Hacking en Cuba ¿jugar a ser Dios?
Por: María Lucía Expósito
Eric Raymond afirma que saber romper medidas de seguridad no hace que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción.
Los términos hacker y hack tienen connotaciones positivas e irónicamente negativas. Los programadores informáticos suelen usar hacking y hacker para expresar admiración por el trabajo de un desarrollador de software calificado, pero también se puede utilizar en un sentido negativo para describir una solución rápida pero poco elegante a un problema. La palabra hacker se utiliza normalmente para describir a alguien que hackea un sistema con el fin de eludir o desactivar las medidas de seguridad.
El hacking en Cuba es un tema casi desconocido para la mayoría. El artículo 26 de la Resolución 127/07 refleja que “ninguna persona está autorizada a introducir, ejecutar, distribuir o conservar en los medios de cómputo programas que puedan ser utilizados para comprobar, monitorear o transgredir la seguridad, así como información contraria a interés social, la moral y las costumbres, excepto aquellas aplicaciones destinadas a la comprobación del sistema instalado en la organización para uso por especialistas expresamente autorizados por la dirección de la misma”.
Los recientes y habituales ataques dirigidos a los usuarios de la red Wifi Etecsa, son, tristemente, un célebre recordatorio de la existencia de estos individuos. Afortunadamente, hablar de hacking en Cuba, como demuestran las historias de Winston, Yaisel y Vendetta, es también hablar del trabajo de los grupos de formación de seguridad informática y el llamado hacking ético.
Winston, Yaisel y Vendetta son tres chicos cubanos que comparten más de una habilidad en programación y son asiduos a las noches sin dormir con la complicidad de sus códigos matemáticos. Cada uno, con distintos propósitos, alega ser partidario de cierta ley de la curiosidad o, hablando en plata, de un gremio de hackers a la cubana.
No obstante, las siguientes historias no contienen un cien por ciento de claridad y especificidad debido, quizás, al sentido de protección individual de cada una de los implicados. Asimismo, tales juicios fueron consultados con un grupo de expertos en el tema, quienes cuestionaron algunos de los aspectos a los que hicieron alusión los entrevistados.
I: Winston y la ley de la curiosidad
La tarde de este viernes me pesa en los pies, casi arrastro los pasos hacia la Lonja del Comercio. Me siento en una de esas películas de espionaje; después de semanas con par de líneas inconclusas de un trabajo, me recomendaron un email cuyo usuario contenía caracteres raros.
Llego sesenta minutos tarde al lugar, y me encuentro a mi futuro entrevistado leyendo un texto de Hemingway en las escaleras de la entrada del majestuoso edificio. Me excuso de la mejor manera que encuentro y nos dirigimos hacia el sexto piso de la Lonja. La vista mostraba los cruceros que, como bestias en el Puerto, ocultaban de la vista la lanchita de Regla.
Él toma unas fotos en picada, hace un chiste que apenas entiendo mientras prende un cigarro. Le pregunto un pseudónimo para la redacción. Cavila un rato. Sonríe. “Winston, como el personaje de 1984”, responde.
Winston es un soñador de 22 años, está en cuarto de Ingeniería en Ciencias Informáticas y tiene muchos proyectos por despuntar. Winston es, también, un hacker cubano que no tiene problemas en recitarme la definición del término del Diccionario Oxford: “persona que utiliza computadoras para ganar acceso no autorizado a datos y entusiasta o persona habilidosa con las computadoras”.
“Mi mejor amiga es la paranoia –confiesa–, discúlpame por ser así, pero cuando llegan hasta tu casa se vuelve muy incómodo saber que te vigilan”. No quiere que esta sea la cuarta vez que ciertos cuerpos uniformados le toquen la puerta.
A la pregunta de si hay hackers en Cuba responde con un rotundo “sí, existen hackers en Cuba y no son tan malos como la gente cree”.
María Lucía (ML): ¿Desde cuándo hackeas?
Winston (W):“Comencé a hacerlo de forma inconsciente con 13 o 14 años, buscando formas de conectarme a Internet. En esa época no tenía ni idea de qué era un hacker; la mayoría de las cosas que hice fueron extremadamente sencillas, ingeniería social y mucho Telnet (protocolo de conexión telefónica) y SSH (protocolo de conexión de red), herramientas básicas de cualquier distribución de Linux, así como el Putty que es una App de Windows que permite hacer esto”.
Winston detiene su discurso. Prende otro cigarro, se disculpa y pregunta si le traje la entrevista de Padura que prometí como cambio al documental sobre Edward Snowden, Citizenfour, de Laura Poitras.
ML: Ver lo que otros no pueden… ¿te hace sentir algún súper poder el hecho de ser hacker?
W: “Se siente un poco de vergüenza ajena, porque muchas veces es una mala configuración realizada por el administrador. A veces me entra cargo de conciencia y les envío un mail anónimo diciendo cómo arreglar el problema. Realmente no me siento como si tuviera súper poderes; siento que logré ser más inteligente que otra persona, como si ganara una partida de ajedrez contra un gran maestro”.
ML: ¿Cuál es el tipo de hackeo más frecuente a sitios cubanos?
W: “Los ataques más frecuentes son de negación de servicio, que consisten en realizar miles o millones de peticiones por segundo a un servidor (o página web) con el objetivo de hacerlos colapsar. Estos ataques La red de ETECSA apenas los soporta, si casi ni puede manejar la cantidad de peticiones que se le realizan de manera normal. Las redes Wifi ETECSA y el sitio web Cubadebate, han sido los más afectados”.
ML: ¿Cuál es la naturaleza de los atacantes y cuáles sus propósitos?
W: “Entre los más comunes figuran el Estado Islámico, y hackers solitarios, en su mayoría intentando probar nuevos exploits. Los propósitos más repetidos son perjudicar los sitios web cubanos oficialistas y obtener contraseñas para la conexión a través de la red Nauta.
“La mayoría de los atacantes son script kiddies (personas que sencillamente utilizan los scripts o los exploits de otras personas para llevar a cabo un hack; algo así como la categoría que tienen los hackers en un principio, cuando son aficionados), o algunos que se encuentran aburridos y deciden molestar un poco.
“Por su parte, los hackers cubanos buscan mayormente burlar a ETECSA, que es demasiado fácil, aunque hay propósitos extremadamente variados, tantos como personas.
“En cuanto a pertenecer a algo, es difícil saberlo; nadie toma crédito, y los que lo hacen dan alias que son imposibles de rastrear”.
A este chico siempre le sedujo la posibilidad de adquirir ese poder de “jugar a ser Dios. Me tienta el poder, no para ostentarlo, sino porque me contenta saber, o estar consciente de que puedo con algo, y de que puedo hacerlo en el momento que quiera”.
Comienza a anochecer. Abandonamos el edificio de la Lonja del Comercio y nos adentramos por el laberinto del Centro Histórico.
Mientras caminamos por las calles de La Habana Vieja, Winston se pone a filosofar sobre el hecho de que por algún motivo extrañaba el invierno polar de Hamburgo y la sequedad inherente de Berlín, donde hacía unos meses había estado. Deseaba volver a caminar aquellos salones plagados de anarquistas, hackers y escritores.
Aprovecho su relajación para tocar el tema de su historial. Arquea las cejas, pero cede ante mi pregunta.
ML: ¿Has experimentado con la red Nauta?
W: “Con la red Nauta lo que hago es sencillamente un man in the middle (hombre en el medio) y lo he usado solo para comprobar si era posible realizar ese tipo de ataque, como algo meramente académico.
“Para burlar la red lo primero que hago es una copia exacta del sitio guardando la plantilla y modificándola. Luego trato de conseguir todos los errores que da con sus códigos; necesitas poder parecer la página auténtica. Después, con un poco de PHP (lenguaje de programación), preparo la página falsa para que al primer intento de logueo no envíe el formulario a la Wifi auténtica de Etecsa, sino que lo salve en mi computadora en texto plano sin ningún tipo de cifrado. En el siguiente intento de logueo, se envía el formulario a la página auténtica de Etecsa dejando a la víctima conectarse. Si tengo ya a una persona conectada lo que hago es sencillamente dar un error con el primer formulario y luego le doy paso, así se pueden almacenar más combinaciones de usuario + password. Esa es la esencia del ataque.
“Hasta hace muy poco esto era posible porque, en primer lugar, Etecsa no tenía un certificado SSL reconocido como válido por los navegadores. Por otro lado, las personas tienen una escasa cultura informática, por lo que no tienen ni idea de cuándo un certificado es válido y cuándo no; esto me permite generar uno propio”.
Juegos aparte, Wilson dedica su tiempo libre a crear y promover una mayor conciencia sobre los temas de seguridad informática. “Ahora mismo estoy tratando de desarrollar protocolos para comunicación segura utilizando estándares criptográficos. Otra cosa que tengo en mente es tratar de conseguir que la privacidad de datos sea un tema de más interés en Cuba, que se exijan estándares criptográficos a todas las empresas, que todos los datos estén almacenados de forma segura, no en texto plano como ocurre ahora”.
ML: ¿Algo así como un hackerspace cubano?
W: “El proyecto consiste en crear un lugar donde las personas puedan dar rienda a su imaginación, probar nuevas ideas, difundir conocimiento, impartir cursos de programación electrónica y cualquier cosa que sepamos, todo de forma gratuita y comunitaria; esa es la idea general de fundar el hackerspace. Algo que además no es idea mía solamente, sino de varios miembros de la comunidad de software libre de La Habana”.
Mientras vagamos por esta Habana de medias luces, casi al despedirnos, le lanzo una última pregunta.
ML: ¿Vale la pena “la curiosidad”?
W: “La respuesta siempre va a ser sí, como especie somos curiosos por naturaleza, hackear es una expresión más de la misma”.
II Hacking… ¿ético?
El curso de hacking ético que imparte la Universidad de las Ciencias Informáticas consiste en el estudio de pruebas de penetración a aplicaciones web. Se les enseña a los cursantes cómo utilizar ciertas herramientas y procedimientos para saber si la aplicación web que se analiza es vulnerable o no.
Winston, mi entrevistado de la Lonja, participó en uno de los cursos “pero por molestar al profesor más que nada”, afirmó. “La gente tiene miedo de lo que alguien con conocimientos puede hacer; si fuera a comparar el curso con algo lo compararía con un vino muy aguado”.
A diferencia de Winston, Yaisel Hurtado –Ingeniero en sistemas de la Universidad de las Ciencias Informáticas, desarrollador y bloguero del sitio HumanOS– sí cree en la utilidad de estos cursos, y es uno de los impulsores del Grupo de Hacking ético. Prefiere el software libre de código abierto, Debian, Python y otras cosas estúpidas como él mismo dice.
“Una amiga me dijo que no entendía cómo el hacking podía ser ético, –cuenta Hurtado–, y yo le dije: ‘de la misma forma que un cirujano puede ser ético o no, el hecho de que sea cirujano no lo convierte en buena persona. Por ejemplo, hay scripts que son tareas programadas para hacerle un respaldo a una base de datos y eso no es malo, hago scripts todos los días y son para ayudarme con mi trabajo”.
ML: ¿Cuál es la estrategia desplegada en estas últimas ediciones del curso?
Yasiel Hurtado (YH): “En esta edición estamos concentrados en las aplicaciones web porque es lo que más está siendo afectado. Los lenguajes de scripting que más utilizamos son Bash, PHP, Python, Ruby y Perl –básicamente, todos estos lenguajes son un conjunto de instrucciones en un fichero–.
“Trabajamos también técnicas con tráfico hacia a aplicaciones web, cómo analizarlo, identificar patrones de ataques centrados en dicho tráfico registrado por el proxy inverso y servidores web. Leemos muchos logs en el caso de los libpurples que libera pidgin, chequeos de integridad de ficheros, notificaciones por correo y el vínculo que puede tener con los spams”.
ML: ¿Se considera el spam una forma de ataque?
YH: “El servidor de correo tiene que invertir tiempo y recursos en recibir y almacenar esos correos. Si yo como atacante envío 100 correos spam, con un solo usuario que me dé su número de cuenta, podría haber cumplido mi objetivo; ahora imagínate enviar 200 000 correos, si de cada 100 cae uno hipotéticamente hablando, ¿cuántos caerán cuando envíe 200 000? Eso no solo es empleado por los hackers de sombrero negro sino por empresas que hacen o contratan campañas de marketing; hay toda una industria del malware, y es una industria millonaria.
“En el grupo de hacking ético hacemos un análisis para determinar, no solo de dónde provino, sino también lo que querían hacer, si lo consiguieron, además de cómo fue que lo hicieron”.
III Inside Facebook: “Tengo ganas de decirle al mundo lo que hice, aunque sea horrible”
Con 21 años, Vendetta –como prefirió llamarse– sueña con tener una compañía como la de Steve Jobs. Confiesa que muchas veces le parece poco lo que ha logrado hasta ahora.
“Cuando logré entrar al GHE (Grupo de Hacking Ético) de la UCI me metí esta frase en la cabeza: Las dos cosas que más odiamos cuando estamos en una red de computadoras son que se nos invada nuestra privacidad, y no poder invadir la privacidad de los demás”.
Su experiencia como hacker también está relacionada con vetas de cursos de hacking, de los cuales fue expulsado por usar Armitage (interfaz de usuario para metaesploit) como un atajo para saltarse pasos.
ML: ¿Qué fue lo que atacaste y cuál vía empleaste para lograrlo?
Vendetta (V): “Lo que hice fue ingeniería social”, comenta, “mi campo de acción fue Facebook. El procedimiento se basa en capturar los paquetes del Pidgin que utilizaban algunos usuarios mientras usaban un plugin de Facebook. Averigüé algunos de los datos, los metí en un programa de generación de claves y así logré coleccionar las contraseñas que quería”.
Winston considera que –tal y como lo denuncian las recientes filtraciones de Wikileaks del 7 de marzo de 2017, tituladas CIA Hacking Tools Revealed– “Facebook y otras redes sociales no son seguras, no porque la gente deba parar de utilizarlas, sino porque se debe considerar el uso que se les da. Además, si tienes presente que, en algunos países del mundo, las empresas utilizan estas redes sociales para espiar a sus empleados, y los gobiernos para vigilar a sus ciudadanos, te das cuenta de que no vale la pena sacrificar tu privacidad por algo tan banal como un like”.
Vendetta me indica un ícono con una aleta de tiburón en su monitor. “Se llama Wireshark, con esto se esnifa tráfico, se leen paquetes, protocolos, etc. Si capturo mucho tráfico, y le hago ataques de fuerza bruta a las capturas puedo obtener passwords y credenciales; es fácil de usar”, explica.
“Cuando logré abrir las trazas locales del pidgin de la universidad, temblé. Burlé la seguridad de la escuela, eso me preocupó, y todavía me preocupa. Hice las cosas de manera tal que no dejara rastros, solo espero que nunca se les ocurra analizar a fondo mi tráfico de red. Todavía pienso en eso, y siento que exploto, tengo ganas de decirle al mundo lo que hice, aunque sea horrible”.
“El 80% de las cosas que se hablan son cotilleos; no saqué cifras exactas, pero podría asegurártelo. Un 2% de todo lo que le leí puede haber hecho referencia a mí; no es que haya leído tanto, no podía exponerme tampoco. Hubo cosas que me gustaron, otras que me disgustaron e incluso frases de hace mucho tiempo que me dolieron. Era mejor haberme evitado ciertas experiencias, pero eso sería la negación de una verdad”.
“No le hice daño a nadie, solo husmeé, aunque después reflexioné mejor sobre lo que hice. No podemos tomar represalias sustentadas en simples deseos egoístas, ni podemos manchar el nombre de los demás para beneficio propio, como tampoco debemos encerrar a una persona en una palabra por una simple acción”.
“Me queda una gran satisfacción, pude completar un sueño, el sueño de mucha gente. El solo hecho de por poder callar y pensar en el aquello de ‘lo pude lograr’ se convierte en un triunfo magnífico”.
Según declaraciones de Gonzalo García Pierrat, director de organización y control de la Oficina de Seguridad para las Redes Informáticas (OSRI) al diario Granma, “uno de los grandes vacíos legales es que no existe una vía directa para sancionar a una persona por introducir programas malignos o acceder sin autorización a una red”.
Nuestra sociedad analógica no está lista para un debate de envergadura como este. El analfabetismo digital, la desactualización tecnológica y la tecnofobia siguen siendo un talón de Aquiles. Si algunos foráneos ven a Cuba como una postal de los cincuentas por sus autos, un hacker probablemente nos perciba como una tribu de recolectores, cazadores y pescadores.
No obstante, el pasado mes de febrero, se anunció que el Ministerio de Comunicaciones de Cuba prepara un nuevo reglamento de seguridad informática más acorde con el avance de tecnologías de la informatización y las telecomunicaciones en el país, como consta en una nota de la Agencia Cubana de Noticias. Este será un buen termómetro de hacia dónde vamos.
