De un tiempo a esta parte, la figura del hacker ha despertado gran expectación en la sociedad. Su astucia y brillante capacidad para desenvolverse en el denominado “underground de la Red ”, han sido en ocasiones objeto de estudio, así como motivo suficiente como para convertir su actividad en el argumento de una película de acción. De hecho, filmes como “Juegos de guerra” o “Hackers”, intentaron retratar a este tipo de intrusos, mostrando a jóvenes prodigio capaces de acceder a complejos sistemas de información, con un único objetivo: poner en evidencia la seguridad de los mismos. Pero no es en realidad un prototipo, y todos sabemos que la ficción no supera la realidad.
Los primeros hackers comenzaron a actuar en la década de los ochenta. Desde entonces, el continuo crecimiento del número de ordenadores conectados a Internet, -se ha llegado a registrar una cifra de 407,1 millones de internautas en el último año- ha facilitado no sólo la aparición de nuevos “fichajes”, sino también su futura preparación. El término fué popularizado por el escritor Steven Lery en su obra titulada “Hackers”, donde se retrata a una serie de individuos cuya única pretensión era la de convertir la tecnología en un bien accesible para todo el mundo. Sin embargo, desde entonces, el término “hacker” ha ido adoptando un sentido mucho más peyorativo, utilizando para calificar a aquellos programadores capaces de causar la caída de un sistema en vez de solucionar el problema a través de la tecnología. De hecho, en la obra “A prueba de Hackers”, su autor Lars Klander llega a definir a este colectivo como a un conjunto de “personas que se divierten rompiendo sistemas, robando contraseñas y el código de programas, y generalmente, intentando resultar tan problemáticos como sea posible”. (Pobre ignorante, su concepto de hackers seguro que está influido por algún ataque sufrido o algún resentimiento personal).

No obstante, no todos los intrusos que se introducen ilegalmente en los sistemas no tienen el mismo afán de destrucción, por lo que no merecen el mismo tratamiento. Según el conocimiento que presenten del medio en el que operan, estos individuos pueden definirse de un modo u otro. En este sentido, Eric S. Raymond en su obra “The New Hacker’s Dictionary”, (Diccionario del Hácker), define a este tipo de intrusos como personas que disfrutan del reto intelectual de superar las limitaciones de forma creativa. El autor también señala que los hackers se consideran a sí mismos como parte de una élite, en la que la habilidad es una de sus virtudes, y el deseo de encontrar modos de quebrantar nuevas medidas, uno de sus móviles.
Su orgullo y elevada autoestima indujo a estos personajes a acuñar en 1985 otros términos como cracker, para aludir a un tipo de intrusos que, con menor experiencia técnica que el resto, son incluso más peligrosos que ellos mismos. Considerados como verdaderos vándalos, los crackers suelen agruparse en grupos pequeños y privados. Es el denominado lado oscuro del hacking, donde prima el objetivo de introducirse ilegalmente en sistemas, desproteger productos y, en definitiva, destruir.
Por todo ello, y a pesar de la ilegalidad de cualquiera de estas acciones, el hacker es posiblemente la figura mejor considerada dentro del denominado submundo electrónico. Es más, su conocimiento y experiencia se han convertido en ocasiones en un recurso muy codiciado por algunas entidades y compañías, deslumbradas por la habilidad de estos individuos. Fue el caso de “El bruxo”, un pirata que consiguió acceder a la Web oficial del presidente de Irán, y dejar un escrito, sin dañar ningún tipo de información. La brillantez del hacker sorprendió tanto al presidente que, sin dudarlo, le ofreció un puesto de trabajo, cosa que el rechazó pues su país de origen era España, es el día de hoy que nadie todavía sabe quién es ni dónde está ubicado, tan solo un grupo de sus amigos lo conocen.

Antes de realizar cualquier ataque, el hacker comienza a husmear por la red, con el fín de recopilar toda la información posible sobre el sistema al que desea acceder. Es el denominado ataque de sniffer, basado principalmente en conseguir la clave de un usuario y su contraseña, y utilizarla después para introducirse en una red distribuida. Para ello se utilizan unos programas (sniffers), capaz de capturar paquetes de datos que pasan por un servidor, para conseguir los login. Otra técnica muy utilizada por la comunidad de hackers durante la fase de recopilación de información es la denominada Ingeniería Social. Se trata de una estrategia que el intruso pone en marcha, fingiendo ser otra persona para obtener información relevante. Uno de los escenarios en los que se utiliza esta técnica con mas frecuencia es el IRC. A menudo, y tras establecer amistad con un usuario fingiendo ser otra persona, algunos hackers llegan incluso a convencer a su víctima de que la cuenta que está utilizando no es propia y que debe desconectarse. Es entonces cuando le comenta que, a pesar de ello, le gustaría seguir manteniendo su amistad y que por tanto, la única solución es que el segundo le deje utilizar su password.
Un método mas sofisticado es el basado en la predicción de secuencias de números adjudicados a cada uno de los paquetes transportados sobre protocolos TCP/IP. En la obra “A prueba de Hackers” de Lars Klander, el autor explica como se lleva a cabo este ataque. En primer lugar el intruso averigua las direcciones IP del servidor, espiando los paquetes de datos que van dirigidos a él o bien conectando con el sitio que desea atacar a través de un explorador Web y viendo la dirección que aparece en la barra de estado. Una vez conocida la dirección IP del sistema y sabiendo el número de ordenadores que pueden estar conectados a la Red, el intruso puede lograr su objetivo. Solo tendrá que probar distintas secuencias numéricas hasta dar con la deseada. Una vez logrado el primer paso, el intruso podrá acceder fácilmente a los datos que contenga el servidor.

Otra de las amenazas preferidas de los hackers es el ataque basado en contraseñas, mediante el uso de programas específicos capaces de comprobar las password automáticamente. Uno de los mas populares es el basado en diccionarios. En el caso de herramientas como DCM 2.0, Dictionary File Creater 1.1, DictMake, Advanced zzip password recovery o John the ripper para LINUX/UNIX, capaces de recorrer todas las palabras de un diccionario hasta encontrar la contraseña. Son aplicaciones muy útiles para todos aquellos que desconocen la password por completo. Sin embargo, no hay que olvidar que, en función de las capacidades técnicas que posea el hacker, deberá invertir mas o menos tiempo en la búsqueda.

No obstante, es posible que el intruso conozca algunos de los caracteres alfanuméricos que configuran una contraseña. En este caso, puede utilizar aplicaciones como Refiner, que tras un proceso de búsqueda y partiendo de algunos caracteres predefinidos por el usuario, muestran diferentes combinaciones de contraseñas en un documento de texto. La mayoría de estos programas se encuentra disponibles de forma gratuita en Internet, en cualquiera de las miles de páginas Web dedicadas al mundo del hacking y del cracking. Sin embargo, el hacker ha de tener siempre en cuenta, que su intromisión puede a veces volverse contra él ya que, normalmente, éste ha de revelar su situación para llevar a cabo la amenaza. Si es detectado por su víctima, el servidor también será localizado. En cualquier caso, un hacker que se precie nunca cometerá tal error, sino que utilizará un ordenador que no le pertenezca. En este caso, la dificultad de cazar al intruso con las manos en la masa se incrementa, teniendo en cuenta que sus ataques duran escasamente unos minutos. Por tanto, en la mayoría de los casos, las víctimas se han de conformar con lograr reiniciar el servicio una vez producida la amenaza. No obstante, estos últimos pueden plantear medidas de seguridad que les permitan evitar futuras amenazas. No hay que olvidar que la utilización de firewalls o cortafuegos, a la hora de conectar una red local a Internet puede evitar males mayores. Otra posibilidad consiste en utilizar firmas digitales para asegurar la confidencialidad de un documento, o codificar las transmisiones que se realicen, sobre todo a través de la red. Para ello, el receptor deberá contar con una clave para poder traducir el mensaje.

A pesar de las “buenas intenciones” que pueden inducir a este tipo de individuos a cometer su ataque, lo cierto es que esta actividad es ilegal y, por tanto, esta contemplada como delito penal. De hecho, recientemente el mundo entero ha podido asistir a un importante juicio celebrado contra un hacker en Estados Unidos. En esta ocasión, el acusado era un joven de 16 años llamado Mafiaboy. El motivo de su detención no fue otro que hackear las páginas Web de Yahoo!, CNN, Amazon y eBay. La acción del joven, que finalmente se declaró culpable de 55 de los 65 cargos que se le imputaron, provocó unos daños que ascendieron a 1.700 millones de dólares. Unas cifras escalofriantes que llevaran a Mafiaboy a permanecer en libertad condicional hasta el dictamen de la sentencia.

En cualquier caso, el interés por poner punto y final al brillante currículum de estos intrusos no es una pretensión actual. Ya en 1.990 se inició en Estados Unidos una caza de hackers, traducida en multitud de denuncias, arrestos, juicios e incluso confiscaciones de equipos. El escritor Bruce Sterling lo refleja en su libro electrónico “The Hackers Crackdown”, y explica cómo el Servicio Secreto de EE.UU., civiles expertos en seguridad telefónica y departamentos y brigadas de policía estatales y locales “unieron sus fuerzas en un decidido esfuerzo por aplastar la cabeza del underground electrónico americano”. Desde entonces, han surgido multitud de grupos de presión generados con el único objetivo de poner fin a las acciones de este colectivo y regular la situación. De hecho, una de las últimas iniciativas ha sido la constitución de la organización IT Information Sharing and Analisis Center (IT-ISAC. Formada por un total de 19 compañías, entre las que se encuentran Computer Associates, Cisco Systems, Microsoft, Oracle, Veridian, CSC, IBM y Hewlett-Packard, la entidad se ha creado con la finalidad de informar al sector de las tecnologías de la información e intercambiar información sobre incidentes, amenazas, ataques, vulnerabilidades, soluciones, contramedidas, mejores prácticas de seguridad y otras medidas de protección. Al IT-ISAC, que trabajará junto con el Gobierno de EE.UU. para evitar futuros ataques a sus miembros, pueden adherirse todas aquellas compañías que lo deseen abonando por ello una cuota de cinco mil dólares anuales. En España, la legislación contempla igualmente como delito la intromisión y la intercepción de las comunicaciones.
En concreto, el artículo 197 del Código Penal establece que “el que para descubrir los secretos o vulnerar la intimidad de otros sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro millones”. El mismo artículo argumenta a su vez que “las mismas penas se impondrán al que, sin estar autorizado se apodere en perjuicio de terceros, de datos reservados de carácter personal de otro que se hallen registrados en ficheros o soportes informáticos”. Asimismo, en el artículo 256 del Código Penal se especifica que “el que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a este un perjuicio superior a cincuenta mil pesetas, será castigado con la pena de multa de tres a doce meses”.
En definitiva, medidas que se plantearan como nuevos retos para todos aquellos que deseen iniciarse en el apasionante e ilegal mundo del Hacking.
NOTA :
Sres. Si después de leer esto se dan cuenta Uds de quienes son los hackers pagados por los gobiernos y grandes empresas y con todos los medios a su alcance, estarán uds en el buen camino pues es cierto que los mayores Hackers del Mundo son las propias Multinacionacionales y los que invitan a realizar este tipo de ataques. Si en la Red no existe una justicia con una jurisprudencia ya definida, nadie puede meter en la cárcel a nadie y menos si no se hace daño, sino que encima se aprovechan de la información obtenida por estos grupos.

De nada les valdrá su hipocresía, su prepotencia. Siempre habrá "mentes inquietas" dispuestas a despertarles de su sueño de control total. Algunos lo harán sólo por autoestima, otros por demostrar la imposibilidad de controlar los bits...y algunos lo harán por el simple hecho de sentirse libres...sentirse bien. Indudablemente alguno lo hará por demostrar que tiene cualidades más que sobradas para ser un gran administrador de sistemas. ¡Hay que comer, qué coño!. Pero ahí estan, es un hecho. Para algunos, un atisbo de esperanza para la humanidad por sus grandes ideales altruistas. Para muchos, auténtica basura que hay que eliminar como sea, pues son lo único que se interpone ante su poder. Que cada cual saque sus propias conclusiones.

Steven Levy establece en su obra “Hackers, Héroes de la Revolución Informática”, algunos principios básicos del hacking:

1º. - El acceso a los ordenadores y a cualquier cosa que pueda enseñar algo acerca del modo en que funciona el mundo debe ser ilimitado.

2º. - Apelar siempre a la expresión: ¡Manos a la obra!

3º. - Toda información ha de ser libre y gratuita.

4º. - Hay que desconfiar de la autoridad.

5º. - Los hackers deberán de ser juzgados por sus actos, y no por falsos criterios como títulos, edad, raza o posición.

6º. - En un ordenador puede crearse arte y belleza.

7º.- El ordenador puede mejorar la vida.


Muchas gracias por leer todo esto e intentar comprenderlo.
Sin la libertad no se puede vivir ¿quién nos la quiere quitar?, ¿por qué debemos borrar nuestras huellas y caminar sin pisar el suelo?

Tomás Soto (Sn@ke)
León (España)

Texto propiedad de www.vilechahosting.com