Jóvenes, 'hackers' y muy
preparados: los otros dueños de internet
El Confidencial - 2015
Pueden tener solo 12 años, pero
están sobradamente preparados. Son los otros dueños de internet, los autores de
algunos de los ataques de seguridad más sonados en la red. ¿Cómo controlarlos?
“Crackas With Attitude” es un
grupo de adolescentes que asaltó el mes pasado una cuenta de correo del
director de la CIA, hackeó después la de la mujer del director del FBI, y
siguió para bingo robando bases de datos de uso restringido de la policía y el
ejército de su país, Estados Unidos. Sus travesuras han puesto de nuevo encima
de la mesa la pregunta: ¿Qué hacer con los cada vez más adolescentes que
acceden al poder informático?
Mientras Crackas With Attitude se
dedicaban a bravuconear y mostrar a la prensa sus hazañas, Gran Bretaña vivía
uno de los mayores robos de datos de su historia: 4 millones de víctimas,
clientes del ISP Talk Talk. Hasta ahora han sido detenidas cinco personas
relacionadas con los hechos. Sus edades: entre 15 y 20 años.
La mayoría de delitos
informáticos cometidos por adolescentes son sencillos: para acceder a la cuenta
de correo del director de la CIA, sólo necesitaron engañar por teléfono a un
operador del ISP Verizon. En cuanto al robo de datos en Talk Talk, las medidas
de seguridad de la empresa eran ínfimas. Otros se decantan por algo también
sencillo como es comerciar con drogas: el más famoso cibercamello alemán en la
Dark Web, condenado recientemente a 7 años de prisión, sólo tiene 20 años.
Lizard Squad es otro famoso grupo
de hackers adolescentes, responsables entre otras gamberradas de bombardear con
ataques de Denegación Distribuída de Servicio sitios de juegos online, como la
PlayStation Network y Xbox Live, en las Navidades de 2014. El mayor de los tres
detenidos hasta ahora tiene 22 años.
'Hacker' a los 13 años
Aunque, para historia chula de
hacker adolescente, la de Seth Nolan-Mcdonagh, condenado en julio de este año a
240 horas de trabajos sociales. Cuando tenía 16 años, en 2013, Seth participó
en el DDoS más devastador que ha conocido Internet, contra el proyecto
Spamhaus. El bombardeo fue tan fuerte que ralentizó Internet en todo el mundo.
Seth había empezado sus andanzas en el crimen cibernético con 13 años, cuando
alquilaba sus servicios para traficar con tarjetas de crédito y tumbar sitios,
entre ellos la web de la BBC.
Pero que nadie se lleve a engaño: los hackers
adolescentes existen desde que existe el hacking, y los que se pasan son
detenidos. Muchos de los hoy sesudos expertos en seguridad informática
empezaron en la adolescencia. 12, 13 o 14 años es la edad típica del llamado
"estado larvario" del hacker, que la enciclopedia Jargon File
describe así: "Periodo de concentración monomaníaca que suelen pasar los
hackers novatos. Los síntomas incluyen la perpetración de más de una maratón
hacker de 36 horas en una semana, el abandono del resto de actividades
incluídas las básicas como comer, dormir y la higiene pesonal, y cara de sueño
crónica. Puede durar entre 6 meses y 2 años, siendo la media unos 18 meses. Tan
dura experiencia parece ser necesaria para producir a un auténtico mago".
Siendo como es algo normal en la
cultura hacker, el problema llega cuando su población aumenta, mientras las
leyes constriñen cada vez más su campo de acción. Óscar de la Cruz, Comandante
Jefe de Delitos Telemáticos de la Guardia Civil, añade una tercera variable:
"Hoy los medios le dan mayor repercusión". Según el comandante, los
delitos informáticos más usuales en adolescentes son el "bullying"
(acoso escolar) y el "sexting" (publicar sin permiso fotos y vídeos
comprometedores de amigos o ex-parejas). En cuanto a delitos más avanzados,
"no hay más que hace años, su aumento es proporcional al aumento de
adolescentes con acceso a Internet", afirma De la Cruz, quien remata:
"No cualquiera tiene estos conocimientos".
Ka0labs es un grupo de jóvenes
españoles que tienen estos conocimientos. Hablamos con Pr0ph3t, de Pontevedra;
Xassiz, de Coruña; JKS, de Lleida; MARCOSCARS02, de Burgos, todos con 19 años.
Están también ca0s, de Alcalá de Henares, 22 años; Kr0no, de Valencia, 23 años;
X-C3LL, de Almería, 24 años y wHiTeHand, de Bilbao, el mayor, con 27 años.
Ca0s, Xassiz y K41S3R fundaron Ka0 Team en 2009 y pronto se les unió Kr0no:
"Nos dedicábamos a explotar webs gubernamentales, partidos políticos (creo
que no quedó ni uno), Belén Esteban o cadenas de televisión", explica
Xassiz.
En 2011 se convirtieron en
Ka0labs, un grupo dedicado a la investigación, desarrollo de herramientas de
hacking y "a seguir aprendiendo pero sin romper nada ajeno, aquí es cuando
empezó a entrar más gente, hasta juntarnos los 14 o 15 que somos actualmente",
recuerda Xassiz. En 2013, parte de Ka0labs se convirtió en Insanity, un un
equipo que compite en los concursos de hacking llamados Capture The Flag (CTF).
Insanity es actualmente el quinto en el ranking de grupos de CTF españoles.
Xassiz tenía 12 años cuando entró
en Internet. Pronto pasó de los chats, redes sociales y fotologs a
"toquetear los ordenadores para hacer bromas a mi familia o en la
biblioteca, lo típico de modificar el acceso directo a Internet Explorer por un
"apagar Windows XP" y ya te sentías super juaker. A partir de eso
empecé a encontrar cosas como "Programación Batch" y a meterme de
lleno de el mundo de los foros, como el-hacker.com o elhacker.net, donde íbamos
conociendo a más gente y formando círculos más cerrados".
Llegó el momento de interesarse
más por la seguridad informática, casi por necesidad, explica el hacker:
"Montábamos comunidades y siempre había piques que derivaban
"defaceando" las webs rivales (asaltándolas y cambiando su portada).
Y así me ví metido en un grupo de "defacing" venezolano que se
dedicaba a atacar todo tipo de páginas. Había gente que practicaba un montón de
horas. Después pasé por otro grupo, con gente de España, hasta que un día
formamos Ka0 Team, a finales de 2009". ¡Sólo había pasado un año desde que
entró en Internet!
La historia de Xassiz es parecida
a las de sus compañeros. JKS empezó en el mundo de la ciberseguridad
"sobre los 10-11 años", cuando un compañero de clase le enseñó un
juego: "Me gustó y pasé un porrón de horas allí metido, un día se me ocurrió
investigar cómo conseguir cosas gratis, ya que había que pagar". A los 14
se unió a varios grupos que se dedicaban a "defacear páginas web las 24
horas, siempre había alguna que otra página interesante y, gracias a tanta
práctica, aprendí bastante sobre vulnerabilidades en aplicaciones web".
Y así todos: X-C3LL empezó con 14
años y su motivación fue la poca calidad que tenía Internet en su pueblo:
"Empecé a meter el hocico en la seguridad, intentando conseguir de alguna
forma poco legal aumentar la velocidad para descargar libros y ver
vídeos". A wHiTeHand, cuando tenía 12 años, un amigo le dio un CD de una
revista y resultó que "venía con el virus Marburg. Flipé tanto que quise
saber cómo funcionaba exactamente aquello". A los 14 años, ca0s ya sabía
programar en Visual Basic y C. A Kr0no, un compañero de clase le pasó un enlace
a un foro donde se hablaba de "defacing" y virus y allí se quedó
enganchado. MARCOSCARS02 tenía 15 años cuando empezó con "las típicas
chorradas como saltarte el Internet del colegio".
¿Cómo practicar algo prohibido?
Y es que el hacking necesita
práctica pero ¿cómo practicarlo en un mundo donde el hacking está prohibido?
Todos coinciden: en las competiciones tipo CTF. "Hoy en día son la mejor
forma de aprender seguridad, son entornos controlados donde está permitido
explotar vulnerabilidades, por lo que no cruzas la línea de la legalidad",
explica wHiTeHand. "Simulan ser un entorno real y no tienes que ir
haciendo "maldades" para aprender", asegura kr0no. Y JKS pone la
puntilla: "También puedes aprender haciendo cosas ilegales, pero allá tú
las consecuencias".
En cuanto a la hazaña del chico
norteamericano que asaltó el correo del director de la CIA, no parece asombrar
mucho a Ka0labs: "Técnicamente no ha sido nada complicado, debería ser una
lección para Verizon: hay que invertir en la formación de los empleados,
señores", asevera wHiTeHand. Y Kr0no lo ve como un típico tema de
adolescentes que, "sin tener en cuenta la gravedad del asunto, lo hacen
para fardar y hacerse los chulos delantes de los amigos".
Pete Herzog es de la misma
opinión: "Los adolescentes son hormonales y hacen cosas estúpidas debido a
sus frustraciones, a esa edad nuestra capacidad de razonamiento empieza a
desarrollarse, así que cuando creen que están razonando correctamente, no
tienen idea de lo ilógicos que son realmente". Así, según Herzog, donde un
adulto ve una intención maliciosa, un adolescente verá una razón y una justicia
que la justifican. El problema, según Herzog, es la respuesta del adulto:
"Si roban o intimidan, entendemos que es parte de la adolescencia y
hablamos con ellos para ayudarles, pero si hackean, entonces de repente es
ilegal y queremos meterles en la cárcel".
Pete Herzog es un veterano hacker
que vive cerca de Barcelona, fundador junto con su mujer, Marta Barceló, del
respetado Instituto por la Seguridad y las Metodologías Abiertas (ISECOM) y de
la Hacker HighSchool, una iniciativa surgida en 2003 para enseñar a los jóvenes
de 13 a 17 años cómo vivir de forma segura en Internet. La Hacker HighSchool
son 22 lecciones, escritas por hackers, que se ofrecen gratuitamente a escuelas
de todo el mundo como actividad extraescolar o seminario complementario.
"Cuando un adolescente
curioso puede bajarse un programa y atacar una web con un clic de ratón, sin
saber qué está haciendo, tenemos un problema", asegura Herzog. La Hacker
HighSchool pretende, por una parte, enseñar las bases de la seguridad informática
para usarla de forma ética y contructiva. Y, por otra parte, la forma de
enseñar emula el aprendizaje del hacker, a base de retos, azuzando la
curiosidad y priorizando la práctica.
"Es importante no exponer a
los niños a niveles de peligro mayores que el nivel de responsabilidad que
pueden sostener por sí mismos, pero es también importante que los niños puedan
probar sus propios límites de lo que es posible, y el hacking es ideal para
ello", afirma Herzog en un reciente artículo de promoción de la Hacker HighSchool
donde asevera: "Necesitamos parar de castigar a los adolescentes por hacer
hacking porque están enfadados con alguien y transformar esta energía, igual
como los gimnasios que convierten a un chaval de la calle en un boxeador".
Mientras, en el mundo real, La
oficina del Sheriff del condado de Pasco, en Florida, acusaba hace unos meses a
Domanik Green, de 14 años, de acceso no autorizado a un sistema informático,
una felonía de tercer grado que conlleva penas de prisión. Previamente, la
escuela de Green le había sancionado con 10 días de suspensión. Su delito:
entrar en la red informática de la escuela para gastar una broma a un profesor.
Green consiguió la contraseña de
acceso a la red con el viejo truco de espiar por la espalda a un profesor
mientras este la escribía. Tener el nombre de usuario fue más fácil: era el
apellido del profesor. Según Green, estas credenciales eran un secreto a voces
entre los estudiantes, para quienes entrar en la red de la escuela se había
convertido en un juego. Una de sus travesuras preferidas era conectarse desde
diferentes aulas para saludarse por las cámaras web.
El caso de Green se convirtió en
una polémica nacional en la que terció incluso la Electronic Frontier
Foundation, enfrentando a quienes acusaban a la escuela de tener una seguridad
tan laxa que hasta un niño se la saltaba, y a quienes pedían mano dura para dar
una lección ejemplarizante. "A veces la gente no es consciente de los
problemas que pueden surgir de toquetear lo que no se debe", reconoce
Marcos, de Ka0labs.
Jóvenes (e inconscientes)
Justo estos días acaba de
publicarse el libro "¡Atención mamás y papás!". Su autor, Ángel-Pablo
Avilés, considera que "el problema que tienen muchos adolescentes que se
forman de manera autodidacta es la inconsciencia a la hora de discernir entre
lo real y lo virtual". Creen, asegura Avilés, que sus actividades
virtuales no tienen consecuencias reales: "Piensan que queda en un 'limbo
binario' sin acarrear mayores problemas a su vida real, ni al objetivo que han
vulnerado ni a ellos mismos, cuando las consecuencias pueden ser incluso
penales".
Green consiguió la contraseña de
acceso a la red con el viejo truco de espiar por la espalda a un profesor
mientras este la escribía. Tener el nombre de usuario fue más fácil: era el
apellido del profesor. Según Green, estas credenciales eran un secreto a voces
entre los estudiantes, para quienes entrar en la red de la escuela se había
convertido en un juego. Una de sus travesuras preferidas era conectarse desde
diferentes aulas para saludarse por las cámaras web.
El caso de Green se convirtió en
una polémica nacional en la que terció incluso la Electronic Frontier
Foundation, enfrentando a quienes acusaban a la escuela de tener una seguridad
tan laxa que hasta un niño se la saltaba, y a quienes pedían mano dura para dar
una lección ejemplarizante. "A veces la gente no es consciente de los
problemas que pueden surgir de toquetear lo que no se debe", reconoce
Marcos, de Ka0labs.
Jóvenes (e inconscientes)
Justo estos días acaba de
publicarse el libro "¡Atención mamás y papás!". Su autor, Ángel-Pablo
Avilés, considera que "el problema que tienen muchos adolescentes que se
forman de manera autodidacta es la inconsciencia a la hora de discernir entre
lo real y lo virtual". Creen, asegura Avilés, que sus actividades
virtuales no tienen consecuencias reales: "Piensan que queda en un 'limbo
binario' sin acarrear mayores problemas a su vida real, ni al objetivo que han
vulnerado ni a ellos mismos, cuando las consecuencias pueden ser incluso
penales".
Un menor que cometa un delito
informático en España no irá a la cárcel, pero sí podría acabar en un centro de
menores. Para Avilés, en casos de este tipo "sería más eficiente obligar
al adolescente, que ha cometido ese acceso a un sistema informático para por
ejemplo modificar sus notas, a realizar trabajos para la comunidad enseñando
informática a personas mayores".
Mientras, en Australia, un chaval
de 20 años acaba de dejar con la boca abierta a las autoridades al conseguir
huir del país, a pesar de estar a la espera de un juicio que podría haberle
condenado a 10 años en prisión. Dylan Wheeler fue detenido hace tres años,
cuando tenía 17, acusado de pertener a un grupo que habría asaltado las redes
de Microsoft y del Ejército norteamericano, robando propiedad intelectual por
valor de 100 millones de dólares. Ya en lugar seguro, Wheeler explicó a la
prensa que era "alarmante" lo fácil que había sido escapar de su
país.
Hace ahora 15 años, en el 2000,
se popularizó el término "script-kiddie", referido a los chavales que
usaban herramientas creadas por otros para bombardear o hackear sitios. Era una
palabra despectiva, inventada por quienes habían creado estas herramientas y
tenían el conocimiento profundo de cómo funcionaban, algo de lo que adolecían
los chavalines. Pero estos crecieron y también sus scripts. Tras ellos llega
una nueva hornada. Y otras que vendrán. "Si hoy se hiciese un remake de la
mítica película de 1955 "Rebelde sin causa", sería James Dean un
hacker?". Buena pregunta.
Entradas
No hay comentarios:
Publicar un comentario