Historias de hackers

Los hackers, hoy, son piezas fundamentales como consultores de seguridad informática de las empresas.

Cada día son más los intrusos que penetran a las redes y servidores de todo el mundo. La figura del hacker, en la jerga informática, se ha expandido desde la década de 1980, cuando fue dado a conocer como aquel antihéroe capaz de provocar serios daños, de manera ofensiva.

La idea, claramente, fue creciendo hasta el punto de que el 80% de las redes en empresas y los gobiernos sufrieron violaciones de seguridad informática el año pasado.

Las pérdidas, traducidas al terreno económico, no son menores: algunas empresas alrededor del mundo llegaron a perder más de 45,000 millones de dólares por robos de información.

 

Unos 67 ataque individuales promediaron alrededor de 15 millones de dólares en pérdidas. El virus "LoveLetter" causó daños por unos 10,000 millones de dólares; y el recordado virus Melissa reportó daños por 385 millones de dólares. El costo de los desastres por virus, según reportes, oscila entre US$ 100.000 y US$ 1 millón por empresa.

CASOS RECIENTES

En septiembre de 2009, el portal Web de la vicepresidencia de la República abría con la imagen del jugador argentino Lionel Messi y la frase "No se emocionen paragüitas. Tenemos 2 mundiales. Ustedes cuántos tienen".

En julio de 2011, el sitio web de la Asociación Paraguaya de Fútbol (APF) fue inhabilitado, con una frase que abría: "Paraguay a la final si.. A poner a venezuela en su sitio XDXD (sic)", en referencia a un encuentro que la selección nacional debía mantener con el país caribeño, en busca de su clasificación a la final de la Copa América 2011.

Otro ente vulnerado fue la Compañía Paraguaya de Comunicaciones (Copaco), en mayo del año pasado. En aquella ocasión, dejaron el rastro de: "Hackeado por RcP".

Al parecer, las entidades y organizaciones estatales son las preferidas para los ataques informáticos. En julio de 2011, la Agencia de Información Pública del Paraguay (IP Paraguay). "Ha sido hackeada la página de la Agencia de Información Pública del Paraguay (IP Paraguay) En breve estaremos nuevamente activos", rezaba un tuit de la agencia.

 

Un día después, el sitio web oficial de la embajada paraguaya en Argentina también sufría un ataque.

Lo mismo ocurrió con el sitio web del lado paraguayo de Itaipú Binacional, cuando la imagen de un guerrero junto a la frase "Hackeado por Swan (cisne)" se visualizaba en el centro de la página principal.

En diciembre de 2009, un grupo de hackers quisieron dejar sus felicitaciones por las fiestas de fin de año, y bloquearon el acceso al sitio oficial del Ministerio de Industria y Comercio, con la frase –a modo de eslogan–de "Feliz Navidad – LatinHackTeam".

 

El mismo ataque sufrieron en el mismo mes y año, al menos unos 49 sitios tales como el de la Cooperativa Universitaria, Cooperativa San Cristóbal y hasta la web del Instituto Nacional de Cooperativismo. Lo mismo afectó al estudio jurídico de Vouga & Olmedo Abogados y a la asesoría jurídica de Nora Ruoti.

Antes, en 2008, un sujeto mexicano que respondía al alias de "JamZ" demostró la vulnerabilidad de varias páginas web paraguayas, con el objetivo de "buscar empleo".

El hacker accediió a la web de empresas y entidades como el Shopping Británico, Senatur, Punto Py, Liquid, Shopping del Sol y El Productor.

En varias de ellas colocó la imagen de "Don Ramón", popular personaje de la serie de televisión mexicana, "El Chavo del 8".

LAMERS

En la jerga informática, quienes realizan esos ataques que afectan la visibilidad de los sitios web, tanto como el envío de "Xploits" a través de correos como el de Hotmail, para que la víctima abra el correo y cliquee en un ".exe", corresponde a los denominados lamers.

Estos, a diferencia de los "hackers", se proponen obtener contraseñas de Hotmail, MSN, "defacear" sitios web porque el administrador lo "baneó", mostrándose como hackers a través de programas de terceros. Muchos de ellos, inclusive, no conocen de programación.

HACKERS

A diferencia de los lamers, los hackers se caracterizan por ingresar al sistema sin destruir la interfaz de la web. Muchos de ellos dejan un correo electrónico para contactar al administrador del sitio y notificar sobre la vulnerabilidad que encontró en su página web.

Muchos incluso contactan al webmaster antes de realizar el "deface", avisándole que examinará las vulnerabilidades en sus servidores.

 

CRACKER

A diferencia del hacker y el lammer, el cracker se especializa en romper cadenas y "keys" de seguridad en aplicaciones informáticas para utilizar dichas aplicaciones, sin pagar el costo de las licencias.

El cracker es reconocido por analizar las deficiencias o agujeros posibles de seguridad de un sistema o aplicación, para quebrantarlos en busca de su propio beneficio.

EN EL CINE

Los hackers fueron plasmados en el séptimo arte de diferentes maneras. En la mayoría de los casos, fueron representados como personas solitarias que llevan a cabo un plan casi maquiavélico.

Entre las primeras, "Tron" (1982) utilizó el concepto de ciberespacio para exponer un conflicto entre el bien y el mal, en un universo paralelo. En la película, un programador crea un videojuego exitoso, pero su jefe se lo roba y lo despide. Al intentar ingresar a los sistemas de la compañía, buscando pruebas, el personaje detecta los problemas de seguridad de la empresa y combate con el software de seguridad para sobrevivir.

Desde allí, el cine dio fruto a distintas películas que decidieron retratar al informático hacker. Desde WarGames (Juegos de Guerra, 1983), Real Genius (Escuela para genios, 1985), Sneakers (Intrusos, 1992); así como las más recientes Goldeneye (1995), Hackers (1995), The Net (La red, 1995), The Matrix (1999) y AntiTrust (2001).

¿POR QUÉ "HACKEAR"?

Los motivos que impulsan a un conocedor informático a ingresar a un sistema pueden ser varios: desde conseguir beneficios al vulnerar los sistemas de seguridad de un sitio web, como ser información crítica de usuarios, beneficios económicos directos, como la suplantación de código de publicidad como la de Google Adsense, hasta datos más importantes conseguir números de tarjeta de crédito, etcétera.

En el caso de Fernando Goetz, desarrollador y programador, explica que lo utiliza para probarse a sí mismo sus conocimientos. "Es como un reto, un desafío informático; este último motivo sería parte del concepto del ‘hacking ético’. El único beneficio que se obtiene es del conocer que se pudo comprometer a un sistema en cuestión y no deriva en pérdidas para el ‘hackeado’".

HACKING ÉTICO

El "hacker ético" es una persona con amplios conocimientos en informática, y sobre todo de seguridad informática, que utiliza esos conocimientos para identificar las vulnerabilidades de un sistema, pudiendo acceder a  información confidencial. "No utiliza la información para su beneficio ni perjudica de forma directa al propietario de dicho sistema. Generalmente los propietarios de sitios son los que contratan a los ‘hackers éticos’ o expertos de seguridad para detectar vulnerabilidades de dicho sitio", refiere Goetz.

 

LOS SECRETOS

La mayoría de los hackers enriquecen sus conocimientos de manera empírica. "Como todo informático que ama lo que hace, el ‘hacker’ se forma investigando cuestiones de seguridad via Internet, libros, etcétera. Obviamente también obtienen conocimientos en cursos específicos de seguridad web, donde enseñan qué tener en cuenta para minimizar la posibilidad de que el sistema de uno sea comprometido; ya uno decidirá si usar ese conocimiento para aprovecharse de las vulneravilidades de sistemas y obtener ganancias, o utilizarlo de forma ética y sin daños a terceros", explica el informático.

 

LAS HERRAMIENTAS

Entre las principales herramientas de hackeo, sin dudas, se encuentra el conocimiento. Si bien existen "scripts" o programas que facilitan el proceso, será difícil aprovechar la vulnerabilidad de un sistema sin mayores conocimientos.

Al respecto, Fernando Goetz manifiesta: "Hay que admitir que sí se puede vulnerar un sitio web con pocos conocimientos y con buenos scripts. Es el concepto del ‘lammer’, que es una persona con pocos conocimientos de seguridad informática, pero con algunos que otros scripts descargados pueden comprometer a un sitio y jactarse de hacker por tal hazaña".

Para tales efectos, utilizan programas para control de puertos abiertos, detección de SQL injection, XSS, RFI, LFI, diversos exploits, entre otros. Entre los programas comerciales, como el software Acunetix, ayudan a detectar y posteriormente poder solucionar bugs de seguridad de un sitio.

"Además hay scripts como los PHP Shell, que es un archivo escrito en PHP, que luego de poder subir al servidor que se ha accedido nos ofrece en un solo archivo funciones para seguir explorando dicho servidor para obtener más y más información. Uno de los más utilizados es el c99shell, que puede ser descargado desde Internet", manifiesta.

LA PREVENCIÓN

Entre las medidas de prevención más importantes, se apunta realizar un scan de los posibles agujeros de seguridad que puedan tener el sitio. Para ello se utilizan herramientas de escaneo. Luego de tener la lista de las vulnerabilidades, se empieza a "parchear" el sistema.

 

"Lo recomendable es siempre encriptar passwords, control de IDs, utilización de funciones almacenadas en base de datos con sus respectivos controles, otorgar permiso específicos a usuarios con roles distintos, manejar usuarios de base de datos distintos para usos bien diferenciado", explica Goetz.

"Por ejemplo, que el usuario del ‘frontend’ del sitio web sea distinto al del ‘backend’, verificar la seguridad del sitio estando o no ‘logueado’, con distintos tipos de roles. Verificar las vulnerabilidades de sistemas anteriores que pudieran estar incluso en otro servidor pero que tenga acceso al sistema en cuestión", manifiesta. Esto último –según expresa– es muy importante, debido a que a veces el informático se centra en la seguridad del sistema que quiere de alguna forma "asegurar", pero si otros sitios –como por ejemplo la versión del sitio anterior– sigue online, y no fue testeado, podrá persistir el problema.

HACKING ÉTICO EN PARAGUAY

En nuestro país aún no es común oír de ‘hacking ético’ en cuanto a seguridad en nuestro país, pero es utilizado en sistemas que manejan datos críticos.

"Sinceramente son pocas las empresas que invierten en seguridad, tal vez no haya interés en los ‘hackers’ de comprometer a sus sitios, o simplemente ya han sido ‘hackeados’, y ni se dieron cuenta", comenta Goetz.

Jorge Alfonso, declarado ex hacker, expresa que en nuestro medio no existe una conciencia acerca de la importancia de la seguridad informática debido a que las organizaciones se concentran en su "core business", y piensan que nunca serán atacadas o vulneradas en sus sistemas informáticos.

Así fue como nació la idea del "Ethical Hacking and Security Conference Paraguay", mayor evento sobre hacking ético que se realizará en nuestro país el próximo 14 de abril.

Alfonso, coordinador del evento, adelanta que las ponencias tratarán diversos temas como Hacking, cracking, phreaking, virii (debug), WiFi, Voz sobre IP, GSM Ciencia forense, investigación y técnicas antiforense; hasta tercerización de servicios de seguridad, oportunidades y amenazas; y desafíos de seguridad en las empresas de Telecomunicaciones.

 

Todo indica que la seguridad seguirá siendo la prioridad para las empresas. Para ello, no faltarán los conocedores informáticos o hackers defensivos, tal vez menos oscuros que los del cine, pero mucho más reales de lo que parece.