PELIGRO: HACKERS RESOLVIENDO PROBLEMA
3 historias de hackers: un amante de los gusanos, un phisher y un psicólogo cognitivo
Think bad, do good
Ese es el lema que aparece en la cuenta de X de Samy Kamkar.
Su claim to fame es el haber lanzado el primer gusano en un servicio web, más específicamente en la red social My Space.
¿El resultado?
El FBI en su puerta, orden de allanamiento y una inédita orden de restricción para el joven de 19 años:
No acercarse a un ordenador durante los siguientes 3 años.
Hackeado
Pero esto no lo podía haber adivinado su madre cuando unos años antes y con mucho esfuerzo y cariño, le compró su primer ordenador.
Samy se pegó como una lapa a aquella máquina que le permitía comunicarse con el resto del mundo mientras su mamá trabajaba.
Era la infancia de la World Wide Web y a Samy le fascinaba la posibilidad de explorar desde su casa esta especie de Lejano Oeste.
Era nuevo, era peligroso y era adictivo.
En uno de sus paseos habituales por los foros de Expediente X se encontró con un chat donde unos tipos estaban fanfarroneando acerca de sus hazañas secuestrando servidores y capturando credenciales.
Picado por la charla, Samy comenzó a meter las narices haciendo toda clase de preguntas impertinentes, hasta que uno de ellos se cansó y le advirtió que le daba exactamente un minuto para salir del chat o le expulsaría por la fuerza.
Sin dudarlo Samy le desafió.
Es un país libre, que te den, escribió y nervioso esperó a ver si sucedía algo.
Antes de transcurrido el minuto la pantalla de su nuevo ordenador se volvió azul.
Samy se puso blanco y dio un salto para desconectar el aparato de la electricidad.
Mierda, no se lo creía.
Resulta que un extraño al otro lado del país decidía joder su ordenador ¡y adiós ordenador!
Cómo podía algo así ser cierto.
Con mano temblorosa volvió a conectarlo.
El pobre Samy sudó frío hasta no ver que el sistema operativo se reiniciaba.
Su ordenador regresó a la normalidad.
Pero fue Samy quien jamás pudo regresar a ella.
¿Qué clase de brujería era esta?
Si de verdad era posible aprender a hacer algo tan chulo como controlar un ordenador a distancia, tenía que saberlo.
Un dios en el Counter-Strike
Pero la trayectoria de un pequeño troll no es lineal y Sammy no hizo mucho con este nuevo conocimiento.
Hasta que un día como cualquier otro le invitaron a probar un nuevo juego en línea llamado Counter-Strike.
El Counter es un juego de disparos en equipos que a principios de los 2000 se hizo muy popular porque podías jugarlo sin problemas con cualquier cacharro.
Aunque tuvieras el ordenador más cutre, estabas dentro.
Y Samy se volvió decente en el juego, pero eso no era suficiente para él. Necesitaba ser el mejor.
Corrian vientos de guerra y Samy se sentia vulnerable porque había jugadores que eran unos auténticos salvajes.
No podía competir con ellos por mucho que practicase.
Cada vez que recibía un disparo en la cabeza volvía a sentir el hostiazo en la boca.
Y la humillación se acrecentaba con su imaginación hiperactiva: casi que podía ver a uno de estos tíos tatuados que habían suspendido el instituto y que las chicas de su clase adoraban, rascándose los huevos y observándole desde el otro lado de la pantalla con ojos de sicario, parka militar y borceguíes sucios, el suelo regado de colillas aplastadas y latas de cerveza.
Mientras que él debía hacer fuerza para reprimir los tacos por no despertar a su madre que dormía en la habitación de al lado.
No era justo, debía existir otra manera.
A la par que jugaba el juego, comenzó a estudiarlo más de cerca.
Cada vez que moría, en vez de cabrearse Samy se obligaba a respirar hondo, detenerse y pensar.
Entonces notó algo a lo que nunca le había prestado atención.
En ocasiones, durante la ronda podía oír a sus espaldas el sonido de unos pasos que no se correspondían con los de su avatar ni con los de sus compañeros.
Pasos fantasma que parecían acercarse o alejarse de él.
En el juego, el radar no te muestra a los enemigos. Únicamente puedes ver a los de tu propio equipo. Y Samy no veía a nadie cerca que pudiera producir esos pasos.
Se ajustó los cascos y dejó a su avatar quieto detrás de unas cajas de madera, a medias desprotegido, con el fin de que sus enemigos le detectaran.
Después se inclinó hacia la pantalla y cerró los ojos para concentrarse únicamente en el sonido.
Allí estaban de nuevo.
Plas, plas, plas, de izquierda a derecha, como si alguien fuera pisando sus propios meados.
El sonido le rodeaba la nuca deslizándose de un auricular al otro haciendo un camino de hormigas.
Abrió los ojos. Nadie en el radar, pero los pasos continuaban aproximándose a él.
Definitivamente no eran sus compis.
¡Esos sonidos le estaban dando información acerca de la posición de sus enemigos!
En algún sitio de la red debía estar fluyendo esa información que llegaba a sus oídos.
No sabía dónde ni cómo, pero la información estaba ahí.
En ese momento el terrorista le salió al paso con un rifle de repetición.
Samy sonrió mientras le quitaban la vida, sintiendo que por primera vez podía ver el juego desde otro ángulo, desde un sitio más alto que el resto.
Necesitaba descubrir lo que había detrás de esos sonidos que pasaban a través de sus cascos.
Debía de haber algún modo de capturar esa información.
Durante los días siguientes se olvidó de jugar y se puso a investigar la documentación que los creadores del juego habían colgado en su sitio web.
Al parecer, la información de la posición de los jugadores en el mapa viajaba por la red en paquetes que pasaban por su ordenador.
Y había una forma de ver estos paquetes en tiempo real, en forma de tráfico de internet.
Samy aprendió a manipular los protocolos de red para interceptar aquella información.
Aún no entendía mucho de código, pero se las apañó para ubicar a cada jugador enemigo en el mapa.
Además, si el juego podía traducir el código directamente en sonidos e imágenes, él debería ser capaz de modificar esos resultados.
Así que se puso a trastear con algunos de los parámetros al azar, para ver qué efectos producían en el juego.
Entonces descubrió algo que se llama "canal alfa".
Es una variable de la librería de gráficos que usaban los desarrolladores del juego para darle textura a los objetos.
Y lo mejor era que él podía modificarla a su antojo.
Funcionaba así:
Cuando una línea de código ponía "Aquí debe ir un muro sólido", Samy la cambiaba para que pusiera "Aquí debe ir un muro a 50% de transparencia"
Y de golpe se encontró andando en el juego con una bonita visión de rayos X.
Cuando un enemigo le esperaba para sorpenderle agazapado detrás de un parapeto de ladrillo seguro de que nadie le vería, Samy saltaba estilo Matrix y le disparaba un headshot inesperado desde el aire.
¡Ja, ja! ¿Quién es el puto amo ahora?
Así se divertía yendo por el mapa como un dios canalla con una glock, eliminando uno a uno a los jugadores de la ronda.
A decir verdad, era tan fácil que resultaba un poco patético.
Y naturalmente, el juego pronto perdió la gracia.
Cansado de no tener competidores, Samy decidió publicar su primer cheat software para permitir que otros también pudieran experimentar cómo se sentía andar por el juego como un dios.
El hack se volvió algo común.
Parecía el fin de sus aventuras en el Counter-Strike, pero entonces los desarrolladores sacaron un nuevo programa llamado Punk Buster, creado especialmente para anular el cheat de Samy.
Las cosas volvían a ponerse emocionantes.
Samy no sabía qué era más gratificante, que una compañía de software con decenas de ingenieros le llamara patán en público...
O que al fin volvía a tener un verdadero competidor con quien medirse.
Así empezó un juego del gato y el ratón en el que Samy trataba de modificar su programa para que no pudiera ser detectado y los desarrolladores corrían a toda prisa para crear un parche que evitara el desastre.
Sentado en su habitación ante el ordenador que le había regalado su madre, podía enfrentar él solo a un ejército de adultos inteligentes.
Ya no necesitaba ser el mejor porque había encontrado un juego que le fascinaba.
Un juego que le permitía usar su curiosidad como un superpoder.
¿Qué más podía pedir un aprendiz de brujo?
Mundos posibles
Hay una entrevista imperdible con Jerome Bruner, el psicólogo estadounidense que en los años 50 dio el puntapié inicial al campo de la psicología cognitiva.
En ella repasa su vida y cuenta cómo su hermana Alice podía hacer con toda naturalidad cosas insólitas y brillantes que a él jamás se le ocurrían.
Por ejemplo, escribir una carta directamente en el sobre, desplegándolo y volviéndolo a plegar, o dar clases de piano en la tienda donde se afinaban pianos y te pagaban por tocar.
Esa experiencia fue la que lo llevó a preguntarse muy tempranamente cómo hacía la gente para inventarse nuevas maneras de que las cosas sucedan.
Y llamó a ese fenómeno "mundos posibles".
Cada actividad que realizamos se podría hacer de otras cien formas que no sospechamos.
En un momento algo parece imposible.
Al momento siguiente, alguien lo hace ante nuestros ojos de una manera inesperada.
¿Cómo puñetas funciona ESO?
Esa fue la pregunta que lanzó su carrera académica.
Por cierto aquí la entrevista de casi una hora:
Es refrescante escuchar a un tipo de la talla de Bruner reflexionando sobre el camino andado.
Pero se me olvidaba…
Tengo una segunda historia de hackers que contarte.
Tropecientas cuentas robadas
En los viejos tiempos, cuando las webs financieras tenían mínimos estándares de seguridad y el email era una tecnología puntera, entró en escena una nueva clase de depredador: el phisher.
En un ataque de phishing se envía un email que simula una comunicación proveniente de una entidad comercial, gubernamental o financiera.
El objetivo es capturar los datos y credenciales del cliente.
En esa época podías pedirle a un cliente que actualizara sus datos completos y un porcentaje sorprendentemente alto obedecía sin rechistar.
En uno de estos primeros ataques masivos, una cantidad bestial de cuentas de eTrade, el abuelo del comercio de bolsa online, fueron secuestradas por varios grupos de hackers.
Era un botín suculento y durante varios meses los delincuentes se pegaron la panzada del siglo, transfiriéndose el dinero de los pobres inversores sin que éstos pudieran hacer nada para impedirlo.
Hasta que eTrade finalmente implementó medidas de seguridad y bloqueó todas las transacciones salientes.
De un día para otro dejó de ser posible retirar el dinero de las cuentas.
Los phishers se encontraron en una posición extraña:
Tenían en su poder tropecientas mil de estas cuentas secuestradas, con los nombres de usuario y las contraseñas, con toda la información personal de las cuentas, incluyendo números de seguridad social, fechas de nacimiento, información de la cuenta bancaria y todo lo demás.
Pero toda la acción había quedado bloqueada. Ni siquiera los clientes podían retirar su propio dinero.
Los segurata habían instaurado un corralito en toda regla hasta que pudieran recuperar y sanear las cuentas de todos sus clientes.
Era frustrante para los criminales. El tiempo corría, las cuentas les quemaban en las manos y no podían lucrar con ellas.
En uno de estos grupos estaba Brett Johnson, un pionero de la Dark Web y ex cibercriminal que participó en varias empresas delictivas notables por la astucia con que fueron ejecutadas.
Brett sabía que no tenía mucho tiempo para encontrar una forma de sacar el dinero.
En vez de seguir buscando vulnerabilidades en los sistemas de la compañía, se interesó por la actividad de los clientes.
¿Qué hacía tanta gente metiendo su pasta en un sitio tan cutre?
Se logueó en las cuentas para explorar el nuevo territorio a través de los ojos de un inversor.
No comprendía el desfile de tickers ni la jerga bursátil ni las líneas en los gráficos que salían en la televisión, pero entendía que la bolsa se trataba de vendedores y compradores negociando continuamente el precio de todo tipo de acciones, divisas y materias primas.
Brett sabía que en todo mercado hay aprovechadores. Si estos inversores eran tan estúpidos como para poner su dinero aquí, alguien más debía estar haciendo el agosto.
Entonces se preguntó lo que siempre se preguntaba cuando entraba en un nuevo sitio:
¿Quiénes son los estafadores de éxito en este mundillo?
¿Y cómo lo hacen?
Buscando se topó con algo llamado penny stocks.
Eran acciones de baja capitalización con las que se solían hacer todo tipo de manipulaciones, incluida una maniobra llamada pump and dump, que consistía en inflar el precio de las acciones de pequeñas compañías haciendo que el público inversor las compre, convenciéndoles con una historia más o menos verosímil, para después vender las acciones de golpe dejando a los inversores tardíos con un papel sin valor.
A Brett se le dibujó una sonrisa de oreja a oreja.
Lo que esos tenedores de acciones fraudulentos estaban haciendo era el timo de la estampita… ¡y les funcionaba estupendamente!
Sin perder tiempo abrió cuentas en todos los brokers que comerciaban con acciones de baja capitalización y utilizó el dinero de los meses de bonanza para "invertir" en la penny stock más pequeña que pudo encontrar.
Después se metió a todas las cuentas que tenía secuestradas en eTrade y comenzó su propia campaña de pump & dump, vendiendo los blue chips de las grandes cuentas y comprando con ese mismo dinero acciones de su penny stock.
Así fue como en cuestión de horas logró:
inflar el precio de sus acciones.
liquidarlas enseguida a un precio estúpidamente provechoso.
retirar el dinero de las ganancias antes de que los brokers pudieran sospechar algo.
Cuando el mercado volvió a la normalidad y dieron las doce, las jubilaciones se transformaron en calabazas, los de seguridad se preguntaron qué narices había pasado, eTrade se lavó las manos como Poncio echando la culpa a sus clientes por haber entregado sus credenciales privadas y Brett…
Bueno, Brett se tomó unas largas vacaciones en algún sitio de cuyo nombre no se tienen noticias, pero que adivinamos repleto de pinchos, margaritas y jubilados buscando algún consejo de inversión.
Gracias por leer Astucia.
Si te ha gustado, hazlo saber dándole al ❤️ y compártelo con tu equipo o con otras personas a las que también les paguen por pensar.