6.1.07

Esos oscuros personajes del ciberespacio

Son los antihéroes de internet. Dicen que nadie que se autocalifique como hacker realmente lo es, y generalmente son anónimos. En algunos encuentros de hackers celebrados en Estados Unidos, los conferencistas terminaban detenidos. Quizás por eso con los Caos Computer Club despiden siempre el año celebrando su reunión en Berlín desde hace 22 años.

Hace un par de años quise escribir un artículo sobre ellos porque veía que la prensa daba a entender que hacían daño y no mostraba lo que a mi entender es una de las mejores manifestaciones de una nueva cultura, cargada de valores positivos en nuestra época.

El artículo dio vueltas por la redacción durante varios números, y aunque gustó, por otras causas no pudo ser publicado. Quedó en algún sitio de mi disco duro, hasta que ayer pensé en él.

__________________________________

esos oscuros personajes del ciberespacio
Hackers


Expertos, transgresores, siempre al límite de lo legal.
Conocedores de los códigos de programación, irrumpen en
sistemas ajenos, y pueden manejar tu ordenador mejor que tú
mismo frente al teclado. Son llamados “piratas informáticos”, y
lo cierto es que podrían causar mucho daño, pero generalmente
no lo hacen. Han ayudado a la evolución y mejora de muchos
sistemas, denuncian los fallos de las empresas y gobiernos y
continúan aportando sus conocimientos en el ciberespacio; pero
su ambiente es la libertad y su consigna la negación de los
límites.


Cuando alguien -a quien llamaremos Equis- entró en los ordenadores de la NASA, se hizo famoso, aunque con cierta particularidad: los medios no pudieron dar su nombre, porque era menor de edad. Con sólo 16 años, este experto informático desveló los fallos de seguridad de la agencia espacial, en lo que él consideraba un ejercicio de aprendizaje, casi un juego.

“La emoción surge cuando te das cuenta de que estás dentro de un ordenador, y que puedes hacer todo lo que quisieras... pero no me interesa robar información, porque generalmente es material burocrático que no tiene sentido para mí”, dijo en una entrevista a Frontline, de la cadena PBS de EE.UU.

Cada vez que Equis detectaba fallos de seguridad en sitios de Internet, solía enviar un e-mail al administrador del sistema diciéndole que sus ordenadores eran vulnerables, cómo había podido ingresar, y la solución para repararlos. Pero no seguían su consejo, porque unas semanas después, Equis todavía podía acceder a los ordenadores, mientras el gobierno empleaba todos los recursos policiales para atraparlo.

Había estado estudiando programación de ordenadores durante dos años, y conocía Unix y C (importantes sistemas de programación), en sus palabras, “como la palma de su mano”.

Cuando le preguntaron por qué había descargado programas pertenecientes a la NASA, precisó que lo que había bajado era el código de un programa de control ambiental, que no tenía efectos prácticos para él –“¿Quién quiere eso? ¿Para jugar con el acondicionador de aire o qué?”- y que ciertamente el código en sí mismo era malísimo y no valía lo que el gobierno reclamaba. “El precio del software es irrelevante, porque el gobierno paga demasiado por todo”, afirmó. Como estaba estudiando programación, pensó: “¿qué mejor forma de aprender que leyendo software escrito por el gobierno?”. No ocultó sus huellas en ningún momento, porque no creía estar haciendo algo malo.

Pero la Justicia de EE.UU. no lo veía así. Acusado de poseer 1.7 millones de dólares en software en determinado momento, fue sentenciado a pasar 6 meses en prisión.

Otro hacker, quizás el más conocido de todos los tiempos, es Kevin Mitnick. El primero en tener su rostro inmortalizado en un cartel de “Buscado” (most wanted) por el FBI, fue arrestado por primera vez a los 17 años, y cumplió en total tres condenas tras las rejas. La última, de casi 5 años, por robar código de programación de varias compañías de alta tecnología, como Sun Microsystems, Nokia y Motorola. Fue liberado en enero de 2000, con la prohibición de utilizar un ordenador –o cualquier tipo de dispositivo, como móviles, PDAs o incluso televisión con acceso a Internet- sin permiso judicial durante tres años.

Los ataques de Mitnick consistían en utilizar todo tipo de trucos para entrar legalmente en ordenadores de todo el mundo, y salir sin dejar rastro. No ocasionó daños ni destruía archivos, tampoco utilizó información con fines de lucro. Quizás por ello, la condena fue controvertida.

Incomunicado durante 8 meses, sólo porque un fiscal federal convenció al jurado de que el acusado podría comenzar una guerra nuclear sólo silbando en el teléfono, el caso Mitnick supuso un mensaje por parte de las autoridades hacia otros hackers.

[Quiénes son]

Los destinatarios de ese mensaje, protagonistas del ciberberespacio, son por lo
general, buenos para protagonizar titulares pero desconocidos para la mayoría de las personas.

Según K. Mitnick en su declaración al Senado, la definición de la palabra hacker ha sido “ampliamente distorsionada por los medios de comunicación”. Desde el otro lado, Alberto Escudero Pascual, experto internacional en seguridad que ha participado en diferentes foros de la Unión Europea en el área de Cibercrimen y Protección de Datos, también considera que “el término hacker es normalmente usado erróneamente para definir a un especialista informático que causa daños a terceros. En realidad el término más adecuado debería ser el de pirata informático o cracker”, ya que “un hacker es una persona capaz de entender como las nuevas tecnologías funcionan y sacar mejor partido de ellas”. La palabra hacker “debe ser entendida de manera positiva, innovadora”, agrega Escudero.

Emmanuel Goldstein, editor de la revista 2600, especializada en hackers, comenta que "únicamente en el tema hackers, los medios de comunicación creen a cualquiera que afirme que es un hacker. ¿Creerías a alguien que dijese que es policía? ¿O médico? ¿O piloto de compañía aérea? Seguramente deberían probar su habilidades de alguna manera... Pero te acercas a un periodista y le dices que eres hacker y escribirán una historia sobre ti diciendo al mundo exactamente lo que le cuentes sin darles una prueba”.

Según el Jargon File (el Archivo Jargon), un prestigioso diccionario de especialistas actualizado constantemente en Internet, un hacker sería básicamente alguien que “disfruta explorando los detalles de sistemas programables y cómo aprovechar sus capacidades, en oposición a la mayoría de los usuarios, que prefieren aprender sólo lo mínimo necesario”.

Muchos analistas del tema subrayan el componente de curiosidad y creatividad inherente a estos individuos. Uno de ellos, Paul A. Taylor, es Catedrático en Comunicación de la Universidad de Leeds, y ha estudiado la cultura hacker para escribir su libro “Hacktivism and Cyberwars: Rebels with a Cause?” (Hacktivismo y ciberguerras: rebeldes con causa?). Dice: “un hacker es distintas cosas para distinta gente. Para los entendidos en el tema es alguien que utiliza cualquier tecnnología de manera original o creativa. Para la mayoría de la prensa, y la industria informática, es alguien que irrumpe en los sistemas de otras personas”.

Taylor distingue entre la interpretación positiva del hacking, “en términos de la exploración de los sistemas de información como un juego”, y la negativa, que se refiere al vandalismo y la destrucción, aunque advierte que “esto debe ser cogido con pinzas porque a los políticos les gustan los titulares y a las empresas de seguridad informática les gusta exagerar la amenaza porque es bueno para su negocio”.

[Vulnerabilidad y virus]

Muchos usuarios tomaron conciencia de la vulnerabilidad en Internet cuando un grupo de hackers, conocidos como Cult of the Dead Cow (CDC), desarrollaron un programa llamado “Puerta Trasera” (Back Orifice), que permite ver y controlar a distancia a cualquier ordenador que utilice Windows, desde el Windows 95 en adelante. Se calcula que el 90% de los ordenadores personales en el mundo tienen instalado el popular sistema operativo de Microsoft. Reid y Count, dos miembros de CDC, afirman que con ello intentaban que esta empresa admitiese que sus productos eran completamente inseguros e inestables. “Damos por sentado que los ordenadores se bloquearán varias veces al día, estamos acostumbrados a temer a un e-mail que trae un archivo adjunto... Hemos desarrollado algo así como un miedo pasivo. Si tu coche se calase varias veces al día, y de vez en cuando destruyese todas tus pertenencias personales, estarías realmente furioso con el fabricante”, grafica.

También en España se utiliza ampliamente el sistema Windows, al menos por ahora. Según Alberto Escudero Pascual, los ataques más frecuentes a usuarios particulares en nuestros país suelen ser los relacionados con los virus o gusanos informáticos. En los 90, los virus causaron mucho daño a los usuarios de Windows principalmente, ya que otros sistemas operativos -como Linux- son inmunes a estos ataques.

José Manuel Crespo, de Panda Software, empresa española especializada en antivirus, explica que “las acciones de los hackers no se pueden contabilizar como las infecciones por virus informáticos. Son dos mundos distintos. Puede haber un hacker que cree virus, pero no cuadra, exactamente, con el perfil de un hacker. Los virus los desarrolla un creador de virus”.

Concuerda Paul Taylor al afirmar que “la mayoría de los usuarios son afectados por los escritores de virus, que son una raza diferente a la de los hackers. Los verdaderos hackers consideran que están ayudando a mejorar la seguridad, atrayendo la atención hacia los fallos existentes o hacia los temas de privacidad que nos pueden afectar negativamente.”

[Delitos en la red]

Más allá de los hackers y los virus, el delito en Internet está a la orden del día, y tiene muchas caras. Richard Power, director editorial del Computer Security Institute (San Francisco, USA) afirma que la actividad criminal en la red va “desde el robo insignificante, hasta, realmente, el terrorismo de estado, con todos los grados que hay en el medio”. En su afirmación caben “los robos masivos de números de tarjetas de crédito, los gobiernos y las entidades corporativas que también roban tecnología, y ciertos grupos que poseen satélites, recolectan y diseminan información en operaciones de inteligencia”. En este sentido el crimen organizado es el principal peligro que encontramos en la red, y por ello, Power afirma que “el problema es mucho más complejo que los hackers; ellos son chavales muy brillantes que solucionan rompecabezas que gente con titulaciones de ingeniería informática no puede resolver; pero los jóvenes hackers son arrestados, y la razón por la que lo son es porque no son profesionales”.

La actitud de los hackers, no profesional pero concordante con sus valores morales, es lo que los distingue de otros delincuentes de Internet. Chris Davis, un asesor de seguridad y también un ex-hacker, afirma que es posible hacer caer Internet durante 2-3 horas, y que conoce a gente que tiene la habilidad de hacerlo. “Pero afortunadamente, no quieren hacerlo. Son personas honestas... Por suerte, la gente que está dentro del crimen organizado, o en grupos terroristas, todavía no tienen ese nivel de conocimientos, y si lo alcanzasen... en ese punto sería realmente preocupante”, reflexiona.

Cualquiera sea el atacante, las empresas están mucho más expuestas a todo tipo de intrusiones que los usuarios particulares. Bruce Schneier, autor del libro “Criptografía aplicada” (Applied Cryptography ), afirma que “vemos importantes sitios de internet que han sido hackeados, y se caen durante seis, ocho, diez horas... esto afecta mucho su credibilidad”. Y por lo tanto, sus ingresos.

Hablando de dinero, las opiniones no son unánimes. Richard Power afirma que uno de sus mayores problemas es cuantificar las pérdidas financieras de los ciberataques, ya que una cifra de cientos de miles de dólares perdidos en un ataque corresponde en su mayor parte al precio de la limpieza y la investigación, pero los costes reales son los de las oportunidades de negocios que no se realizaron. “Si haces comercio electrónico y cuentas con 600 mil dólares de ingresos por hora, como es el caso de Amazon, y tu servicio es interrumpido por un ataque, puedes empezar a restar 600 mil dólares por cada hora que estás sin servicio”, ejemplifica.

El director de Information Security, de Microsoft, Howard Smith, no comparte esa perspectiva: “Algunos de los informes alegan que billones de dólares de negocio se han perdido. Bueno, si ése fuera el caso de una baja del servicio por 5 horas, se deduciría que la compañía está produciendo trillones de dólares por año, y eso no es real”. Sin embargo, reconoce que hay productos que ellos tienen que mejorar, y parches que tienen que desarrollar.

Si las empresas son vulnerables, ¿qué nos queda a los usuarios corrientes? “La mayoría de los internautas particulares no tiene nada que valga la pena robar... Es la ironía de proteger tu casa por medio de la pobreza”, agrega Schneier.

Panda Software, sin embargo, enumera los riesgos que corre un usuario promedio: “Que le roben la información de su equipo, las claves que utiliza en su banca on line, que un virus le estropee el ordenador, que su pc se conecte por sí solo a un número de teléfono de pago, y que el spam (correo basura) sature su correo electrónico y no le deje trabajar con él”. Según la empresa de seguridad informática, nada que no solucione un buen antivirus.

Algo menos simplista se muestra Escudero Pascual, para quien el riesgo de los internautas es “no saber lo que ocurre en su máquina, y lo que es peor, que se le pongan todo tipo de impedimentos para saber lo que ocurre”. Por esto nos aconseja “no tener miedo, acercarse a las nuevas tecnologias con paciencia. Si se tarda un mes en aprender a conducir y son tres pedales y un volante, es necesario darse el tiempo para ser capaz de usar las nuevas tecnologías, que al menos tienen 102 teclas”.

[Seguridad y código abierto]

“Creo que Internet nunca será segura” –dispara Bruce Schneier- “pero está bien, el mundo real es un lugar inseguro. La razón por la que tenemos seguridad en nuestra vida diaria no es por alguna tecnología mágica que vuelve inefectivas a las armas, sino porque tenemos cultura, tenemos reglas sociales, leyes... Y veo lo mismo sucediendo en Internet.”

Alberto Escudero Pascual considera a Internet “tan segura como Madrid o Barcelona”. Dice que “existen medios y tecnologia para realizar comunicaciones seguras”, ya que “Internet define una manera simple de enviar o recibir información, es posible crear canales seguros encima de una red que por definición es abierta”.

“Internet fue construida con la idea de que todos íbamos a ser amables el uno con el otro - explica Reid. “Todos los protocolos asumen, básicamente, que nadie va a mentir o robar. Fue diseñada por el gobierno de los Estados Unidos para planificar acciones militares, luego fue utilizada por los científicos para la investigación coordinada. Esos protocolos son simples, rápidos, eficientes, pero están abiertos de par en par”.

La posibilidad enorme de comunicación que significa Internet, es lo que ha permitido que a lo largo de sus pocos años de existencia se desarrollen los programas de código abierto. Estos son programas cuyo lenguaje de programación –lo que se denomina el código fuente- no permanece secreto, como en el caso del software de pago, sino que cualquier programador puede leerlo y mejorarlo. Los programas de código abierto son construidos y desarrollados por innumerables expertos alrededor del mundo, y de esta manera se consiguen sistemas más estables y seguros. Los problemas son detectados más rápidamente cuando un programa es observado, evaluado y corregido por muchas más personas que las que puede haber en una compañía, lo que hace a los programas de código abierto más seguros que el software de pago.

Al igual que la comunidad de investigadores que al publicar sus trabajos en revistas internacionales permiten el progreso de la ciencia, la colaboración de hackers es fundamental en el desarrollo de nuevos programas, cuya evolución se apoya en el conocimiento del pasado.

Quizás los hackers estén allí para obligarnos a tomar conciencia de ciertos debates inspirados por el mundo virtual. Todavía hay muchas cosas que el hombre tiene que dilucidar en la nueva dimensión que es Internet. Entre ellas, la de su propia definición. Count cree que el miedo que inspira la Red de Redes se debe fundamentalmente a que “hay muchos conceptos erróneos sobre lo que es Internet. Internet no es una fila de libros bellamente empaquetados y alineados en una biblioteca donde todo está organizado según el Sistema Métrico Decimal”- ironiza. “No está saneada, categorizada, envasada y con fecha de caducidad en un estante. Internet es un espejo de la sociedad. Es verdaderamente algo que refleja los tipos de personas, los objetos, lo que se dice, lo que se ve y lo que se lee en el mundo real. Los criminales estarán allí también. La sociedad es compleja, y a menudo muy desordenada. Y pienso que la gente tiene que lidiar con ello, arremangarse, mojarse, tratar de arreglar lo que está averiado".

Marilin Gonzalo