El hacker "no" es ético

Cuando empecé a aprender el funcionamiento de las redes de comunicaciones, en primer lugar, a través de modems en la red FidoNet, más tarde, con el PC, las redes Novell (IPX/SPX) y finalmente las redes basadas en arquitectura Ethernet y TCP/IP, siempre me fascinó esa parte en la que te identificabas. Meter el usuario y la contraseña en una BBS, en un Telnet, etc., era como llamar a la puerta de una mansión donde podías encontrar dentro casi cualquier cosa. Luego descubrí que esas llaves (usuario/contraseña) eran una pequeña "estafa" ya que podías interceptarlas y leerlas directamente y, por tanto, también podías descubrir las de los demás y usarlas para entrar en esas "mansiones de datos".

De ahí a usar fuerza bruta, diccionarios de hashes o passwords, etc., fue fácil, bajar el fichero passwd (cuando no existía todavía el fichero shadow, y también cuando existía), entrar, recompilar comandos para cambiar su funcionalidad, modificar el registro de Windows, estudiar el código ejecutándose de un sistema de verificación por llaves o claves mediante SoftIce y alguna que otra utilidad, todo, absolutamente todo, para aprender y pasar el rato.

¿Todo desde un punto de vista ético?, para nada, solo era aprender, me instalaba un Linux y me lo cargaba, me instalaba un Windows y me lo cargaba, y así durante mucho tiempo. Tenía amigos, si, de los que te dejaban probar en sus PCs y yo les dejaba probarn en el mío. Aquello era nuestro banco de pruebas, nuestro laboratorio y, quizás, algún otro servidor universitario o incluso de alguna empresa que, incluso, se dedicaba a la seguridad...

El hacker ético no existe, al menos no para mí, porque un hacker es un hacker, es alguien que disfruta aprendiendo y estudiando cualquier sistema, ya sea computacional o de comunicaciones, hasta descubrir sus posibles problemas y también, sus virtudes.

Según la Wikipedia, un hacker o jáquer es: "un apasionado, un entusiasta, un experto de las nuevas tecnologías, una persona que trata de romper los límites de la tecnología para crear algo superior".

Es eso, alguien al que simplemente le gustan tanto las nuevas tecnologías que pasa muchas horas estudiando como poder mejorarlas y optimizarlas, no es nadie oscuro ni tiene que llevar una sudadera con gorro y una mochila a todos lados. Puede tener o no titulación técnica o ser más alto o bajo, tampoco tener barba de una semana o pelo largo y gafas de cristales enormes. No, no es nada de eso, o al menos no es tan común como ha hecho creer el cine y la televisión. Tampoco es alguien que se saca de la manga un diskette, CD o pendrive, lo enchufa y tiene acceso a todos tus secretos.

Luego está la acepción más controvertida, la de cracker que es como un hacker en plan malote y que quiere robar números de tarjetas de crédito para hacerse rico de forma rápida. En mi opinión, esta acepción, para intentar lavar la imagen del hacker es lo que ha hecho precisamente que se ensucie, en el momento en el que intentamos re-clasificar es cuando la cosa se desmadra y ahora tenemos que intentar encauzarla cuanto antes. Es entonces, cuando algún iluminado adorna dicha acepción con otra palabra que sea bonita y suene muy bien, en nuestro caso, qué mejor palabra que "ético". Pero la palabra ética, en español, significa: "Recto, conforme a la moral" y "Persona que estudia y enseña moral", en dos de sus definiciones. ¿Qué diferencia un hacker ético de un hacker?, ¿ayuda esto a que uno piense que un hacker ético es el bueno y un hacker, a secas, es "malo"?, y, entonces, ¿es un cracker un hacker o es peor?

O sea, hemos pasado de una persona idolatrada por muchos (sobre todo compañeros y alumnos) en los tiempos del M.I.T. (Instituto Tecnológico de Massachusets) en la segunda mitad del siglo XX a alguien de dudosa actitud en pleno siglo XXI. 

No, un hacker no es ético, un hacker es un hacker y punto, no entiendo tampoco la acepción de cracker como un hacker malo. Un hacker puede ser mejor o peor, pero es eso. 

Pero, ¿por qué?, básicamente porque cualquiera puede ser un cracker, cualquiera puede, sin muchos conocimientos técnicos, ejecutar un programa que busque vulnerabilidades e instale algún malware de forma automatizada, puede darse de alta en un SaaS de ransomware y hacer cosas peligrosas sin más conocimiento qué el de cualquier estudiante de ESO. Es, a mi modo de ver, la línea entre un hacker y el resto, la capacidad de realizar acciones muy técnicas y a bajo nivel que no todo el mundo es capaz o al menos le costaría un tiempo aprenderlas.

Entonces, ¿para qué tanto catalogar y etiquetar con ético, rojo o blanco o modificando la palabra como phreaker o cracker?, un hacker es un hacker y un delincuente es un delincuente, tanto si sabe como si no, eso sí, si está dentro de las nuevas tecnologías también se le llamará ciberdelincuente, pero aunque el mono se vista de seda...

Por último, esto no tiene nada que ver tampoco con experto en ciberseguridad, perito forense informático, etc., ya que cada uno, dentro de su profesión y especialidad puede ser un hacker 😉

De redes sucias, limpias y filtradas

En las empresas existen redes, subredes, entornos y zonas en las que podemos estar más o menos seguros y confiar en ellas, pero debemos tener claro que en el origen puede estar un problema que puede propagarse por todas las subredes y hacer que estas divisiones, al final, no sirvan para nada.

De entornos

En cuanto a los entornos, generalmente se han diferenciado tres:

• Producción o productivo: es el entorno donde los servidores, appliances y servicios son de carácter productivo, o sea, donde los usuarios hacen su trabajo diario generando datos e información para la organización.
• Pre-producción, pre-productivo o de integración: entorno utilizado como sistema de pruebas y rendimiento antes de pasar a producción. Suelen ser entornos muy parecidos o idénticos a los de producción, pero con datos no reales y que sirven para probar en profundidad su funcionamiento y evitar problemas cuando estos se pongan en modo productivo.
• Desarrollo, laboratorio, etc.: entorno en el que se desarrolla o configura un sistema durante un periodo de tiempo y que es pasado a pre-producción cuando es finalizado.

Los entornos están más relacionados con las fases de desarrollo y/o configuración de los distintos productos a usar por la organización. Suelen estar en subredes distintas y se pueden subdividir en otras subredes, VLANes, etc.

De redes/subredes

Aunque también se les suele llamar entornos, existen unas divisiones en cuanto a las comunicaciones de forma que de unas a otras haya restricciones, normalmente mediante routers y firewalls.

Estas redes suelen ser dos, principalmente:

• DMZ o zona desmilitarizada que expone servicios a Internet
• Intranet o zona privada de la organización que no expone servicios a Internet

A su vez, existen otras redes o subredes como son la Extranet que se podría decir que es una Intranet desde fuera, pero que no deja de ser (en la mayor parte de los casos) un servidor puesto en la DMZ que da paso a otro que está en la Intranet.

Además, existen elementos que subdividen y filtran el paso del tráfico y que son:

• Firewalls que permiten bloquear puertos y tráfico de la red en cualquier sentido
• Routers que enrutan el tráfico de red hacia donde hace falta, aquí también podemos mencionar los balanceadores que pueden dirigir el tráfico entre varios servidores para la misma tarea
• VLANes o redes locales virtuales y que son una abstracción y virtualización de una red física donde partes de ella pueden ser o no ser accesibles. Suelen crearse para dividir unidades organizacionales como Ventas, Facturación, etc.

Con todo esto (y algunas cosas más, pero que no las incluiré para no liar más) se crea una arquitectura básica de red y servidores que nos indica el nivel de seguridad de esta y los accesos. Un ejemplo podría ser el siguiente:

De redes sucias, limpias y filtradas

¿Y qué tiene que ver esto con redes sucias, limpias y/o filtradas?, pues mucho. Para considerar una red como límpia hay que establecer su origen. El origen de una comunicación podemos decir que puede ser limpia cuando no hay interacción humana y está dentro de un ámbito de control muy determinado. Por ejemplo, en este caso entre servidores o VLANes dentro de la Intranet, como podría ser entre los servidores de tecnología y los de empresa.

Hay que entender también que no se han añadido elementos de detección y protección como son los DLP, XDR, Antivirus/Antimalware, etc., pero que se supone deben de estar considerados en todo el ámbito de la red.

En este sentido, si el origen es de un usuario, aunque este sea de dentro de la organización, o sea, dentro de la misma Intranet, se considerará que es tráfico de red sucio pues proviene de un elemento que es controlado por una persona no técnica ni es por un servidor de forma automatizada.

También podemos considerar una red sucia la que proviene de un usuario externo aunque esta pase por una VPN. Aquí pueden darse, además, variantes ya que la podemos considerar como sucia si proviene de un equipo no controlado por la organización (por ejemplo una subcontrata) y como filtrado si proviene de un equipo propio de la organización. Igual podemos determinar cuando es por equipos de usuarios dentro de la Intranet.

¿Se puede limpiar?, claro, siempre que ese tráfico pase por una serie de elementos como un antivirus, un XDR, etc., podríamos decir que está limpia y por tanto es algo muy subjetivo. También podemos considerar que, aunque pase por otros elementos de control y detección de malware consideramos que dicha parte de la red es sucia. En el caso del ejemplo, consideraríamos que tanto la VPN de acceso a externos como la VLAN de usuarios son redes sucias y las redes de tecnología y empresa son redes limpias.

Esto es muy importante a la hora de establecer donde deben estar los elementos de detección, control y bloqueo del tráfico y de cómo actuar cuando haya que establecer conectividades y accesos dentro de la organización.

Por ejemplo, en el ejemplo anterior, podríamos determinar los siguientes elementos de detección y control:

Hay que entender que todo esto es muy dinámico ya que podemos considerar, según la criticidad de la subred (pagos, industrial...), que las que al principio eran limpias ahora son sucias debido a que puede haber, por ejemplo, ataques en la cadena de suministro, pero es, sin duda, una buena manera de establecer determinados controles para evitar problemas.

La exfiltración de datos o fuga de información

Hace mucho, mucho tiempo, en una tierra lejana... vale, fue en Tarancón, Cuenca y a finales de los 90. Empecé a trabajar allí para la fábrica Thomson Televisión S.A. en el departamento de TI (entonces este era todo el departamento de informática: servidores, PCs, redes, etc.)

Una de mis primeras tareas fue migrar los equipos con Windows 3.11 for Workgroup a los nuevos Windows 4.0 Workstation, usando para ello una copia de una instalación mediante los primeros sistemas que Microsoft incorporaba para hacer Snapshots de las instalaciones.

Investigando el novísimo sistema del registro de Windows (aunque ya estaba incluido en la versión 3.1 de Windows) descubrí una ruta en la que poniendo a 0 un valor (al menos es lo que yo recuerdo) desconectaba las unidades de diskettes. No me percaté en seguida, claro, si no cuando apagué el PC y al volver a encenderlo me dí cuenta de que la unidad de diskette no funcionaba, como si no estuviese conectada al equipo. Informé sobre el "descubrimiento" y al poco tiempo tuve que ir a la fábrica que había en Angé, Francia; para mostrar cómo proteger la posible exfiltración de datos usando los diskettes que, por aquella época, todavía eran muy comunes.

Entonces no me percaté que, en muchas ocasiones, el problema no es de fuera sino de dentro, los "insiders" o personal que por alguna razón no está contento puede hacer mucho daño (que está en torno a un 22% de los actores implicados, según McAfee en 2015), y una de las acciones más peligrosas es llevarse información (otras pueden ser instalar malware, dejar puertas traseras para que otros actores puedan entrar, etc.). En aquel entonces, además, internet estaba muy restringido y la fuga de datos se hacía, generalmente, por medios físicos o, como mucho, usando algún FTP mal configurado.

Pero, ¿qué es una fuga de información?

Según la wikipedia, se entiende por fuga de información una salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. Por tanto, puede ser cualquier dato o información en la que ya no tenemos control, incluyendo documentos, fotos, etc.

Hoy día, mediante distintos sistemas de protección como los mismos antivirus o los DLPs (Data Loss Prevention), junto con contraseñas, doble factor de autenticación, cortafuetos y el resto de elementos de protección, podemos mitigarlo aunque no deja de ser un problema bastante recurrente.

Al final, en las siguientes empresas en las que estuve trabajando tuve también que bloquear los accesos a otros elementos más actuales como los pendrives (puertos USB), unidades de CDW-ROM, etc., y que no eran del agrado de muchos usuarios ya que no entendían el por qué se les privaba de estas funcionalidades cuando en sus pensamientos solo eran elementos para ayudarles en su trabajo diario.

Pero pensemos en la posible salida de información de elementos muy importantes como números de tarjetas de crédito, contraseñas, análisis médicos y cualquier otra información con la que podrían cambiarnos la vida o dejarnos sin un céntimo; poca broma con esto.

Por último, si queremos investigar si nuestros datos han sido exfiltrados, podemos ir a la página  Have i been pwned y comprobarlo.

Además, INCIBE tiene una guía sobre cómo gestionar fugas de información y que puede encontrarse aquí.

La IA no destruye trabajo, lo transforma

 

A finales de los 70 y principios de los 80, la industria del videojuego empezaba a brillar a través de empresas que desarrollaban juegos de forma muy artesanal. La "edad de oro" en España fue una época de los años 80 en la que muchas empresas emergieron y jóvenes programadores en BASIC y Ensamblador se hacían un hueco como "maestros" en este nuevo campo lúdico.

OperaSoft, Zigurat, Made in Spain, ERBE, y otras, contaban con programadores y grafistas que creaban juegos para los ordenadores de la época (ZX Spectrum, Commodore 64, Amstrad CPC, MSX, etc.)

En esta época, los equipos, generalmente lo formaban dos o tres personas, donde el programador era el más famoso o el más importante, por detrás quedaban el grafista y el músico que, incluso en muchas ocasiones, también lo hacía el propio programador. Existían excepciones, evidentemente, como el caso de La Abadía del Crimen, donde Paco Menéndez hizo un fantástico trabajo de programación, pero que, además, Juan Delcán hizo un trabajo gráfico tan bueno que le iba a la par con Paco.

Y así fue que, pasaron los años y la tendencia programador/diseñador/músico fue invirtiéndose de forma que los diseñadores gráficos y músicos han llegado a tener más protagonismo en los nuevos juegos donde el aspecto de las cinemáticas y efectos visuales son lo más importante y dejando a los programadores en la labor de "backend" o en la parte de atrás del escenario solamente manteniendo y creando los soportes necesarios para que estos diseños funcionen. Incluso, ya no se fabrican motores 3D, existen frameworks que hacen la mayor parte del trabajo y lo hacen muy bien, pero se sigue necesitando de la creatividad de los diseñadores gráficos y artistas para que el juego pueda crearse, mantenerse y, por supuesto, venderse bien.

¿Y qué tiene esto que ver con la IA?, pues mucho, no solo porque los videojuegos cada vez más se basan en motores de IA para el desarrollo de la jugabilidad (de hecho, juegos como la mencionada Abadía del crimen ya contaban con rudimentarios motores de IA para los personajes no jugadores) si no por la evolución que está tomando.

En los años 70, 80 y 90 se produjeron varios inviernos de IA en los que, debido a limitaciones tecnológicas, las empresas dejaron de invertir. En estas épocas, siempre era trabajo de los investigadores, matemáticos e informáticos desarrollar distintos algoritmos para simular el pensamiento o inteligencia humana. Desde la salida de la IA generativa la cosa parece estar invirtiéndose como ha pasado en la industria del videojuego. Ahora están tomando mucha relevancia los autores de prompts o personas que saben cómo realizar las preguntas correctas a sistemas de IA, lo que puede estar indicando que la tendencia de la IA se está re-orientando hacia nuevos tipos de trabajos.

Como yá vaticinó Isaac Asimov con su imaginación e interés por la robótica (no en vano él acuñó dicho término), podríamos estar cerca de tener psicólogos o terapéutas especializados en sistemas con IA, abogados expertos en defender a inteligencias artificiales o ingenieros de IA.

Los trabajos repetitivos podrán ser sustituidos por IAs generativas o generales o desarrolladas específicamente para esos dominios, pero siempre surgirán nuevos trabajos que los humanos tengamos que desarrollar de forma más imaginativa, creativa o también en un aspecto tecnológico y ayudado por las propias IAs.

Y entre todo estos nuevos trabajos o trabajos evolucionados tenemos la parte de ciberinteligencia y ciberseguridad, donde las IAs podrán ayudar mucho a los técnicos y expertos en estos campos y, como no, en el análisis forense, donde podrán acelerar la parte de investigación operativa de forma indiscutible.

Un par de libros que me han gustado sobre este tema y que recomiendo son: "Cómo crear una mente" de Ray Kurzweil y "Abstenerse humanos: Guía para la riqueza y el trabajo en la era de la inteligencia artificial" de Jerry Kaplan.

Ciberseguridad, hacking y certificaciones

La primera vez que oí hablar de hacking sería en los albores de los 90, cuando un amigo me habló de un libro sobre esto que se titulaba «El huevo del cuco» y que me leí en «cuatro tardes» de verano. Tiempos en España de la red Fidonet y modems de 2400bps, 9600bps y alguno más rápido que acababa de salir y costaba un riñón. Sería por la época dorada de mi Amstrad PC-1512 (o puede que otro algo mejor ya que se pierde en los albores de la historia de la segunda edad, como diría Tolkien) cuando recibí una invitación para participar en una reunión de hackers y que, a día de hoy, sigue siendo un misterio para mí cómo recibí dicha invitación por carta. En esta reunión conocí a una persona que se convertiría en uno de mis mejores amigos y con el que aprendí mucho ya que no había cursos ni certificaciones para poder saber cómo entrar en un ordenador, sin ser invitado, o hacer ingeniería inversa.

Fue una época donde empezaba con Minix y Xenix a ver el potencial de los sistemas Unix y más tarde con GNU Linux cuando me aficioné a aprender a recompilar el kernel para tener más fiabilidad y estabilidad, recompilar comandos para jugar con los procesos y ficheros (ps, ls, etc.), mejorar mis conocimientos en el lenguaje C y ensamblador, y que me sirvió para, más adelante, desensamblar y realizar ingeniería inversa de virus como NATAS, de Jame Gentile, o investigar sobre diversos juegos y programas de laboratorio cuyas protecciones eran bastante buenas.

Y qué decir del sistema láser de diskettes, «¡ese lo inventamos mi amigo Ivan y yo!», agujereando físicamente el disco que queríamos que fuera el original para luego usar el formateo de esos sectores y comprobar si nuestro programa se había copiado. Vale, cierto que no lo inventamos nosotros porque ya habíamos oído algo de dañar físicamente partes de los discos para realizar las verificaciones, pero nos sirvió para investigar la BIOS y los servicios del MS-DOS a fondo 😉

Han sido unos años en los que para trabajar no podías decir que eras hacker, porque en primer lugar no se entendía y en segundo porque si alguien conocía la palabra directamente no te contrataba y te echaba a patadas. No había todavía esa acepción de «ético» que ahora está tan de moda aunque sí empezaban a dividirse entre hackers y crackers sin que tampoco quedase bien descrito que un hacker es una persona curiosa a la que le gusta investigar y, quizás, salirse algo de la norma establecida, pero que como con todo, puedes ser más tímido con tus conocimientos o más «osado» y simplemente aprender cómo puedes crear una escalada de privilegios por un problema en el kernel o usarlo para fines no lícitos.

Pero ahora todo es distinto, ahora si tienes estudios de ciberseguridad y, sobre todo, alguna certificación tienes hasta posibilidades de trabajar en esto. Eso si, el abanico de posibilidades de formación es inmenso y de hecho es un negocio: cursos, hackatons, laboratorios, boot camps y, como no, certificaciones.

En mi caso, creo que las OSCP y OSCE son las que más me atraen, claro, es evidente que me gusta la parte más práctica pese a mi edad, pero existen multitud de certificacciones desde las más teóricas hasta estas más prácticas con precios diversos, si bien, como con todo, esto ahora es un negocio y depende de la dificultad y prestigio de la empresa que expide estas certificaciones para que sean tomadas más o menos en cuenta a la hora de servir, como reclamo, para un puesto de trabajo desde analista de nivel 1 hasta CISO.

Desde los 80 y 90 hasta nuestros días se han producido muchos cambios, cambios en el significado de la palabra hacker o jáquer, cambios en la concienciación por la ciberseguridad, cambios en los sistemas de detección de malware, amenazas e incidentes y hasta cambios estéticos y de imagen, como es crear logos con aspecto militar (puñales, escudos, águilas, etc.) para proporcionar un impacto más directo de seguridad «ofensiva» a los clientes. La vida cambia y los conceptos y sensibilidades también

El hombre del IBM

Sería el año 84 o quizás el 85 y estaba en unos grandes almacenes por la tarde. Serían las 20:30 o las 21:00 horas y estaba cerrado, solo la sala de exposiciones de arte, por la que se entraba desde otro lado, estaba abierta.

Centro Hogar Sánchez era un referente en Granada en cuanto a localización y prestigio en una época de Galerías Preciados y sastrerías. Tenía una galería de arte donde mi padre solía exponer sus obras durante una o incluso dos veces al año.

Estaba "gamberreando" por las distintas plantas de las que constaba el edificio y donde los guardias jurados hacían la "vista gorda" porque me conocían de sobra tanto de estar por allí "danzando" en la zona de micro-informática como de mis escapadas durante el tiempo de apertura de la galería de arte. Y allí, paseando de arriba para abajo fue cuando lo vi. Era una habitación del tipo "pecera" en la que había un gran cristal en el que se podía ver dentro de esta una mesa con su silla de despacho y un ordenador, un flamante IBM de los de pantalla verde. Un hombre estaba mirando la pantalla fijamente y tecleaba de vez en cuando. Como amante de los pequeños cacharros digitales de la época y en particular del ZX Spectrum y del Laser 200, este segundo solo porque se veían muy pocos, no podía dejar de mirar ese ordenador de "gente mayor", de personas que sabían programar en lenguajes que no eran el popular BASIC, aunque, seguramente era en lo que estaría programando...

En poco tiempo tendría mi primer ordenador, un Hit-Bit de Sony, el HB-75P de la norma MSX, la norma que quería la compatibilidad entre sistemas hardware pero que, como se vería en poco tiempo, era muy difícil de mantener.

No sé si el ordenador era un IBM PC 5110 como yo lo recuerdo o fuese una edición posterior, pero aquello me dejó perplejo. Supongo que en una época donde películas como “Juegos de guerra” o “Tron” que nos ofrecían un mundo donde los “hackers” podían hacer casi cualquier cosa, el ver una máquina tan imponente a los ojos de un preadolescente era como un sueño hecho realidad. Con mis parcos conocimientos de BASIC todavía y que ponía en práctica en casa de algún amigo con Spectrum o algún Spectravideo SVI-318 sin embargo me sentía importante. Ningún niño de mi clase sabía programar y yo… bueno, yo más o menos, ponía un bucle FOR…NEXT o un IF y poco más, pero ya sabía que una variable guardaba valores numéricos o cadenas de texto con las que podía jugar.

Quizás, ese conocimiento era lo que hacía volar mi imaginación más de lo que, seguramente, podía hacer ese aparato, pero sin duda alguna fue una tarde para recordar durante tantos años.

Esa misma sensación la tendría años más tarde con varias experiencias y etapas, como cuando instalé por primera vez Xenix y Minix o cuando me metí de lleno a estudiar y “cacharrear” el sistema GNU/Linux en épocas donde en el primer caso era MS-DOS y en el segundo Windows los sistemas que usaba la gente común, la gente que usaba el ordenador para jugar o como usuario básico, pero no como un gurú o como una persona curiosa. Donde más tarde recompilaba el kernel para modificar comandos de listado de procesos o de ficheros con la intención de gastar bromas. Siempre, como no, llevado más por la curiosidad de aprender que de hacer algo productivo al final pero que reportaba una gran sensación de placer como cuando uno no puede dejar de ir un día al gimnasio o de salir a correr.

Ese ordenador con su fósforo verde y sus unidades de disco flexible de 5 ¼ apareció allí, en ese momento, seguramente para enseñarme que los sueños, en algunos casos se cumplen y que las sensaciones y recuerdos, a veces, cuando te vienen, te hacen esbozar una sonrisa picarona y nostálgica.

Señor del IBM, gracias por ese/este momento.