Hacker por Cristo Network / Guatemala, Centroamérica

Hacker bueno, ¿hacker malo?

El término hacker ha sido rápidamente adoptado por los medios de comunicación, y sus connotaciones no son agradables. Sin embargo, la comunidad hacker ha salido al paso para defender su buen nombre.

El hacker es un experto en sistemas informáticos que considera la programación y los sistemas de seguridad como un desafío intelectual. Si consigue entrar en un sistema, mira dentro, cierra la puerta y se va. En muchos casos advierte a los propietarios de la existencia del agujero de entrada.

Los responsables de los ataques son delincuentes que utilizan la red como medio para provocar daños o robar información. A estos se los denomina crackers. En estos últimos casos de ataques, la técnica empleada ni siquiera requería grandes conocimientos. Cualquier quinceañero podía ser responsable.

EZEQUIEL SALLIS, EXPERTO EN SEGURIDAD DE EMPRESAS

Entrevista con un hacker bueno

Porta look de ejecutivo. Está acostumbrado a viajar a otros países por su trabajo de consultoría informática.

Leonardo Correa / lcorrea@clarin.com

Una de estas tardes bien frías y grises, en la que los virus que más afectan son los de la gripe, decidimos darle vuelta la cara a los gérmenes y agarramos para el otro lado. Fuimos en busca de los virus que más nos interesan, los virus informáticos.

De entrada nos planteamos llegar hasta el hueso. Y telefónicamente pactamos una cita con un hacker que trabaja para grandes empresas previniendo ataques. Es algo así como un agente no secreto que hackea a las empresas que se lo piden. Sabe meterse de prepo en casi cualquier sistema informático.

Sentados en su oficina de un piso 11 del macrocentro, lo esperamos un minuto, quizás menos. Imaginábamos dar con un pelilargo de barba de ocho días y bigotes mal cortados, como un antinarcóticos de la policía. O con un nerd de lentes y sonrisa permanente. Pero no, el tipo es la contracara.

Vestido para matar

"Que tal, yo soy Ezequiel", nos sorprendió estrechándonos la mano. Espigado, peinado hacia atrás, simpático, a Ezequiel Sallis le sentaba bien ese prolijo traje azul. Pero ni bien comenzó la charla, el saco parecía de otro. Su sonrisa fresca y la forma de pedirle el café a su compañera de trabajo de la empresa de seguridad I-Sec, no son propias de un ejecutivo. Pero Sallis debe vestirse de empresario porque trabaja para empresarios. Si su look fuera el de un hacker de película, sencillamente no tendría trabajo. Y trabajo le sobra.

"Con mi mujer ya tenemos ganas de tener nuestro primer hijo, pero tengo tanto trabajo... Estoy de acá para allá. En unos días vuelvo a viajar por una semana. Voy a hacer una tarea de consultoría en una empresa de Puerto Rico."

-¿Para qué le sirve a una gran empresa contratar a un hacker?

-Yo puedo decirles qué problemas tienen sus sistemas, puedo meterme en ellos como cualquier otro hacker y les digo donde están flojos. Hago Penetration Testing y Ethical Hacking. Penetration Testing es cuando te contratan para algo específico. Por ejemplo, si quieren saber si su base de datos es inviolable, te contratan para que trates de entrar ahí. En cambio, el Ethical Hacking no tiene un objetivo específico. Tratás de meterte en todos lados y sembrás pruebas. Es decir, colocás un archivo en el sistema o tomás datos secretos y se los contás. Eso se hace para demostrar que entraste.

La ética es lo que cuenta

A lo largo de la charla, Sallis aclara una y otra vez que él es un hacker ético desde siempre y no desde que trabaja para empresas. "Empecé con programitas tontos, ingresando a cuentas de e-mail de amigos y de novias, a los 13 años. Más tarde empecé a ver hasta dónde podía llegar. Me metía en empresas con fama de seguras. Decía: 'A ver si puedo entrar'. Y entraba y salía sin dejar rastro, y siempre sin hacer daño. Se debe diferenciar entre el hacker que hace daño y el que no. Eso es muy importante. Hoy, ya no entro donde no me lo piden. Pruebo mis programas de hacking en cuatro computadoras que tengo en red, en casa."

-¿Tenés esos programas acá?

-Sí, los llevo en la notebook. ¿Querés verlos?

Ezequiel invita a pasar a una pequeña oficina contigua de 2 por 3. Sobre el escritorio espera su portátil extrachata. La enciende. Ingresa a una carpeta llamada Security Tools y se dispone a exhibir lo suyo. Es un auténtico arsenal. Prueba cada una de las herramientas y todas funcionan.

Un verdadero arsenal

Tiene cracking de contraseñas, para ingresar en cuentas vedadas; diccionarios para crackear passwords, que incluye los más usados de la Argentina, como por ejemplo el término capo; herramientas de correo electrónico con las que se puede mandar fácilmente un e-mail con remitente de otro.

También tiene señuelos, que sirven para que un desprevenido entre en una página web que no es la que parece ser y, sin saberlo, envíe información al hacker. Y crawlers que sirven para bajar páginas web e investigarlas off line, y mucho más.

"De todos modos, aclara, esto sólo no sirve. Para hackear hay que tener creatividad. Una contraseña podés conseguirla sólo con llamar por teléfono a la mesa de ayuda de la empresa en cuestión. Y, aunque parezca mentira, con solo decir un nombre de alguien que trabaja ahí, algunos te la dan. O podés ir al Google y empezar a buscar información ahí. Y vas buscando y buscando y te aparecen sectores de sitios de Internet que si entrás por la dirección web de la página te dicen 'no disponible'. Pero si vas por Google, sí podés entrar." Así Sallis encontró los gastos de campaña de uno de los partidos políticos más importantes de la Argentina para la última elección a Jefe de Gobierno de la ciudad de Buenos Aires.

"Si en ese buscador -sigue Sallis- ponés @ y, seguido, el nombre de una empresa, van a aparecerte muchas direcciones de e-mail de esa empresa. Ahí ya tenés otra punta. Después le mandas un troyano a esa cuenta de correo . Y si el destinatario pica, ya estás adentro de la empresa, porque con el troyano todo lo que esa persona escribe en su computador te llega a vos. Un troyano se consigue en Internet por 300 dólares."

-Siguiendo el camino que trazas, el nivel de inseguridad es altísimo.

-Depende de la empresa. Hay que seguir ciertas pautas. Nosotros recomendamos manejarse con la norma ISO 17799, que explica desde cómo dar de alta un usuario hasta cómo configurar un servidor. Porque no sirve de nada tener celo en la protección de lo que está en la PC si mandas a imprimir información confidencial a una impresora que está en el medio de un salón al que todos tienen acceso. O si la empresa tiene en el pizarrón del departamento de redes el diagrama de red de la empresa. Para alguien como yo, eso es fundamental. Voy con este aparatito -saca de un bolsillo un diminuto celular con cámara-, le saco una foto y listo. Después, el sistema es mío.

Hacker malo

Para esta categoría debemos entender la diferencia entre un verdadero hacker y un lammer

Los Lammers

Por lo general son persona con poca ética y escrúpulos que sin reparo prueban muchos de los programas que se consiguen de forma free en internet con el título de utilizare esto para aprender. He de reconocer que estas personas cuentan con demasiado tiempo libre y mucha imaginación para estar utilizando programas que no les pertenecen con tal de " aprender ", utilizando técnicas computacionales ya establecidas.

Es popular entre las personas que manejan usuarios en las empresas que existen 3 tipos de usuarios:

Los que saben y no tocan (aca pueden entrar algunos hacker buenos)
Los que no saben y preguntan
Los que creen que saben y tocan para ver que más pueden aprender o hacer (lammer)

El último grupo de usuarios es muy destructivo ya que se manejan con el título de "con tal de aprender" y estas personas son capaces de convencer a otras de que tienen el conocimiento cuando en realidad solo conocen ciertas partes de todo el cúmulo de información y con esto logran llegar hasta la mitad del camino, pero al encontrarse sin saber que hacer entonces empiezan a imaginar como deberían ser las cosas según su propia percepción. En en el punto donde nos preguntamos que hacer ese es el momento indicado para buscar información, preguntar, indagar e investigar, lo anterior para que no nos puedan enmarcar dentro de la categoría de los Lammers.

Hacker malo (Cracker)

Un hacker no es un cracker, ni tampoco un phreaker. ¿Cuál es la diferencia?

Habría muchas formas de clasificar a los habitantes del ciberespacio, pero la más corriente es aprovechando los conocimientos de que disponen del medio en el que circulan. Así, hay usuarios de "andar por casa", hay gente más o menos informada sobre el funcionamiento de las cosas, usuarios medios, usuarios avanzados, técnicos, programadores de todos los niveles... y hackers.

No existe una traducción exacta de la palabra hacker. Algunos utilizan "pirata informático", pero eso no hace justicia a la idea original, de modo que habrá que remitirse a una de las fuentes mejor documentadas: el Archivo Jargon (jerga) de Internet, que también puede encontrarse en forma de libro altamente recomendable como "El Diccionario del Hacker": The New Hacker's Dictionary, Third Edition (Eric S. Raymond; octubre 1996).

Transcribo a continuación la definición. He respetado el formato original, que consiste en dejar en negrita las referencias a otros términos del diccionario (enlazados al original disponible en Internet). Me he tomado la libertad de, como se comenta en el diccionario y es habitual en las redes -y entre los hackers- "verbalizar" los nombres, de modo que al hablar sobre los hackers se puedan emplear expresiones como "hackear" o "hacer un buen hackeo."

Hacker [originalmente, alguien que fabrica muebles con un hacha] n. 1. Persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible. 2. El que programa de forma entusiasta (incluso obsesiva). 3. Persona capaz de apreciar el valor del hackeo. 4. Persona que es buena programando de forma rápida. 5. Experto en un programa en particular, o que realiza trabajo frecuentemente usando cierto programa; como en "es un hacker de Unix." (Las definiciones 1 a 5 están correlacionadas, y la gente que encaja en ellas suele congregarse.) 6. Experto o entusiasta de cualquier tipo. Se puede ser un "hacker astrónomo", por ejemplo. 7. El que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa. 8 [en desuso] Liante malicioso que intenta descubrir información sensible cotilleando por ahí. De ahí vienen "hacker de contraseñas" y "hacker de las redes". El término correcto en estos casos es cracker.

El término "hacker" suele implicar también participación como miembro en la comunidad global definida como "la red". (Ver la red y direcciones internet.) Para aprender más sobre las bases de esta cultura, se puede consultar el Documento de Preguntas Frecuentes, >FAQ: Cómo Convertirse en un Hacker. El término también implica que la persona descrita suele suscribir alguna versión de la ética del hacker.

Es mejor ser descrito como un hacker por otros que describirse a uno mismo de ese modo. Los hackers se consideran a si mismos algo así como una élite (en la que los méritos se basan en la habilidad), aunque suelen recibir amablemente a nuevos miembros. Por lo tanto, hay una parte de satisfacción del ego en considerarse a si mismo un hacker (si dices ser uno y luego no lo eres, rápidamente te etiquetarán como falso.)

Este término parece haber sido adoptado originalmente como etiqueta cultural en los años 60 por la cultura hacker creada alrededor del TMRC y el Laboratorio de Inteligencia Artificial del MIT. Existen menciones de la utilización del término más o menos como aquí se ha descrito por parte de quinceañeros radioaficionado y amante de la electrónica a mediados de los años 50.

Por su parte, la otra definición importante dice así:

Cracker n. El que rompe la seguridad de un sistema. Acuñado hacia 1985 por hackers en defensa ante la utilización inapropiada por periodistas del término hacker (en su acepción número 8.) Falló un intento anterior de establecer "gusano" en este sentido en 1981-1982 en Usenet.

La utilización de ambos neologismos refleja una fuerte repulsión contra el robo y vandalismo perpretado por los círculos de crackers. Aunque se supone que cualquier hacker auténtico ha jugado con algún tipo de crackeo y conoce muchas de las técnicas básicas, se supone que cualquiera que haya pasado la etapa larval ha desterrado el deseo de hacerlo con excepción de razones prácticas inmediatas (por ejemplo, si es necesario pasar por alto algún sistema de seguridad para completar algún tipo de trabajo.)

Por lo tanto, hay mucho menos en común entre el mundo de los hackers y de los crackers de lo que el lector mundano, confundido por el periodismo sensacionalista, pueda suponer. Los crackers tienden a agruparse en grupos pequeños, muy secretos y privados, que tienen poco que ver con la poli-cultura abierta y enorme que se describe en este diccionario; aunque los crackers a menudo se definen a sí mismos como hackers, la mayor parte de los auténticos hackers los consideran una forma de vida inferior.

Consideraciones éticas aparte, los hackers consideran que cualquiera que no sea capaz de imaginar una forma más interesante de jugar con su ordenador que romper los sistemas de algún otro ha de ser bastante perdedor. Algunas de las otras razones por las que se mira con desprecio a los crackers se describen en las entradas sobre cracking y phreaking (crackers telefónicos). Ver también samurai, hackers del lado oscuro, y la ética del hacker.

Estas definiciones de hacker y cracker explican muchas cosas y también dan una idea de la forma en que se expresan los hackers (las palabras en negrita enlazadas apuntan, como habrás visto si has seguido los enlaces, a otras partes del diccionario de la jerga de los hackers).

En resumen: un hacker es simplemente alguien capaz de manejar con gran habilidad cualquier sistema (aparato, dispositivo - no necesariamente un ordenador), con el fin de sacarle más partido o divertirse. ¿Qué hay hoy en día que no sea programable y hackeable? Desde el reloj de pulsera hasta el vídeo, la radio del coche, el sistema de correo postal, el teléfono móvil, el sistema de reservas de entradas de cine por teléfono, la cámara de fotos, el sistema de riego del jardín, la máquina de fichar de la oficina... Todos esos pequeños aparatos y sistemas pueden ser programados, mejorados y "hackeados" para que hagan cosas que se supone que no pueden hacer.

¿Por qué los hackers están tan mal considerados?

En general, los medios informativos han hecho un flaco favor a los hackers al hablar sin conocimientos sobre ellos y los asuntos en los que se ven envueltos. Los hackers son muy diferentes de los crackers. Como dice la definición del diccionario, los crackers son en realidad hackers maliciosos cuyo objetivo es introducirse ilegalmente en sistemas, crear virus, robar información secreta y todo tipo de acciones similares - pero no por aprender o divertirse, sino con fines realmente malignos e ilegales.

Los crackers maliciosos utilizan mal sus conocimientos, y suelen meterse en problemas por hacer precisamente eso: un mal uso de su "fuerza" (de ahí el simil con el "Lado Oscuro de la Fuerza" de Star Wars, otro clásico de la cultura hacker). Hay muchos crackers que han acabado en prisión por sus andanzas, a pesar de que la ley nunca fué demasiado explícita (al menos hasta los años 90) sobre las acciones que podrían considerarse ilegales. Introducirse en un sistema a través del teléfono no es lo mismo que atravesar una puerta de una empresa, y esto ha permitido que en muchas ocasiones estos personajes salieran impunes.

Entre las variantes de crackers maliciosos están los que realizan Carding (Tarjeteo: uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de información en cubos de basura, tal como números de tarjetas de crédito, contraseñas, directorios o recibos); Phreaking y Foning (uso ilegal de las redes telefónicas) y los clásicos y llanamente llamados Piratas (gente del Warez) que se dedican a copiar software legal, música o vídeos, para revenderlo por ahí.

La Ética del Hacker

Esta es (o era) la definición original de la ética del hacker:

El acceso a los ordenadores, y a cualquier cosa que pudiera enseñarte algo sobre cómo funciona el mundo debería ser ilimitado y total
Básate siempre en el imperativo de la práctica
Toda información debería ser libre
Desconfía de la autoridad, promueve la descentralización
Los hackers deberían ser juzgados únicamente por su habilidad en el hackeo, no por criterios sin sentido como los títulos, edad, raza o posición social
Se puede crear arte en un ordenador
Los ordenadores pueden cambiar tu vida a mejor

Estas son otras definiciones y/o "sentidos" de la Ética del Hacker, actualizadas (¿simplificadas? ¿mejores? ¿más del siglo XXI y del software libre?):

La creencia en que compartir información es un bien poderoso y positivo, y que es tarea ética de los hackers compartir sus experiencias escribiendo código abierto ("open source") y facilitando el acceso a la información y los recursos de computación siempre que sea posible

La creencia de que romper sistemas por diversión y exploración está éticamente bien siempre que el cracker no cometa un robo, un acto de vandalismo o vulnere la confidencialidad

Personalmente, me gustaba más la versión original. Supongo que este tipo de cosas se siguen debatiendo hoy en día, aunque los tiempos no sean los mismos.

En conclusión

Es bueno que existan los hackers buenos y malos porque ambos hacen de los sistemas más seguros o sea mantienen un equilibrio, (todo depende de la ética de cada uno). Por lo general un hacker bueno ha sido malo antes.

Lo que es seguro ya sea hacker bueno o malo ambos están en contra de los lamer y todo apunta que la nueva batalla será no en contra de las empresas o de las personas sino en contra de aquellos que tocan, no investigan y tampoco tienen idea de lo que hacen.