Cubadebate

stuxnet-mapa

Por Rafael de la Osa Díaz
Blog Mito y Realidad

Este mundo loco en que vivimos, nos demuestra, cada día más, a donde han ido a parar los valores éticos (si es que alguna vez todos los tuvieron) que primaban en las comunidades científicas y de carácter profesional en la era anterior al uso masivo de Internet, y tomo Internet como punto de inflexión porque sin dudas es uno de los factores que ha acelerado la masiva manifestación social de las buenas y las malas cualidades del ser humano.

Por estos días el periódico El País, de España, se hacía eco de una noticia relacionada con el mundo de los "Hackers" titulada "Los ´hackers´ también tienen su Oscar", en la que se reseñaba sobre la ceremonia que la comunidad hacker prepara para conceder premios a aquellos que destacan por la actividad desarrollada e incluso a las empresas que han ofrecido mayores debilidades a los ataques.

La ceremonia de entrega está fijada para el 3 de agosto en la conferencia BlackHat de Las Vegas y entre los nominados estan el Grupo Lulzsec, el virus Stuxnet o la compañía Sony, en este último caso por sus padecimientos este año como victima de los ataques recibidos.

El virus Stuxnet, fue diseñado especialmente para atacar centrales nucleares del tipo que existen hoy en Irán, con equipos Siemens y una configuración específica, solo encontrada en este país y en Pakistán, que impedía que el proceso de enriquecimiento de uranio se produjera, con lo cual afectaba el desarrollo de la industria energética de este país. ¿Debemos aceptar entonces que ese diabólico ataque informático, del que han sido acusados los gobiernos de EE.UU. e Israel, sea premiado en un evento internacional en reconocimiento a su "éxito"?

Analistas sobre el tema calculan que el desarrollo de este virus requirió al menos 1 año de trabajo y unos 10 millones de dólares. Si tenemos solo en cuenta lo que debe haber costado el banco de pruebas para simular una cadena de más de 10 aceleradores de partículas, controlados por sofisticados equipos de la marca Siemens, podemos tener una idea del dinero invertido.

Pero a esto debemos agregar que en el virus se "gastaron" tres vulnerabilidades de Windows, lo que demuestra que el objetivo de su desarrollo no fue buscar dinero. Las vulnerabilidades de Windows son fallas que se detectan en el Sistema Operativo de dicho nombre que permiten generar un programa que introduzca un código "maligno" dentro del equipo atacado.

Por tanto encontrar una vulnerabilidad de este tipo puede significar ganar mucho dinero divulgando la misma dentro de la comunidad que genera virus y otros programas malignos, pues siempre demorará un tiempo que esta pueda ser detectada y corregida. Sin embargo en este caso se dieron el lujo de utilizar tres en un solo virus. Evidentemente era un proyecto ganar-ganar al precio que fuera necesario.

¿Qué estamos premiando entonces?

Origen de un Hacker

El significado del término "hacker" ha cambiado a lo largo de décadas desde que empezó a utilizarse en un contexto informático. Como su uso se ha extendido, el significado primario de la palabra, por parte de los nuevos usuarios, ha pasado a uno que entra en conflicto con el énfasis original.

En un principio se utilizaba la palabra "hack" para expresar algo así como "perder el tiempo". "Hackear con la computadora" era pasar largo rato sentado frente a esta. Quizás este sea el origen del término que se le adjudicó inicialmente a las personas que tenían un profundo conocimiento del funcionamiento interno de un sistema, en particular de las computadoras y redes informáticas. Desfortunadamente con el tiempo el signifcado y uso del término ha cambiado bastante.

Según la Enciclopedia Wikipedia:

"En informática, un hacker es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes:

• Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachussetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT. Esta comunidad se caracteriza por el lanzamiento del movimiento de Software Libre. La Web y hasta la propia Internet en sí misma son creaciones de hackers.
• Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats".

• La comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de ordenador, crackeo de software) de entre los ochenta y noventa. "

El primero de estos grupos o comunidades a que se hace referencia, tenía que ver con especialistas con mucho conocimiento sobre los equipos y sistemas conque trabajaban, lo que les permitía detectar problemas y deficiencias, encontrar sus soluciones, generar nuevos productos, servicios y aplicaciones, pero sobre todo trabajar con un espíritu colaborativo muy alto. En este entorno y con esta filosofía fue que creció el movimiento del desarrollo del software libre enfrentando a la privatización en el desarrollo de la industria del software.

Los "hackers" originales de hecho eran benignos estudiantes que gustaban de demostrar y hacer gala de sus conocimientos y habilidades. En la década del 60 para los estudiantes del MIT la palabra "hack" se refería a una solución simple, creativa y elegante de un problema. Muchos de estos "hacks" solían ser también bromas pesadas que ponían al descubierto las posibilidades de sus autores, pero en general se asociaban a la floreciente escena de los programadores informáticos, para los que un hack representaba una proeza en el campo de la informática. Siempre se trataba de actividades que causaban admiración por combinar un conocimiento especializado con un instinto creativo.

Es una época donde se generaron una gran cantidad de tecnologías y conceptos que forman la base del desarrollo informático actual y donde la divulgación de los avances de la ciencia y la técnica, y el intercambio de información científica entre los especialistas, estaban por encima del beneficio económico que podía representar, para una empresa o grupo de estas, la comercialización de productos y servicios basados en estos avances, sobre la base de esconderlos a la comunidad internacional.

Como una de las principales tareas que realizaban estos "hackers" iniciales, tenía que ver con la revisión y corrección de errores, así como la instrumentación de medidas de seguridad, se asoció el trabajo de estos especialistas a la "seguridad informática" en general.

No se si fue que alguien comenzó a utilizar estos conocimientos para generar programas que realizaran algún tipo de daño o porque se pagó para que alguien lo hiciera, pero lo cierto es que la esencia de la filosofía cambió de "proteger" a encontrar la forma de "vulnerar" y hoy la palabra "hacker" se utiliza mayormente para referirse a los "criminales informáticos", como los han calificado los grandes medios de comunicación, que no son más que gente que invade los sistemas de otros por placer, por dinero, pero casi siempre para generar un daño de manera directa o indirecta.

Todo había comenzado con grupos de muchachos jugando con la red de teléfono, infiltrandose en los sistemas de ordenadores y hablando sobre sus éxitos y fracasos en una especie de "murales electrónicos" (bulletinboards),precursores de los actuales foros de Internet.

A medida que los hackers se fueron sofisticando, empezaron a llamar la atención de las fuerzas de seguridad. Ya en las décadas de 1980 y 1990, legisladores de EE.UU. y Reino Unido tuvieron que aprobar leyes contra el uso indebido de computadores, lo que permitía procesar a quienes las violaran, a lo que siguió una serie de medidas drásticas, que culminaron en 1990 con la operaciónSundevil (Demonio Solar), una sucesión de redadas contra hackers del servicio secreto de EE.UU que en genral fracasó.

En la medida que aparecían más sistemas para todas las cosas y la seguridad se iba convirtiendo en un tema crucial, crecía el número de hackers deseoso de demostrar sus capacidades.

Los malos y los buenos

Ya en el siglo XXI la palabra "hacker" se ha convertido en sinónimo de gente que siembra el terror en Internet, de forma anónima, oculta en oscuras salas. En este mundo, al parecer lleno de hackers, apenas pasa un día en el que no se de a conocer una nueva violación de seguridad informática.

Esta visión poco positiva de la ética en el mundo informático ha sido respaldada por los principales consorcios empresariales, focos de atención de los principales ataques informáticos, algo de lo que se han hecho eco los medios de comunicación internacionales. Realmente sin querer tapar lo negativo y oscuro que realmente existe alrededor de esto, lo cierto es que la mayoría de loshackers se mueven en una línea muy fina entre la legalidad y la ilegalidad, unas veces con buenos propósitos y otras con objetivos deplorables.

A tono con las clásicas películas del Oeste norteamericanas se ha establecido una clasificación entre hackers "buenos" y hackers "malos". Un hacker deSombrero Blanco (en inglés White Hat), es aquel que se centra en asegurar y proteger los sistemas de las Tecnologías de la Información y las Comunicaciones (TIC), por lo que se considera trabajan con cierta ética de hacker. Estas personas generalmente trabajan o son contratados por empresas de seguridad informática o grandes empresas desarrolladoras que necesitan probar la seguridad de sus productos.

Por el contrario, un hacker de Sombrero Negro (en inglés Black Hat) es el villano o chico malo de la película, como en las películas de cowboys, de ahí el uso del sombrero negro en contraste con el sombrero blanco del héroe. Y como nada en esta vida es Blanco o Negro pues también hay Sombrero Gris (en inglés Gray Hat) haciendo alusión a los que lo mismo hacen una cosa que la otra, algo muy común hoy y a lo que ya nos referimos antes.

Un caso particular son los llamados "crackers" (tomado del inglés safecrackerque significa "ladrón de cajas fuertes") que demuestran sus habilidades en informática rompiendo los sistemas de seguridad de las computadores, colapsando servidores, entrando en zonas restringidas, infectando redes o apoderándose de ellas, generando claves de acceso para poder utilizar programas de manera pirata o acceder a servicios a los que no han sido autorizados.Hay toda una jerga de otros nombres relacionada con el mundo del hackingteniendo en cuenta los roles y funciones de cada cual. Asi tenemos los Samurai(contratados para investigar fallos de seguridad), Phreaker (con amplias habilidades y conocimientos en telefonía fija o móvil), Wannabe (interesados en el hacking pero aún sin reconocimiento de la élite), Lammer o Script-Kiddies(los que pretender hacer hacking o creen hacerlo sin tener conocimiento para ello, por lo que suelen ser repudiados).

Los "hackers" de sombrero blanco o los que conservan el espíritu original por el que fueron bautizados con este nombre, como los que defienden el universo del software libre, no aceptan que llamen también "hackers" a los de sombrero negro y sus acólitos, denominando a todos ellos "crackers".

Desde el año 2002-2003, se ha ido configurando una perspectiva del hacker más acorde con una actitud ética ante la sociedad, con una orientación a su integración al hacktivismo en tanto movimiento. Aparecen espacios autónomos en Internet denominados hacklab o hackerspace y los hackmeeting como instancias de diálogo de hackers. Desde esta perspectiva, se entiende al hackercomo una persona que es parte de una conciencia colectiva que promueve la libertad del conocimiento y la justicia social.

En este caso, los roles de un hacker pueden entenderse en cuatro aspectos:

• Apoyar procesos de apropiación social o comunitaria de las tecnologías.
• Poner a disposición del dominio público el manejo técnico y destrezas alcanzadas personal o grupalmente.
• Crear nuevos sistemas, herramientas y aplicaciones técnicas y tecnológicas para ponerlas a disposición del dominio público.
• Realizar acciones de hacktivismo tecnológico con el fin de liberar espacios y defender el conocimiento común.

Parece que aún todo no está perdido.

Los Premios Pwnie en la era del ciberterrorismo

Desde el 2007 fueron instrumentados los Premios Pwnie para reconocer los mejores "trabajos" desarrollados por los hackers en todo el mundo. En el sitio Web http://pwnies.com/nominations/ ya están disponibles las nominaciones.

El nombre "Pwnie" esconde más de un juego de palabras, pero fundamentalmente se refiere al acrónimo "pwn", que en el ambiente de loshackers significa "apropiarse" (por ejemplo de un servidor o una computadora personal ajena), por su relación significante con "own" ("poseer"); también está vinculada con "pawn" ("peón", como la pieza de ajedrez).

Si los premios concentraran su labor en la detección de importantes vulnerabilidades, sus soluciones o en el desarrollo de herramientas para detectar problemas o mejorar sistemas, todo estaría más en la ética de los Sombreros Blancos, pero solo con revisar el evento en el que tendrá lugar (Black Hats Conference, Las Vegas) tendremos una rápída respuesta de la "ética" del premio, independientemente de lo que sus organizadores digan.

Paralelamente a esto el Pentágono declara el ciberespacio como otro escenario de conflictos y el subsecretario de Defensa de Estados Unidos, William J. Lynn III, al presentar a primera Estrategia para Operar en el Ciberespacio, lo definión como un programa con miras a proteger la nación de un potencial y devastador ataque en la red contra su infraestructura crítica, sistemas clave y otros intereses físicos y electrónicos, definiéndolo como un campo de operaciones igual a la tierra, mar, aire o espacio y, por ende, igualmente sujeto a ser escenario de maniobras defensivas y, si es necesario, ataques preventivos y represalias.

¿Cuál es entonces el futuro hacia donde avanzamos en este sentido? ¿Favorecerá la política del Pentágono el establecimiento de una ética en este ambiente informático o por el contrario retará a los hackers a una batalla de demostraciones de fuerza? ¿Será otro escenario donde el Gobierno de los EE.UU. demostrará una vez más el doble rasero conque pretende siempre medir al mundo?

Es sin dudas un terreno inestable, peligroso y no regulado cuyas consecuencias pueden acarraer verdaderos desatres en casi todo el mundo. No olvidemos que ataques de este tipo pueden destruir o interrumpir redes críticas, causar daños físicos o alterar el funcionamiento de sistemas clave al otro lado del mundo, en un abrir y cerrar de ojos, o ¿que fue si no lo que ocurrió en Irán?.

Confiemos en que al igual que la batalla por el Sofware Libre, los caballeros de "Sombrero Blanco" sean capaces de detener el espíritu del "Maligno".