Hace ya varios dias, esta la noticia de los problemas del Flash Player, hoy les quiero hablar sobre la Anatomía de un ciber ataque. Se dice que todo tiempo pasado fue mejor. Esta idea aplicada a los videojuegos nos remonta a días más sencillos, cuando bastaba comprar un cartucho (un enorme pedazo de plástico), ajustarlo en la ranura de nuestra consola (que entonces podía ser un NES, SNES, SEGA Saturn, etc.) y jugar hasta hartarnos. Los juegos hasta hace muy poco eran un producto, un objeto que los desarrolladores y distribuidores nos vendían; el modelo de negocios comenzó a cambiar lentamente en la generación pasada de vender un producto a vender un servicio: el juego es sólo una parte del engranaje de lo que una compañía produce alrededor de tu juego favorito; ahora no se trata de ofrecerte únicamente el juego, sino también soporte en línea, contenido descargable, leaderboard, multiplayer, actualizaciones, parches, etc. Como todos estos servicios remotos utilizan redes informáticas para interconectar a las compañías con sus clientes y a los jugadores con otros jugadores, y las amenazas electrónicas forman parte de las redes mismas, era sólo cuestión de tiempo para que las intenciones de unos y otros se intersectaran hasta chocar, hasta volverse extrañamente peligrosas.

Anatomía de un ciber ataque: identificar el cuerpo del delito

La figura del hacker forma parte de la historia misma de las redes. El hombre común (si existe, pues todos tenemos algo que nos hace pensar que somos especímenes extraños), el hombre promedio en términos de tecnología cree que el hacker es un individuo sumamente inteligente, inválido social, que se la pasa haciendo cosas en su computadora, pero bien a bien no sabemos qué es eso que hace. En el entorno de los profesionales de la seguridad informática, la palabra misma, “hacker”, tiene distintas connotaciones y ha tenido significados muy diversos a lo largo de la historia de las redes informáticas.

Una definición utilitaria de hacker sería “alguien que hace hacks”.

Bien, pero ¿qué es un hack? Los significados formales de la palabra inglesahack no podrían ser más encontrados: una acepción quiere decir cortar algo en trozos; se llamaba hacker a un cochero, es decir, a un conductor de un carro de alquiler, primero de caballos (y a los caballos débiles o viejos en algún momento se les llamó hacks también) y luego se hizo extensivo a los primeros taxistas; de hecho, la palabra hack sigue usándose todavía para referirse a los caballos de exhibiciones ecuestres. También a los periodistas también se les llamó hacks, pero la palabra aquí tenía un sentido peyorativo, es decir, degradante: un hack en periodismo era un escritorzuelo. Hace décadas, “to hack” era el equivalente a holgazanear. Luego tomó el sentido, que es más o menos el que tiene aún, de resolver un problema a través de medios que no son muy elegantes, pero sí efectivos. Por ejemplo: si se nos rompe un lápiz y usamos cinta adhesiva para pegarlo, no aplicamos una solución muy correcta, pero salimos del problema inmediatamente. Es en ese sentido que Jane McGonigal, desarrolladora de videojuegos, dice que los videojugadores desarrollan un tipo de inteligencia que les permite hackear el mundo real, es decir, usar lo que han aprendido en los videojuegos (paciencia, resistencia, creatividad) para resolver problemas de su vida cotidiana.

La definición más amplia de un hacker actualmente es: un profesional de la seguridad informática. A partir de ahí todo es relativo: existen hackers desombrero blanco (whitehats) que son contratados por empresas para descubrir fallas en sus sistemas de seguridad informática y los de sombrero negro (blackhats), siguiendo la metáfora del Viejo Oeste, son los que intentarán hacer colapsar un sistema sólo por demostrar que pueden hacerlo. Existen también los de sombrero gris (grayhats) cuya moral es ambigua. Existen crackers, que son los que comenzaron a identificar y utilizar maliciosamente fallas o bugs en los sistemas, y posteriormente a modificar hardware y software (cracks) para dar usos distintos a los originales. Los noobs comenzaron siendo hackers aficionados, no solamente los “novatos” de nuestros juegos. Incluso existe el hacker samurái, con un estricto código de ética. Y muchos más.

Un nuevo tipo de hacker, el hacktivista, nos es bien conocido. El sumo patrón de todos es Julian Assange, el editor en jefe de WikiLeaks, quienes filtraron información clasificada de distintos (¿de todos?) gobiernos del mundo, bajo la consigna política de hacerla pública. Un grupo que tenemos más cercano es Anonymous, de quienes hemos hablado a profundidad en otro lugar. Su consigna es igualmente hacer pública la información, sin embargo van un poco más lejos al erigirse ellos mismos en jueces morales, imponiendo su opinión a través de protestas electrónicas: aquí el hack tiene la connotación de protesta. Sacar de línea un sitio web porque alguien relacionado con él (pongamos por caso, el sitio web de la Cientología) hizo comentarios que nos parecieron ofensivos, sería, para Anonymous, una forma de protesta. Los Anons tienen, además, hacks en la vida real: a las protestas electrónicas suman protestas presenciales en diferentes partes del mundo y por causas distintas, llevando la infaltable máscara de Guy Fawkes.

Pero el último grupo notable, tanto por su alcance como por su programa político sui generis es Lulz Security, mejor conocidos como LulzSec, y también como “esos malditos bastardos que tiran páginas de videojuegos todos los días”. Saltaron a la fama de la infamia hace poco tiempo cuando publicaron a través de su cuenta de Twitter parte de la base de datos de Sony Pictures y BMG. Han hecho blanco de sus ataques a los sitios de EVE Online, los foros de League of Legends y el login de Minecraft; aseguran también haber obtenido y publicado información personal de usuarios tomada de Xbox LIVE.LulzSec no tiene una cruzada personal contra los videojugadores: en un giro curioso, ofrecieron públicamente a SEGA ayudar a “destruir” a los hackers que recientemente los atacaron. Otros objetivos de LulzSec han sido la revista Escapist y la empresa de seguridad informática Fin Fisher, además, resuntamente, de haber vulnerado la seguridad de PayPal, Twitter, Facebook, la CIA, el FBI y el Senado de Estados Unidos. Pero a diferencia de otros grupos, LulzSec hackea por los lulz (por las risas, por la diversión). Este, como es fácil notar, es uno de los programas políticos más peligrosos de todos: se anuncia como impredecible y caótico. No se sabe qué esperar, y su blanco recurrente es el que necesita que las redes funcionen para poder divertirse: los videojugadores.

Las vísceras

Los videojugadores son presa frecuente de los hackers por una razón sencilla: son una comunidad que les genera reconocimiento y atención. Son víctimas viscerales: no son poco frecuentes los tweets de LulzSec donde se burlan de las reacciones de los videojugadores cuyos foros han sido hackeados. Baste recordar toda la atención (y tensión) que se generó durante las semanas que duró la tristemente célebre caída de la PlayStation Network: diversos foros se llenaron de teorías conspiratorias y jugadores enojados. La de los videojuegos es una comunidad activa de personas que expresan su disgusto por todo aquello que se interpone entre ellos (nosotros) y su pasatiempo favorito. Por poner un ejemplo ridículo: supongamos que la comunidad de modelismo aéreo (los que construyen aviones, helicópteros y otros vehículos a escala controlados via remota) fuera víctima de ciber ataques. Tal vez los foros dedicados a ese pasatiempo caerían y los entusiastas del modelismo aéreo estarían enojados, pero podrían seguir divirtiéndose fuera de la red. Con el modelo de los videojuegos como servicio, las redes son fundamentales: la tendencia de la industria, con OnLive a la cabeza, apuesta a que pronto jugaremos las campañas individuales de nuestros juegos favoritos sin tener que descargar el juego, sino haciendo stream a través de una Nube (Cloud).

El cerebro (anatomía de un headshot)

Durante las últimas semanas cada día una o dos páginas de desarrolladores de videojuegos han sufrido ataques DDoS: son blancos que los hackers saben que les dará notoriedad por la repercusión y el impacto en las comunidades. Después de todo, los ingresos por ventas de videojuegos en el mercado estadunidense superaron en 2009 los 10 mil millones de dólares, y sólo en Latinoamérica se calculaba en 600 millones de dólares para el 2006. Detrás de esas cifras hay jugadores, casuales o hardcore, que gastan dinero en juegos, periféricos y consolas, que a su vez necesitan de redes seguras y funcionales para operar correctamente. Por su relación con estas es que podemos decir que los videojugadores son un blanco natural para los hackers: los videojugadores necesitan las redes para jugar, los hackers toman las redes para hacerse de la atención de los videojugadores, quienes a su vez se vuelven una especie de publirrelacionistas de los hackers al hacer eco en todas partes de las acciones de estos. Con todo el enojo que eso implica.

Si bien no parece que LulzSec tenga una cruzada personal contra los videojugadores, bien parece que hacerlos blanco de su ataque es una estrategia directa: es atacar la cabeza de una base fuerte de usuarios, confiando que si la cabeza sufre, el cuerpo seguirá: redes sociales, tiendas en línea, servidores de correos electrónicos, etc. Repito: no es que los jugadores sean los usuarios más importantes, pero sin duda son de los más activos. Es esa actividad la que podrían aprovechar los grupos hackers.

Manos: huellas digitales

¿Pero qué tipo de acciones realizan los hackers? Hay dos modalidades de un ciber ataque: uno es el ciberespionaje, una actividad que lleva años en marcha. Recuérdese que el Internet tiene un origen militar. El ejército de Estados Unidos comenzó a desarrollarla para compartir y almacenar información clasificada. El hecho de vivir en la era de la información implica que la información es un capital importante: quien tiene la información, como suele decirse, tiene el poder. Facebook mismo no es sino un servicio que permite el acceso a la información personal de gente que nos interesa.

El ciberespionaje puede hacerse silenciosamente: el hacker encuentra un puerto o una falla en la seguridad de una red o de un equipo específico y accede a él, descarga información, coloca programas que le reportan la actividad del equipo, etc. Lo hace con distintos fines: puede ser que un competidor contrate a un hacker para hacerse de la información importante de su competencia, o incluso con fines de inteligencia militar.

La segunda modalidad de un ataque de hackers es el ciber ataque a un servidor con el fin de sobrecargarlo y no permitir el acceso a la página que alberga. El ataque DDoS (distributed denial of service o denegación distribuida de servicio) es una forma relativamente simple de bloquear la capacidad de respuesta de un servidor. Esto se realiza mediante una acción coordinada de distintos equipos: es decir, de gente con una computadora que no necesariamente cuenta con conocimientos avanzados en informática. Es sencillo: cuando entramos a una página de Internet nuestro equipo envía una solicitud al servidor donde se almacena dicha página; el servidor nos responde y podemos verla después. Pero si el servidor recibe más solicitudes de las que puede procesar, colapsa y deja de responder, dando como resultado que la página no pueda verse. Anonymous desarrolló una aplicación especial para que cualquiera con acceso a Internet pueda participar en un ataque DDoS.

El LOIC (low orbit ion cannon, o cañón iónico de órbita baja) sirve para multiplicar la cantidad de solicitudes que un equipo individual envía a una dirección IP (la huella digital de una página web). Los hackers que han sido aprehendidos en España y Turquía dejaron, a su vez, visible su dirección IP, la huella digital de su computadora, por lo que un estudio forense del ataque permite rastrearlos. No podemos dejar de recordar que estamos hablando de una actividad ilegal: palabras como pistas, crímenes, involucrados, autores intelectuales, culpables y víctimas no son poco frecuentes al hablar de hackers.

La boca y el oído

Herramientas como el Ping (envío de paquetes de información de solicitud y respuesta) funcionan para comprobar la velocidad de respuesta de un sitio web cuando este recibe una solicitud por parte de un equipo. Esta y otras herramientas de diagnóstico son esencialmente eso, herramientas que permiten a los ingenieros de redes hacer que tus páginas favoritas funcionen en condiciones óptimas. Al hacer uso malicioso de estas mismas herramientas, tenemos expuestas las fallas en la construcción de estas redes y el problema se vuelve mayor cuando esos fallos estructurales exponen la información personal de miles (millones hasta ahora) de personas. Aunque los ciber ataques han existido desde que existen redes, el componente que hace toda la diferencia en nuestros días es que el ataque se vuelve público. Vayamos con cuidado en este punto: un hacker puede entrar a una base de datos, descargar información y salir de la red tratando de dejar las menores pistas posibles de su entrada. Pero si el hacker hace público, por ejemplo, que Sony almacena la información de sus usuarios en archivos de texto en lugar de codificarla, el ataque realmente es la mala publicidad que recibe la compañía, no tanto la extensión de la información robada o comprometida.

Los pies (sobre la tierra)

Dejemos algo claro: poseer una base de datos con la información personal de miles de personas no necesariamente implica un daño individual a cada una de esas personas. Claro que no me gustaría que un tipo tuviera la contraseña de mi email o mi información de login en Steam, pero hay que tener claro que los ataques no se dirigen a afectar a personas, sino a compañías e instituciones. Lo que dejan los ataques a la CIA o el FBI es una merma en la sensación de confianza que la gente tiene en estas instituciones gubernamentales. En el caso de la PlayStation Network el asunto fue grave porque se dio a conocer que Sony no contaba con medidas adecuadas de seguridad para almacenar la información financiera de sus usuarios, y aunque técnicamente su compañía fue la víctima del ataque, el Congreso de Estados Unidos solicitó su cooperación para deslindar responsabilidades.

Dada la frecuencia e importancia de la información personal comprometida durante las últimas semanas el presidente de Estados Unidos, Barack Obama, ha elevado el ataque cibernético a la categoría de acto de guerra. LulzSec ha respondido directamente en un comunicado que están listos para dicha guerra. Aquí el aspecto caótico del grupo adquiere su aspecto más perturbador: a la manera de ataques kamikaze no parecen importarles mucho las consecuencias de sus actos. Consideran sin ninguna dificultad la posibilidad de ser atrapados eventualmente por el FBI.

Kevin Mitnick, un exhacker que cumplió una condena en prisión por delitos informáticos, ha dicho que no será sencillo atrapar a los responsables de estos ataques. Si su estructura organizacional es parecida a la de Anonymousestamos hablando de decenas o incluso cientos de personas con distintos niveles de participación . Las autoridades tendrán que hacer legislaciones rápidas para decidir el grado de culpa que tiene alguien que planea un ataque electrónico a diferencia de alguien que baja un LOIC y lo apunta hacia una dirección IP “sólo por los lulz”. Eso, claro, suponiendo que los atrapen en algún momento. Mitnick afirma que la via más probable para desarmar estos grupos es que uno de sus miembros realice algo sumamente estúpido por su cuenta y se vea forzado a delatar a otros miembros de mayor jerarquía. Mitnick opina esto porque ese fue el modo en que lo atraparon a él.

Los ojos (en el futuro)

Hace unos años se dio a conocer que 360,083 cuentas Citigroup, una de las instituciones bancarias más grandes del mundo, fueron robadas en un ataque electrónico. Informaron a los afectados que un grupo de desconocidos tuvo acceso a su información personal, incluyendo información de contacto, números de cuenta, nombres e emails. Aunque este número representa apenas 1% de la base de usuarios de Citigroup, este ataque se suma a organismos financieros como el del Fondo Monetario Internacional, que debido a la delicadeza del caso apenas se ha hecho conocido. Los videojugadores son apenas la punta del iceberg de una práctica que ha estado vigente durante décadas. Hay ataques de hackers que pretenden atraer la información sobre la inseguridad de los sistemas, sobre las decisiones corporativas de las compañías o para obtener información que, en el contexto del ataque a Citigroup, es el equivalente a un robo de banco. Si Al Capone, John Dillinger oBabyface Nelson quisieran asaltar bancos en estos días, probablemente lo harían a través de una computadora, sin un disparo.

La nariz (del cazador)

Como hemos aprendido a lo largo de nuestra experiencia en los videojuegos, la manera más efectiva de derrotar a un enemigo es pensar como él, adelantarnos a sus movimientos. El exhacker que mencioné hace poco, Kevin Mitnick, aporta una visión importante: debido a la dificultad de rastrear individuos particulares con avanzados conocimientos en informática, debemos esperar a que cometan un error humano, visceral. Supongamos que un miembro de muy baja jerarquía en una organización hacker se envalentona súbitamente y decide comprar algo con dinero de una cuenta obtenida durante un robo de bases de datos; la policía da fácilmente con él. Tendrá que negociar su libertad o una reducción de su condena a cambio de aportar información relevante que lleve a la captura de otros miembros. Sin embargo, aunque cientos de personas fueran juzgadas y encarceladas por cometer delitos informáticos hacia blancos de alto perfil como Sony, la CIA o el FMI, no deja de ser responsabilidad de estas instituciones el garantizar la seguridad de la información almacenada en ellos. Aunque importante, la información de seguridad social y de contacto directo es mucho más delicada que el login de un foro. Pero todos, desde los desarrolladores y medios que nos proveen de entretenimiento en nuestro pasatiempo favorito hasta las instituciones ubernamentales que administran nuestra información personal, deben invertir y asegurar que la información que les proporcionamos sea tratada con las mejores medidas de seguridad: esto es, que su acceso no quede a la vista de alguien que desee verla “sólo por los lulz”. En otras palabras, atrapar a un hacker es el equivalente a cortar una cabeza a la hidra: por cada una que se corte dos más aparecerán.

Hack-e-mate

La ONU ha declarado el acceso a Internet como uno de los derechos humanos, y como otros derechos humanos implica atribuciones para la gente y los gobiernos, además de nuevas responsabilidades para ambos. Las actividades ilegales en Internet están avanzando a un paso demasiado rápido para que las autoridades puedan lidiar con ellas en términos legales: las legislaciones son urgentes y no están avanzando a la velocidad que los tiempos requieren. La tecnología va adelante de la legislación de su uso. Cuando los gobiernos y las instituciones comiencen a entender que están tratando con personas que cometen actividades criminales y no con “nerds” que tienen mucho tiempo libre, las cosas podrían empezar a cambiar. Para hacer frente a un problema primero hay que reconocer su existencia. El caso deJulian Assange y WikiLeaks fue revelador a este respecto. ¿De qué lo acusarán? ¿En qué jurisdicción? ¿En la cárcel de qué país lo enjuiciarían y encarcelarían? ¿Por cuánto tiempo?

Nada impide especular un poco: en el mejor escenario posible, todo el talento reunido de los hackers podría facilitar el modo de vida como lo conocemos en la era de la información. En el peor escenario posible, los delitos electrónicos podrían ser el inicio de una campaña de vigilancia y restricción como la que desean imponer y de hecho imponen algunos gobiernos como los de Irán o China sobre el acceso a Internet de sus ciudadanos. Lo cierto es que estamos lejos de ver el último capítulo de esta historia. Al final, las computadoras y el Internet son herramientas: ni buenas ni malas por sí mismas. Algo que queda claro es que por más cool que parezca Hugh Jackman en Swordfish los hackers, en este momento, son criminales. Pero, como se dice, correr con tijeras es divertido sólo hasta que alguien tropieza y se lastima con ellas.

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$