martes, 20 de septiembre de 2011

Pero en realidad, ¿Qué es un Hacker?

Si existiera un record Guiness para el término menos comprendido y peor usado de todas las culturas en toda la historia de la humanidad, en mi no tan humilde opinión, la palabra "hacker" se llevaría todos los premios y reconocimientos.

Sólo por completitud y con la esperanza de que algún día la comunidad "no-hacker" logre entenderlo, repito aquí la definición más aceptada entre los verdaderos conocedores de la materia. El RFC 1392, "Glosario de usuarios de Internet", define claramente el término "Hacker":

hacker
      A person who delights in having an intimate understanding
      of the internal workings of a system, computers and computer
      networks in particular.  The term is often misused in a
      pejorative context, where "cracker" would be the correct
      term.  See also: cracker.

Como tarea al lector no-técnico, aquí se puede averiguar lo que es un RFC y la razón por la cual, con especial énfasis en este caso en particular, debe considerarse como una fuente autoritativa. Ahora bien, lejos de golpear al hombre caido, abrumandolo con más y más términos rimbombantes como "phisher", "phreaker", "pharmer", "script-kiddie", script-junkie", "lamer", etc, que muy poco aportan a toda esta discusión, el resto de este artículo trato de señalar los errores y posibles razones por las cuales históricamente se ha abusado de este término de forma tan inclemente.

Como siempre, el post/artículo que lo inicio todo, afirma lo siguiente:

"...
       Un hacker es un experto informático especialista
       en entrar en bases de datos ajenas sin autorización alguna
..."

Armados con el nuevo conocimiento adquirido del RFC anterior, se puede ver que esta afirmación es doblemente incorrecta. Por un lado, en el contexto peyorativo, el término correcto debería ser "cracker". Sin embargo, aún haciendo esa corrección, se cae en el segundo error de pensar que un "cracker", por definición, es algún tipo de experto informático, cualidad adecuadamente atribuida, por definición, a un "hacker".




La raíz primordial de la confusión es un básico error de lógica. A pesar de que algunos "crackers" puedan poseer algún tipo de conocimiento que les permita compararse con los "hackers", no los hace miembros de la misma casta. De hecho, en la gran mayoría de casos de "crackers" conocidos, se ha evidenciado su mediocridad y pobre entendimiento de los conocimientos técnicos de los sistemas y redes de computadoras. De aquí que el término correcto en el contexto peyorativo sea "cracker" y no "hacker". Al final, una persona con poco conocimiento, poco entendimiento y gran deseo de importancia lo único que le queda es tratar de llamar la atención para compensar su deficiencia. La forma más simple es utilizar el conocimiento de los verdaderos "hackers" de formas muy "escandalosas" (usualmente ilegales) y esperar que los medios de comunicación inflen su tan golpeado ego. Su poco entendimiento, y mediocres técnicas los hacen terminar en manos de las autoridades y pagar por sus fechorías más temprano que tarde. Pero esto no importa, pues los minutos de "gran fama", para la mente del "cracker", muy bien los valen. Aún así, "crackers reformados" continuan ordeñando el conocimiento que se han robado despues de pagar sus condenas, contribuyendo a que se perpetúe cada vez más el incorrecto uso del término "hacker".

El artículo original continúa de la siguiente manera:

"...
       Generalmente trabajan con seudónimos y compiten entre
       ellos mismos por vulnerar sistemas de seguridad. Existen
       varias clasificaciones, pero la más utilizada actualmente
       es la de hackers sombrero blanco y negro
..."

Con este comentario acabamos de avanzar 10 años en un abrir y cerrar de ojos. La clasificación de hacker y cracker ha quedado muy atras para dar paso a un animal completamente distinto, el "hacker sombrero negro". El nacimiento de este término es nada mas entendible. En los párrafos anteriores dejamos establecido que la capacidad y conocimiento técnico es completamente ortogonal al hecho de ser o no un "cracker". Sin embargo, en un mundo donde la Internet ha permeado la gran mayoría de aspectos de nuestras vidas directa o indirectamente, se abre una posibilidad para la persona de pocos principios morales y éticos que en efecto posee la habilidad técnica de un "hacker". Es un mundo en donde nos vemos obligados a criminalizar las acciones abusivas que permiten ganancias inmorales a las personas que hacen uso poco ético de su conocimiento (Leyes sobre delitos informáticos). A diferencia de una Internet académica en donde habitaban los "hackers", en el mundo de hoy, vivimos una Internet donde se mueven grandes cantidades de dinero a velocidades realmente sorprendentes. Hemos llegado a un mundo en donde el "hacking" se transformó en una ocupación por demás rentable, ya sea por medio de actividades legales o ilegales, en donde son más rentables las últimas que las anteriores. Bienvenidos al mundo de los "criminales informáticos".

Continuando con el artículo original:

"...
      Hacker sombrero blanco (también conocido como hacker ético) 
      Infiltran las redes para mostrar el grado de vulnerabilidad 
      que tienen. Sus motivaciones son inocuas. Generalmente dejan 
      mensajes advirtiendo sobre lo desprotegido que puede estar 
      el sistema.
..."

Suspiro. Sin ánimos confrontacionales, pero con la autoridad que me dan más de una década en el mundo de la seguridad informática, multiples certificaciones internacionales, y miembro élite de los muy pocos en el mundo en haberlas alcanzado, tengo que oponerme fervientemente a la anterior definición. El punto más importante para la definición del "hacker sombrero blanco" reposa en hacer lo que hacen los "hackers" pero con permiso expreso y legal de los dueños del sistema que se infiltra. Lamentablemente no hay nada ético en vulnerar un sistema sin el permiso de sus dueños. Es como si llegaran a tu casa, abrieran la puerta, se durmieran en tu cama, y te dejen una nota alertandote que laves tus sábanas pues cualquiera te las puede dejar sucias. Por más inocua que pueda ser la motivación, estas acciones no dejan de ser un acto inmoral y a la luz de una ley de delitos informáticos, son además unos actos ilegales y criminales.

La definición incorrecta, sin embargo, es convenientemente utilizada por criminales tratando de presentar una imagen "reformada" que buscan justificación para continuar con su conducta delictiva. A pesar de que la anterior afirmación parezca argumentativa, invito a mis lectores a analizar la ley de delitos informáticos del mismo link del artículo original. El lector atento notará inmediatamente que la "motivación" dentro de la mencionada ley no juega ningún papel. Si obtienes acceso a un sistema sin autorización, por la motivación que sea, estas cometiendo un delito y en consecuencia tu única clasificación es de "criminal", o en todo caso, "criminal informático", nada de hacker, nada de blanco y nada de negro. Ni siquiera un sombrero, a lo sumo un traje anaranjado.

Finalmente llegamos a la posiblemente única afirmación mas o menos precisa del artículo:

"...
      Hacker sombrero negro: Son los expertos informáticos
      que intentan causar –y en algunos casos lo logran- daños
      a los usuarios y administradores del sistema. También
      son conocidos como ciberpiratas. Pueden incurrir en la
      extorsión y en actos criminales. Literalmente “roban”
      información y hacen uso de esta a su conveniencia.
..."

Las motivaciones de nuevo, pueden ser muchas más de las que se mencionan en el párrafo anterior. Sin embargo, el punto clave, de nuevo, es que todas estas acciones carecen de la autorización expresa de los dueños del sistema que se vulnera. Cabe destacar que algunos "criminales confesados o reformados" algunas veces intentan pasar aunque sea por "hackers de sombrero negro" en su afán de fama. Vale entonces la pena hacer una distinción adicional. Como habíamos dicho anteriormente, el hacker de sombrero negro, por ser hacker, posee un profundo conocimiento técnico sobre la tecnología que vulnera. En consecuencia, resulta muy difícil creer que los conocimientos del criminal atrapado y condenado sean tan sofisticados que ni siquiera pudieron evitar que lo atraparan. A menos, por supuesto, que ademas de criminal, haya tenido algún deseo morboso de visitar una celda por la parte de adentro y por un periodo alargado. En consecuencia, tampoco los atrapados y condenados, pueden recibir la "condecoración" de "hacker" pues sus conocimientos no han demostrado ser lo suficientemente "élite". En efecto, los verdaderos "hackers" son "invisibles". Ahora bien, la única esperanza de reivindicación para un criminal convicto y confeso es ponerse a estudiar verdaderamente y conocer en profundidad las cosas. Esta capacidad no esta prohibida para nadie, incluso para los criminales menos sofisticados. Sin embargo, requiere de mucho esfuerzo y dedicación, requerimientos que los "media-whores" carecen, pues todo su tiempo lo dedican a llamar la atención.

Es aquí donde radica toda la confusión. Los medios de comunicación se enteran de un evento criminal o "escandaloso" y buscan información. Lamentablemente, nunca hay un "verdadero" hacker disponible pues ellos están "siempre ocupados". Tristemente, los medios de comunicación caen en manos de los charlatanes, embusteros, media-whores, entre otros, cuya desinformación contribuye aún más a la mala utilización del término y obteniendo una pésima fama para los "hackers".

Para finalizar este agrío y áspero "rant", no podemos dejar de mencionar a la piedra en el zapato. En este caso, los sucesos de las vulneraciones de las cuentas de twitter de personalidades importantes Venezolanas por parte de un grupo de individuos que se hacen llamar N33. Como buenos "media-whores", y ávidos de atención, lograron una entrevista aquí. Tal como hemos demostrado en los parrafos anteriores, calificar a estos individuos como "hackers" es un error por demás peligroso. De acuerdo a toda la discusión anterior, el termino indiscutiblemente correcto es "criminal informático". Sin embargo, ¿podría tratarse de un "hacker sombrero negro"? Es decir, ¿Saben algo realmente de lo que están haciendo? o simplemente ¿utilizan las herramientas enlatadas fácilmente accesibles en Internet para cometer actos ilegales? Lamentablemente, no se tiene suficiente información para responder estas preguntas. Sin embargo, vulnerar cuentas de correo electronico o cuentas de twitter no requiere de prácticamente ningún conocimiento en informática o en casi nada en realidad. Lo único que se requiere es saber buscar en Internet o ser lo suficientemente "hala mecate" para que algún "hacker sombrero negro" te diga o "proporcione" las herramientas que necesitas para cometer tus fechorías. Así de simple y poco interesante es el mundo de los "criminalillos" informáticos. Lastima que ese tipo de "noticias" no sean tan interesantes para los medios de comunicación.

Por el bien de las generaciones futuras y como lo diría un verdadero hacker hace varios años atras, Ken Thompson, en su discurso donde recibió el premio Turing:

"...I would like to criticize the press in its handling of the "hackers", the 414 gang, the Dalton gang, etc. The acts performed by these kids are vandalism at best and probably trespass and theft at the worst. It is only the inadecuacy of the criminal code that saves the hackers from very serious prosecution..."

Casi 30 años despues, señor Thompson, lastimosamente, se continúa un manejo inadecuado por parte de la prensa, y a pesar de nuevas leyes y castigos, las fuerzas policiales de la gran mayoría de paises poseen capacidades técnicas tan limitadas que con mucha dificultad logran aprehender a los más mediocres y menos  sofisticados de los criminales informáticos de hoy en día.


Dios nos salve del futuro, pues de continuar los errores de percepción y poco entendimiento de los fenómenos culturales que nos rodean, estaremos criando una "bestia que no podremos controlar".

6 comentarios:

  1. Como respuesta a este artículo, me hicieron la siguiente pregunta: ¿Qué es una dirección IP? Reproduzco la respuesta por si llega a ser útil para alguien más:

    Una dirección IP es una tupla de números identificadores que poseen todos los dispositivos que se comunican utilizando el protocolo que lleva el mismo nombre (IP). En la versión 4 del protocolo, la tupla consta de 4 numeros unidos por puntos, por ejemplo: 192.168.2.1 y cada número de la tupla puede ir desde 0 hasta 255. Algunas tuplas son especiales y no pueden usarse en las redes públicas. El protocolo IP es el más utilizado en la Internet de hoy y funciona de la siguiente manera:

    Cuando mi laptop desea comunicarse con el servidor de Twitter, ella necesita construir un "paquete" de comunicación que contiene tanto la dirección IP del servidor de Twitter como la dirección IP de mi laptop. Este paquete de comunicación lo puedes comparar a una carta de correo normal, con la dirección del destinatario y la dirección del remitente. Las direcciones IP del paquete de comunicación cumplen exactamente la misma función que cumplen las direcciones fisicas de mi carta de correo: i.e. ayudarle a la oficina postal a encontrar la ruta por donde debe enviar mi carta hasta su destino final. El equivalente de las oficinas postales en la Internet son unos dispositivos especiales llamados "gateways" cuya única función es "enrutar" estos paquetes de comunicación a lo largo y ancho de la Internet. El resto de la comunicación funciona mas o menos de la misma forma que funciona el sistema postal. Mi laptop fabrica el paquete de comunicación (mejormente llamado "paquete IP") y lo envía a su gateway designado. Este gateway a su vez se encarga de mirar la dirección IP de destino y dependiendo de sus "tablas de enrutamiento" decide enviar el paquete a otro gateway mas "cercano" al destino final. Eventualmente, el paquete IP llega hasta su destinatario final, el servidor de Twitter, en donde se desempaqueta, y se lee la comunicación que mi laptop originó. El servidor de Twitter, para contestar esa comunicación, necesita utilizar la direccion IP de origen (el remitente) del paquete, la cual me identifica y sirve para enrutar la respuesta de regreso hasta mi laptop.

    En el contexto que me imagino tu lo quieres usar, ya se debe hacer evidente los problemas que practicamente nadie menciona, pero que si utilizas mi analogía podrás entender facilmente. El resto de "expertos" en este punto te dirán (incorrectamente) que la dirección IP del remitente en un paquete de comunicación es la forma de identificar al perpretador de un crimen informático. Esta afirmación tiene muchos problemas y pasa por alto muchísimos detalles técnicos que muchas veces o se desconocen, o prefieren no abordar por distintas razones (ninguna técnica, pero politicas o de otra índole siempre abundan).

    ResponderEliminar
  2. En primer lugar, en la descripción anterior, una dirección IP identifica al *dispositivo* que ejecuta la comunicación, no a la persona que maneja el dispositivo. Como bien lo han dicho otros antes, si el delincuente se va a un cyber a cometer el crimen, la dirección IP que participa en la "comunicación criminal" es la dirección de la maquina del cyber donde se perpetró el hecho. Si el cyber es seleccionado cuidadosamente, podría no proveer ninguna información útil para atrapar al criminal. En esta situación se hacen necesarios otros procedimientos para dar con el perpetrador, por ejemplo, interrogar testigos en el cyber, etc. Sin embargo, se pone en evidencia que existen técnicas (incluso muy poco sofisticadas como ésta) de "ofuscamiento" de la dirección IP. En consecuencia, a menos que el criminal sea muy poco sofisticado, la dirección IP es la *menos* adecuada para atrapar a un verdadero criminal informático. En otras palabras, los que te hablan de haber "atrapado a hackers" utilizando su dirección IP, en realidad lo que han hecho es atrapar criminaluchos (también conocidos en los circulos de hacking como "lamers") que ni siquiera conocían lo más básico para ocultar sus crímenes. Entonces, a pesar de que se aprecia que atrapen a los criminaluchos, la crítica va hacia utilizar estas aprehensiones para aparentar ventaja en una lucha que en realidad están perdiendo trístemente. Es como si en estos momentos, el gobierno para decir que esta luchando contra la inseguridad presentara que ha arrestado a un monton de criminaluchos de esquina que usan pistolas de madera para asaltarte, mientras todos sabemos que las bandas organizadas con verdaderas armas siguen azotandonos impunemente. Esta situación de lucha contra el cyber-crimen es una realidad mundial, asi que te podrás imaginar como están las cosas en Venezuela y el resto de América Latina. De hecho, no es difícil imaginar a los criminales informáticos más sofisticados utilizando a los "lamers" como "carne de cañon". Para un verdadero criminal informático es muy facil conseguirse a un "lamer" que a cambio de proveerle "herramientas" de explotación exclusivas, ejecute las acciones que el criminal no quiere ejecutar él mismo. En consecuencia, cuando las autoridades avanzan la investigación, primero dan con el "lamer", y ante el inmenso trabajo que implica continuar la investigación para dar con la verdadera mente maestra, prefieren presentar al "lamer" como el único culpable ante la opinión pública: "lo descubrieron con su dirección IP". Para el "lamer", los 10 minutos de fama le caen perfectamente, pues luego la prensa los convierte en "expertos" de seguridad informática, mientras que los verdaderos criminales continuan sueltos y haciendo de las suyas.

    Para finalizar este correo que ya esta bastante largo, quiero intentar explicarte lo fácil y sencillas que son las técnicas de ofuscamiento de dirección IP y la razón por la cual las autoridades (del mundo) prefieren hacer como si no existieran y decir que estan atrapando "hackers" cuando en realidad han atrapado a simples "lamers":

    ResponderEliminar
  3. Regresemos a la analogía del correo normal. Imaginate una oficina postal en algún lado del mundo, que cuando encuentra una carta con remitente: "El Capo, hacienda Pablo Escobar", abre el sobre, saca la carta, la mete en un nuevo sobre, copia el destinatario igual, pero cambia el remitente. El nuevo remitente es su propia dirección, por ejemplo: "Complice, SafeHouse #1". Despues de esta modificación, continua el proceso de enrutamiento de la carta. Todas las respuestas de esa comunicación le llegan primero al complice, en donde se hace el proceso inverso, se cambia la dirección de destino "Complice, SafeHouse #1" a "El Capo, hacienda Pablo Escobar", para que el cirminal informático reciba sus correspondencias de forma normal. Lo que ha sucedido aquí es que para las autoridades, la comunicación es originada por el "Complice en SafeHouse #1" y no por el "Capo en la hacienda Pablo Escobar". Para descubrir este esquema es necesario que las autoridades viajen hasta la "Safe House #1" y allanen al complice que está haciendo estos cambios de dirección. En el mundo de la vida real esto parece muy simple de combatir. En el mundo electrónico, el criminal informatico puede convertir *cualquier* dispositivo conectado a la red en una "safe house" como describimos anteriormente, y el dueño del equipo (complice) ni siquiera sabe que su equipo está haciendo eso. Adicionalmente, el criminal informático puede utilizar no un sólo "Safe House" si no varios! en forma de una cadena, de tal forma que las autoridades tengan que allanar una a una todas las propiedades de la cadena para dar con el criminal. El mercado del malware, se mantiene económicamente vendiendo y comprando dispositivos vulnerados sin el conocimiento de sus dueños. Tu computadora en estos momentos de seguro estará infectada con varios tipos de malware que sirven entre otras cosas para lo que acabo de describir. Los dispositivos que funcionan de esta manera se conocen como "proxies" y como te podras imaginar, si el criminal informático encadena suficientes proxies de esta forma, la tarea de allanarlas cada una de forma física, mas todo el trámite burocrático de ordenes de allanmiento para cada una de ellas, etc, hacen que esta persecusión sea un dolor en el cuello ;). Es mucho mejor, conseguir al "lamer", presentarlo como "experto", darle unas palmaditas en las manos y todos felices y contentos.

    ResponderEliminar
  4. Ahora bien, para iluminar un poco esta nota tan oscura, te comento un poco lo que pienso sobre cómo se debe combatir todo esto. En una sóla frase, se hace necesario la construcción de equipos élite de *ofensiva*. En otras palabras, en lugar de seguir luchando a estos criminales con las técnicas del pasado, se hace necesario modernizarnos y utilizar estas mismas "técnicas de hacking" para combatirlos. Por ejemplo, en lugar de lo que se hace hoy en día a nivel mundial, que es allanar físicamente una de estas localidades donde se encuentra un proxy, que puede estar localizado en otro estado, otro país u otro continente, sería mucho mejor que un "hacker sombrero blanco", con la autorización y orden de un tribunal con jurisprudencia en la localidad donde se encuentra el proxy, infiltre remotamente el dispositivo sospechoso y ejecute la operación de investigación de manera remota y muy rápida. A diferencia de la metodología forense que es mucho mas lenta y aparatosa, de esta forma ofensiva, se lograría conseguir todos los "SafeHouses" del criminal antes de que se dé cuenta que le estan siguiendo la pista, y cambie completamente sus rutas de ocultamiento. Como puedes imaginar, un proceso como éstos requiere primero de una colaboración multinacional, segundo, requiere de unos procesos judiciales lo suficientemente transparentes y expeditos, pero finalmente y mucho mas importante, requiere de una masa lo suficientemente grande de expertos élite en estas tecnologías. Una de las cosas que se desconoce a nivel mundial es que esta linea de expertos es sumamente escasa.

    ResponderEliminar
  5. IP = Número identificador de un PC u otro dispositivo en una red (es como el número de cédula en el país Red, para el ciudadano PC).

    PD: A veces hay que ser menos técnicos cuando se habla a gente no informática, de forma que comprendan fácilmente el concepto ;)

    ResponderEliminar
  6. Hola Luis, gracias por tu comentario. Sin embargo, aquí aplica la "Navaja de Einstein": "Things should be made as simple as possible, but no simpler". Las sobresimplificaciones casi siempre llevan a imprecisiones. Por ejemplo, una PC en una red IPX no necesita una dirección IP. Estas direcciones sólo son requeridas por dispositivos que participan de una red IP. Adicionalmente, no me quiero imaginar explicando el proceso de NATting utilizando cédulas ;) pero "admitidamente", mi respuesta fue mucho mas "ambiciosa" que la pregunta original. Es el precio que hay que pagar por tratar de ser "exhaustivos".

    ResponderEliminar