[Hacker] “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora”. La RAE actualizó la definición del término ‘hacker’ a finales de 2017 haciendo justicia al carácter ético. Investigar y adelantar vulnerabilidades es lo que tienen en común estas tres leyendas.
John Thomas Draper: “Hago lo que hago solo para aprender cómo funciona el sistema”
Esta es la historia de alguien que descubrió que un simple juguete que venía de regalo promocional en una caja de cereales podía utilizarse para hacer llamadas telefónicas gratuitas de larga distancia. John Thomas Draper, a principios de los años 70, modificó el silbato de regalo que venía en una caja de Cap’n Crunch para que emitiese un tono a 2600 Hz, que era la misma frecuencia que utilizaba AT&T para indicarle a la línea que estaba preparada para el ruteo de la llamada. Con esto no fue difícil obtener el acceso como operador de la línea, gracias a lo cual pudo estudiar el funcionamiento del sistema telefónico.
Con lo aprendido construyó la primera Caja Azul que emitía diversos tonos y le permitía ‘piratear’ la línea telefónica. Muy pronto empezó a ser conocido por el sobrenombre del Capitán Crunch. “Ya no lo hago, ya no, nunca más. Y si lo hago, es solo por un motivo, estoy aprendiendo cómo es el sistema. Hago lo que hago solo para aprender cómo funciona el sistema telefónico”. Estas fueron las palabras que Draper dejó en su sitio web www.crunchcreations.com tras la entrevista que realizó para la revista Esquire en octubre de 1971.
En 1972, Draper fue arrestado y acusado por fraude a las compañías telefónicas, pero para entonces ya había enseñado sus técnicas a dos jóvenes llamados Steve Jobs y Steve Wozniak, que antes de fundar Apple se dedicaron a construir y vender Cajas Azules. John Draper es recordado por el Phreaking o pirateo telefónico pero pocas veces se menciona que estando en prisión escribió el código de EasyWriter para Apple, creando así el primer procesador de textos.
Kevin Mitnick: de la obsesión por las redes a fundar una empresa líder en ciberseguridad
Esta es la historia de un chico de 16 años obsesionado por las redes que rompió la seguridad del sistema administrativo de su colegio. Y aunque pudiera parecerlo no lo hizo con la intención de modificar sus notas, lo hizo “solo para mirar”. Esta curiosidad voraz le llevó a acceder ilegalmente a numerosos sistemas. Sus objetivos fueron creciendo; North American Air Defense Command, ARPAnet, Microcorp Systems, el departamento de seguridad de MCI Communications o Digital Equipment Corporation fueron algunas de sus víctimas. Para 1991 Kevin Mitnick ya era primera página en periódicos como el New York Times.
En 1988 fue arrestado y declarado culpable de un cargo de fraude y posesión ilegal de códigos de acceso de larga distancia. El fiscal convenció al juez de que le prohibiese el uso del teléfono en la prisión, alegando que podría obtener acceso a las computadoras a través de cualquier teléfono. A petición de Mitnick, el juez le autorizó a llamar únicamente a su abogado, a su esposa, a su madre y a su abuela, y solo bajo supervisión de un oficial de la prisión. Por su parte, su abogado convenció al juez de que Mitnick sufría de una adicción a las computadoras igual que sufre un drogadicto o un alcohólico.
Fue sentenciado a solo un año de prisión, tras el cual debía seguir un programa de 6 meses para tratar su ‘adicción’ a los ordenadores. Durante ese tiempo le fue prohibido tocar un ordenador o un módem y llegó a perder más de 45 kilos. Hoy en día es el fundador de la compañía Security Consulting LLC. El equipo de pruebas de penetración que lidera Mitnick es uno de los más respetados y las principales corporaciones y gobiernos del mundo requieren sus servicios. Muchos de sus clientes están incluidos en la lista Fortune 500.
ph4nt45m4: “Todos llevamos un Hacker dentro”
Esta es la historia de un niño de 8 años que descubrió que si pegaba un chicle en el canto de una moneda y la introducía en las máquinas de bolas que solían poner en la puerta de comercios y bares, evitaba que la moneda cayese a la hucha de la máquina y el mecanismo le permitía girar una y otra vez hasta vaciarla. A pesar de que bajaba provisto de una bolsa de plástico para llenarla con todo el contenido, una vez llena, se la dejaba al dueño del comercio para que viese que con un simple chicle se le podía hurtar. Ese niño nunca entendió por qué los propietarios aceptaban tan mal que les dijesen que algo no funciona correctamente.
El niño se convirtió en un joven y, a medida que crecía, su interés por todo aquello que ‘no funcionaba correctamente’ no hizo más que acrecentarse. Cierto día descubrió que podía acceder de forma remota a cualquier equipo que tuviese recursos compartidos en red y durante las siguientes semanas se convirtió en su nuevo pasatiempo favorito. Escaneaba cientos de rangos de Ips, miles de puertos, decenas de miles de Pings en busca de ese 20 que le daba acceso libre a otros equipos.
Ese joven no sabía por aquel entonces que su entretenimiento no estaba bien visto por la ley y, en un altruista intento de ‘solucionar problemas’, se dedicaba a dejar notas en el escritorio de aquellos equipos a los que accedía explicando que tenían un problema de seguridad y cómo podían solucionarlo. Accedía a sistemas de los que podía copiar, modificar o borrar datos, podía destruir el sistema, podía hacer lo que quisiese una vez dentro pero lo único que hacía era dejar esa nota a modo de ayuda. Aquel joven no sabía que uno de ellos le iba a denunciar.
Tampoco sabía que las infraestructuras que tenía el proveedor de servicios no funcionaban del todo correctamente porque vivía en una zona rural bastante alejada de núcleos urbanos y la denuncia acabó en manos de su vecino. El joven tenía buena relación con dicho vecino, incluso le había explicado en alguna ocasión lo fácil que resultaba conseguir ese acceso, por lo que cuando una tarde se presentó en su casa con la denuncia en la mano no daba crédito. Cualquier otra persona hubiese señalado e incriminado al joven pero el vecino sabía que el único pecado que había cometido aquel muchacho era tener demasiada curiosidad. Por suerte para el joven, aquello no trascendió. Seguramente, que el vecino resultase ser un Comandante de los cuerpos especiales del ejército ayudó bastante a resolver la situación. Hoy día, este ya no tan joven, imparte cursos y talleres de formación en ciberseguridad para empresas.
Esta es la historia de miles de personas que no son el producto final de ninguna universidad; que son el resultado de lo que otros cientos de miles de personas han compartido en Internet. Es la historia de todos aquellos que emplean su tiempo en tratar de entender cómo funcionan las cosas para tratar de mejorarlas. Al fin y al cabo ¿qué es un hacker? “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora”, tal y como acredita la RAE.
En CIBINAR mantenemos la cultura de estas tres historias y de la esencia que recoge la propia definición. Nuestra misión es mejorar el mundo y hacer difundir nuestros conocimientos a todo el que lo necesite, con el fin de detectar grietas de seguridad y evitar ataques indeseados que podrían desembocar en grandes problemas para cualquier empresa.