¿Cómo se captura a un hacker?

¿Cómo se captura a un hacker?

Internet se ha ganado la reputación de ser un sitio en el que puedes decir y hacer cualquier cosa con impunidad, primordialmente porque es muy fácil ocultar tu identidad. Esa característica se ha mostrado particularmente útil para los hackers, muchos de los cuales han desarrollado una sensación de invulnerabilidad e incluso se ufanan de que nunca serán capturados.

Sin embargo, como se ha visto este año con el arresto de varios hackers, las autoridades no son tan impotentes como muchos de ellos han creído. Las fanfarronerías de los hackers se ven cada vez mas seguidas por una visita sorpresa de la policía local. ¿Cómo capturan los investigadores a los criminales de la nueva era?

Direcciones de internet

Para empezar, es necesario dar un paso atrás y entender cómo es que la gente puede ocultar su identidad en Internet.

Muchos asumen, correctamente, que si se conecta a internet se le otorga una dirección única (su IP, siglas de InternetProvider) y que eso puede ser usado para rastrear cualquier actividad que salga de esa dirección hasta llegar a un individuo. Pero no es tan simple, y ciertamente no tan rápido, por varias razones.

Primero, muchos años atrás el numero de aparatos en la Internet solicitando direcciones IP excedía el número de direcciones posibles. Por consiguiente, cuando cualquiera de nosotros le pide a nuestro proveedor de servicio de Internet (ISP, por sus siglas en inglés) que nos conecte, la IP sólo nos es arrendada.

Estas direcciones IP generalmente expiran muy rápidamente y se renuevan si usted quiere seguir conectado, o se le da a otra persona si nos hemos desconectado. Su próxima conexión le da una dirección completamente diferente. Al buscar una dirección, usualmente sólo dice quién es el ISP, no quién era el arrendatario de la dirección en un momento específico.

Así que incluso en el caso de que un investigador detectara alguna actividad ilegal vinculada a una dirección específica es poco probable que pueda fácilmente identificar al usuario con la información disponible públicamente. Las autoridades tienen que ir al proveedor del servicio y pedirles los registros que muestren exactamente quien estaba usando esa dirección al momento de la actividad ilegal.

Pero como las agencias de policía tienen que obedecer la ley, eso usualmente requiere una orden de un juez, lo que exige que los investigadores demuestren que esa actividad ilegal estaba teniendo lugar y que parecía provenir de un particular ISP. No pueden ir simplemente en un "viaje de pesca".

Sin embargo, los investigadores se han hecho cada vez más eficientes en este proceso, de modo que los hackers (al menos aquellos que no han sido capturados aún) hace tiempo dejaron de confiar en eso, pese a que saben -con razón- que eso hará a las autoridades más lentas que los hackers.

Complicaciones de coordinación

Todo lo anterior asume que los proveedores de servicio mantienen registros de quién tenía una dirección arrendada particular. En Reino Unido sí lo hacen, pero no todos los países son tan diligentes, y no necesariamente a un nivel de detalle que localice físicamente al que perpetra la ilegalidad.

Pero la cantidad de información es enorme y no puede ser conservada indefinidamente. En el Reino Unido se está creando una legislación que obliga a los ISP mantener registros aunque no requiere que sean conservados para siempre. Lo tercero es que, siendo una red global, internet está cubierta por múltiples jurisdicciones. Si le toma tiempo a un investigador obtener una orden judicial en su propio país, imagine lo difícil que le sería conseguirlo en uno extranjero.

No es sorprendente entonces que muchos hackers tiendan a atacar sitios que están fuera de sus países. Además, hackers de diferentes jurisdicciones cooperan entre si, añadiéndole complejidad adicional a una situación de por sí complicada. Sin embargo, en el caso de los arrestos de los integrantes de Lulzsec se destacó el papel de la cooperación transfronteriza con arrestos realizados en Reino Unido, Irlanda y EU.

Cada vez más, cuerpos internacionales como Interpol o Europol están tomando la delantera en facilitar la colaboración entre agencias en varios países simultáneamente.

El servidor "apoderado"

Así que asumiendo que usted puede navegar todas las complejidades anteriormente descritas, podrá encontrar la dirección de internet y capturar al autor. Bueno, no será así necesariamente porque, como siempre, la tecnología va muy por delante de los sistemas judiciales y legislativos.

Hay un par de trucos adicionales que le permiten cubrir sus pasos en la web. El más ampliamente usado es llamado el servidor "apoderado" o proxy. Al usar un servidor apoderado cualquiera puede desviar su actividad a un sistema que esté en un país lejano o en uno en el que no se conserven registros de dónde la actividad fue generada, o peor aún, las dos cosas.

Los apoderados ganaron popularidad entre aquellos que realizan descargas ilegales, porque no pueden ser rastreados. Los servidores apoderados están ampliamente disponibles, frecuentemente de manera gratuita. Estos han desarrollado un papel muy importante en permitir que los ciudadanos de regímenes hostiles puedan expresar sus opiniones anónimamente.

Por supuesto que pueden ser empleados en propósitos ilegales, como robo de derechos de autor, los hackers rápidamente se percataron del potencial.

Pero no todo está perdido. Los investigadores pueden hacer lo que llaman "análisis de tráfico" que se basa en el uso de una combinación de registros de varios ISP, con lo que logran sacar al servidor apoderado del ciclo.

No es sorprendente que esto tarde aun más y que la complejidad añadida inevitablemente implique menos resultados confiables a la hora de montar el caso legal. Sin embargo, una de las grandes ventajas que tienen las autoridades es que son pacientes: ellos no se ufanan de lo que están haciendo, muy por el contrario, y están dispuestos a moler los detalles hasta que alcanzan a su hombre o su mujer.

Una red oscura

Por supuesto que los hackers conocen todo esto y por eso la lucha ha continuado. La mayoría de los hackers hoy, además de ampararse en todo lo anteriormente descrito, usan lo que se conoce como "enrutado cebolla".

Esta práctica empezó como una investigación para proteger al sistema de comunicaciones de la Marina de EU, pero desde que fue publicada en un taller sobre ocultamiento de información realizado en 1996 (el Data Hiding Workshop), la gente lo ha visto como una manera de mantener el anonimato en Internet.

El más usado se llama Tor, que tiene muchas maneras válidas de emplearse. Pero como a los hackers les encanta recurrir a él también, son los proyectos tipo Tor los que representan la línea de batalla de los investigadores hoy.

Actualmente se tiene pocas respuestas al "enrutado cebolla" y cuando se le combina con otros sistemas complejos, las autoridades enfrentan desafíos significativos. Pero no los den por vencidos todavía.

Algunos proveedores globales de servicios están trabajando con investigadores en proyectos como el Saturno de British Telecom (BT) que fue originalmente desarrollado para identificar amenazas a la infraestructura crítica de Reino Unido.

Dominos

Paralelo a todo este desarrollo tecnológico sigue el buen trabajo policial a la antigua y la ya referida paciencia. El principio es simple: todos cometen errores. Tome por ejemplo el caso del hacker conocido como Sabu.

Sabu hablaba regularmente con otros usando un chat de Internet. Al leer los supuestos mensajes de Sabu -aparentemente filtrados por compañeros hackers descontentos- se puede ver que era muy fanfarrón acerca de lo que había atacado, su invulnerabilidad y sus destrezas técnicas. De esa manera se puso a si mismo como un obvio objetivo a ser vigilado.

Aparentemente sólo una vez, Sabu ingresó en su servicio de chat sin usar Tor. Su dirección IP fue revelada y el FBI logró rastrearlo. Eso condujo a cargos contra otros sospechosos de ser hackers.

Veremos más de esta táctica: la decapitación al arrestar al pez gordo y luego los intentos de barrer con las piezas menores basado en lo que se aprende en el proceso. En resumen, la falta de noticias no significa que los hackers se están saliendo con la suya, pese a que eso sea lo que ellos quieren que usted piense.

Mientras la batalla continua en el ciberespacio, lo que queda claro es que es un trabajo en el que se combina lo viejo y lo vuevo.

Cómo aprender a "hackear" en quince minutos

Cómo aprender a "hackear" en quince minutos

Miles de guías están disponibles en internet de manera gratuita para cualquiera que quiera dar sus primeros pasos como hacker.

Solamente en YouTube, ya hay más de 20 mil videos disponibles que enseñan a los usuarios a explorar cuentas de otros usuarios. Todos ellos cuentan con millones de visitas.

Preocupada por esta situación, la empresa aseguradora CPP llevó a cabo un experimento en el cual se enseñaba a cinco personas a hackear una cuenta de correo en tan solo 14 minutos. A pesar de no estar familiarizadas con las nuevas tecnologías, los cinco participantes consiguieron averiguar contraseñas ajenas simplemente siguiendo los pasos de una guía online.

"Me sorprendió mucho cómo de fácil y rápido fue descargarse el software y conseguir los detalles de alguien en minutos. Ver los nombres de usuario y las contraseñas aparecer en la pantalla fue chocante", le contó a BBC Mundo Emma Comans, una productora de televisión que participó en el experimento.

"Todo el mundo conoce los peligros de algunas actividades online, pero lo que posiblemente la gente no sabe es cómo es de fácil es aprender a hacerlas", le explicó a BBC Mundo, Danny Harrison, experto en Robo de Identidad de CPPGroup.

Harrison advierte que muchos usuarios no son conscientes del peligro que esto supone y esto se traduce en una falta de prevención: "La mayoría de las personas utilizan antivirus en sus PC pero no en sus teléfonos móviles, por ejemplo".

Pero, ¿está bien que este tipo de videos estén al alcance del público en el mundo virtual?

Para Rebecca Jeschke, Directora de Medios de Electronic Frontier Foundation, el hecho de que estos videos estén expuestos al público en YouTube es algo positivo. "Así, la gente puede concienciarse de las vulnerabilidades de su email y otras cuentas, y de cómo otra gente se aprovecha de ello".

"Conociendo estos videos, puedes protegerte mejor. Fingir que el hacking no es posible, no ayuda a nadie", le dijo a BBC Mundo.

Además, si se tiene en cuenta que internet se creó con la idea de ser un medio libre donde todo fluyera sin restricciones ni censura, la existencia de estas guías confirmarían el derecho a la libertad de información pero, ¿dónde queda entonces el derecho a la privacidad de las víctimas?

Desde su creación, "internet y libertad se hicieron para mucha gente sinónimos en todo el mundo", apunta el renombrado sociólogo español Manuel Castells en su artículo "Internet, libertad y sociedad: una perspectiva analítica". Sus creadores, según Castells, determinaron una arquitectura abierta y de difícil control.

"Uno de los asuntos más difíciles es que internet no esta ni regulado ni restringido la mayoría de las veces. La pregunta es entonces ¿qué hacer con casos cómo las de estas guías?", considera Harrison.

A quienes preferirían que material de ese estilo no tuviera cabida en la red, los expertos les señalan que una regulación de la red es difícil, sino casi imposible.

"Desde un punto de vista tecnológico, desplegar mecanismos para impedir totalmente la posibilidad de poner esta información en internet es sumamente complejo", le dijo a BBC Mundo Sergio Castillo, del departamento de Ingeniería de la Información y de las Comunicaciones en la Universidad Autónoma de Barcelona.

A pesar de admitir que la prohibición de este tipo de videos en internet es difícil, Harrison considera que, aunque siempre haya alguien que se salte las normas, por lo menos la ley ayudaría a que este tipo de información no estuviera disponible con tanta facilidad.

Castillo, en cambio, opina que difícilmente se llegará al día en el que haya una regulación universal.

"En primer lugar, porque eso implicaría una coordinación compleja de muchos países y, en segundo lugar, porque eso atentaría directamente contra el principio de libertad que siempre ha estado patente en internet".

"Además, ¿en qué punto la regulación pasa a limitar nuestras libertades?", reflexiona.

Ante un cuadro tan espinoso, ¿quién es entonces el responsable de los límites de internet? ¿los gobiernos o los propios usuarios?

LO QUE CUENTA ES LA INTENCIÓN

"Realmente, con la información que hay hoy en día en la red, una persona autodidacta tiene información suficiente para adquirir estos conocimientos. Hay páginas, foros y comunidades online en las que te puedes formar en estos temas", comenta Castillo.

Y en este punto, todos los expertos en informática enfatizan la importancia de diferenciar entre hacking y cracking.

"Si vas a hablar de nosotros los hackers, por favor evita el error de pensar que 'hacking' quiere decir 'romper seguridad informática'. Eso es 'cracking'. 'Hacking' es más amplio, quiere decir divertirte usando tu inteligencia en un espíritu juguetón", puntualizó Richard Stallman, Presidente de Free Software Foundation, en conversación con BBC Mundo.

Hacking, cracking… Con este panorama, puede que lo mejor sea seguir el consejo del intelectual británico Stephen Fry. El escritor, cómico y actor sugirió la idea de concebir al mundo virtual como al real. Así pues el mundo web seria como cualquier ciudad, con unos sitios peligrosos y otros fabulosos.

En tu ciudad tú decides qué hacer con los medios y recursos que tienes. No es solo la ley la que te obliga a actuar de un modo u otro, sino también la ética y la moral propias que nos guían como personas.

Mantener los principios de libertad a la vez que proteger nuestra privacidad no es tarea fácil, pero quizá la clave del equilibrio sea tomarnos la vida en la red siguiendo el consejo de la vieja frase "Tu libertad termina dónde empieza la del otro"

Google pagará un mdd a quien logre hackear su navegador

Google pagará un mdd a quien logre hackear su navegador

Como parte de las pruebas que Google quiere hacer de su navegador Chrome, está ofreciendo un millón de dólares a quien pueda hackear la página, publicó Infobae.

El buscador quiere probar la seguridad de su browser dentro de la competencia Pwn2Own, en la que ha resultado en los últimos años.

Los ganadores del millón deberán revelar los errores del navegador para hacerse acreedores al premio, que año con año se pone en la mesa para que "hackers legales" ayuden a las empresas a mejorar sus aditamentos.

El informe debe ser detallado.

Durante los últimos tres años, el único browser que salió con "vida" del concurso ha sido Google Chrome, pues Firefox, Safari e Internet Explorer fueron vulnerados.

Además del premio, que será dividido en diferentes categorías, los ganadores recibirán una Chromebook de regalo.