco, con más de 10 años de experiencia en seguridad informática. Especializa-do en ingeniería inversa de malware, informática forense e investigaciones sobre el cibercrimen. Actualmente trabaja con la Interpol.

NACE UNA PASIÓN: Yo he estado desarrollando pro-gramas desde la primera vez que vi una computadora. Te-nía unos 12 años. ¿Qué me interesó? Es una curiosidad natural que cada niño tiene cuando encuentra la manera de crear algo nuevo en este mundo y eso fue lo que hice, crear programas que controlaban la computadora y le hacían se-guir mis instrucciones.

HERRAMIENTAS FAVORITAS: Utilizo herramientas estándar para los investigadores de seguridad. Admiro y respeto mucho el modelo de código abierto en programas de software porque es la mejor forma inventada para poder compartir conocimiento en este campo.

LA MOTIVACIÓN: Encuentro motivación dentro de mí mismo. Es relacionado a la responsabilidad que siento como ser humano.

PROYECTO MÁS EXITOSO: Soy miembro de un equi-po elite de investigadores de amenazas y he contribuido a muchas investigaciones que han sido publicadas como la lucha contra el Cosmic Duke, Dark Hotel, Duqu, Madi, Flame, Turla, Blue Termite, The Mask, Equation, Wild Neutron y muchos más.

32 SECURITY

Saúl Gamarro, hacktivista de

Tecnocracia Guatemala

“Me metí en demasiados problemas como para querer recordarlo”

TIPO DE HACKER: El hacktivismo tiene una agenda especí-fi ca con ciertos temas, algunos los comparto, otros no. Los princi-pios y valores que me enseñaron en casa no me permiten encajar a las categorías de hacker que Hollywood presenta.

NACE UNA PASIÓN: En 1992 no tenía ni idea de que era una computadora y un amigo de mi papá acababa de comprar la suya, por alguna razón extraña dejó que un niño de 7 años jugara con ella. Después de 23 años sigo jugando con computadoras y con cierta obsesión permanente de buscar la manera de que las cosas funcio-nan y cómo hacer para que funcionen de la manera que yo quiero.

HERRAMIENTA FAVORITA: Notepad+

BRECHAS DE SEGURIDAD: Una muy popular es la más fácil de hacer, pero la más compleja de ejecutar. El Social Hacking es vulnerar la propia seguridad del usuario en vez del sistema. A veces se puede obtener cierta información de los usuarios y acceso a sus cuentas sin ni siquiera programar una línea de código.

PROYECTO MÁS EXITOSO: Me metí a demasiados pro-blemas como para querer recordarlo, solo puedo decir que las per-sonas que se dedican a desarrollar software de seguridad son muy buenas y saben lo que hacen, a diferencia de los usuarios comunes que por desconocimiento abren las puertas de información impor-tante sin darse cuenta.

LOS HACKERS QUE HICIERON HISTORIA• Gary McKinnon: Vulneró cerca de 100 servidores militares y de la NASA estadounidense desde febrero de 2001 hasta marzo de 2002. Eliminó información confidencial, software y archivos, el gobierno de Estados Unidos gastó más de US$700.000 para recuperarse de los daños. Él se burló de los militares al publicar: “Su sistema de seguridad es una mierda. Estoy solo”. Ahora ofrece servicios de seguridad informática.

• Astra: Nunca fue identificado públicamente, solo se sabe que tiene 58 años, detenido en 2008 por las autoridades griegas porque vulneró los sistemas de la compañía de aviación Grupo Dassault durante 5 años. Vendió los datos robados a 250 personas por US$1000 a cada uno.

• Albert González: Fundó el sitio Shadowcrew.com, que tuvo 4000 miembros, en el sitio se podían comprar o vender números de tarjetas bancarias, se intercambiaron más de 170 millones de tarjetas de crédito y débito desde 2005 hasta 2007. Fue arrestado en mayo de 2008 y no estará fuera de la cárcel hasta el 2025.

• Kevin Mitnick: Irrumpió las redes de Pacific Bell, Nokia, IBM y Motorola. Lo arrestaron en 1995, después de 12 meses en prisión y tres años de libertad supervisada, continuó la piratería con el uso de celulares clonados y fue condenado a prisión por cuatro años en 1999. Se convirtió en el criminal informático más buscado en el país en ese momento. Ahora es un White Hat.

• Jonathan James: A los 16 años se infiltró en el sistema escolar de Miami-Dade, la NASA y el Departamento de Defensa, se robó el software del gobierno con un valor de US$1.700.000. Cuando el equipo de Albert González robó información de tarjetas de crédito en 2007, el servicio secreto investigó a James, quien afirmó que no tenía nada que ver con los robos. Por miedo a ser procesado por crímenes que no cometió, James se suicidó en su ducha en mayo de 2008.

Teo Barbas, Anonymous Guatemala

“Nos tiene sin cuidado que un gobierno nos catalogue de criminales”

TIPO DE HACKER: Hacktivista, no nos interesa hacer dinero de esto, si no seríamos espías industriales y nos tiene sin cuidado que un gobierno nos catalogue de cibercriminales, al fi nal es el pueblo el que juzga y tenemos el apoyo popular.

NACE UNA PASIÓN: Nace por la necesidad de adaptarse a las nuevas tecnologías para manifestarse, para demostrar el descontento ciudadano. Somos un colectivo mundial, no hay jerarquías, líderes o dueños, no respondemos de manera individual, a nivel mundial nace hace casi una década, en Guatemala iniciamos operaciones en 2009.

HERRAMIENTAS FAVORITAS: Ion Cannon, bots, shells, entre otros juguetes.

BRECHAS DE SEGURIDAD: SQL y control directo de los blancos, usando rats. Pero no es la única manera, debilidad o herra-mienta que existe o que aprovechamos.

¿USA LA DEEP WEB? Por supuesto, hay información que solo por esa vía compartimos, aunque hemos hecho operaciones contra si-tios de pornografía infantil que existían en esta red.

PROYECTO MÁS EXITOSO: Hackear la página del TSE y la SAT, los detalles no los brindaremos, pero si hubiéramos querido, ha-bríamos liberado información de millones de personas, que se supone que esas entidades mantienen de manera segura.