Jóvenes, hackers y sobradamente preparados: ¿qué hacemos con ellos?
27/11/2015Publicat a: El Confidencial
“Crackas With Attitude” es un grupo de adolescentes que asaltó el mes pasado una cuenta de correo del director de la CIA, hackeó después la de la mujer del director del FBI, y siguió para bingo robando bases de datos de uso restringido de la policía y el ejército de su país, Estados Unidos (http://motherboard.vice.com/read/teenage-hackers-say-theyve-doxxed-more-than-3500-government-employees). Sus travesuras han puesto de nuevo encima de la mesa la pregunta: ¿Qué hacer con los cada vez más adolescentes que acceden al poder informático?
Mientras Crackas With Attitude se dedicaban a bravuconear y mostrar a la prensa sus hazañas (http://usuncut.com/resistance/cnn-interview-with-the-kid-who-hacked-the-cia-director/), Gran Bretaña vivía uno de los mayores robos de datos de su historia: 4 millones de víctimas, clientes del ISP Talk Talk. Hasta ahora han sido detenidas cinco personas relacionadas con los hechos. Sus edades: entre 15 y 20 años (http://www.theregister.co.uk/2015/11/25/talktalk_fifth_arrest/).
La mayoría de delitos informáticos cometidos por adolescentes son sencillos: para acceder a la cuenta de correo del director de la CIA, sólo necesitaron engañar por teléfono a un operador del ISP Verizon. En cuanto al robo de datos en Talk Talk, las medidas de seguridad de la empresa eran ínfimas. Otros se decantan por algo también sencillo como es mercadear con drogas: el más famoso cibercamello alemán en la Dark Web, condenado recientemente a 7 años de prisión, sólo tiene 20 años (http://motherboard.vice.com/read/germanys-most-notorious-darknet-drug-dealer-sentenced-to-only-7-years).
Lizard Squad (https://en.wikipedia.org/wiki/Lizard_Squad) es otro famoso grupo de hackers adolescentes, responsables entre otras gamberradas de bombardear con ataques de Denegación Distribuída de Servicio sitios de juegos online, como la PlayStation Network y Xbox Live, en las Navidades de 2014. El mayor de los tres detenidos hasta ahora tiene 22 años (http://krebsonsecurity.com/2015/01/another-lizard-arrested-lizard-lair-hacked/).
Aunque, para historia chula de hacker adolescente, la de Seth Nolan-Mcdonagh, condenado en julio de este año a 240 horas de trabajos sociales. Cuando tenía 16 años, en 2013, Seth participó en el DDoS más devastador que ha conocido Internet, contra el proyecto Spamhaus (http://computerhoy.com/noticias/internet/hacker-16-anos-que-casi-tumba-internet-no-ira-carcel-31273). El bombardeo fue tan fuerte que ralentizó Internet en todo el mundo. Seth había empezado sus andanzas en el crimen cibernético con 13 años, cuando alquilaba sus servicios para traficar con tarjetas de crédito y tumbar sitios, entre ellos la web de la BBC.
Pero que nadie se lleve a engaño: los hackers adolescentes existen desde que existe el hacking, y los que se pasan son detenidos. Muchos de los hoy sesudos expertos en seguridad informática empezaron en la adolescencia. 12, 13 o 14 años es la edad típica del llamado "estado larvario" del hacker, que la enciclopedia Jargon File (http://www.catb.org/jargon/html/L/larval-stage.html) describe así: "Periodo de concentración monomaníaca que suelen pasar los hackers novatos. Los síntomas incluyen la perpetración de más de una maratón hacker de 36 horas en una semana, el abandono del resto de actividades incluídas las básicas como comer, dormir y la higiene pesonal, y cara de sueño crónica. Puede durar entre 6 meses y 2 años, siendo la media unos 18 meses. Tan dura experiencia parece ser necesaria para producir a un auténtico mago".
Siendo como es algo normal en la cultura hacker, el problema llega cuando su población aumenta, mientras las leyes constriñen cada vez más su campo de acción. Óscar de la Cruz, Comandante Jefe de Delitos Telemáticos de la Guardia Civil, añade una tercera variable: "Hoy los medios le dan mayor repercusión". Según el comandante, los delitos informáticos más usuales en adolescentes son el "bullying" (acoso escolar) y el "sexting" (publicar sin permiso fotos y vídeos comprometedores de amigos o ex-parejas). En cuanto a delitos más avanzados, "no hay más que hace años, su aumento es proporcional al aumento de adolescentes con acceso a Internet", afirma De la Cruz, quien remata: "No cualquiera tiene estos conocimientos".
Ka0labs es un grupo de jóvenes españoles que tienen estos conocimientos. Hablamos con Pr0ph3t, de Pontevedra; Xassiz, de Coruña; JKS, de Lleida; MARCOSCARS02, de Burgos, todos con 19 años. Están también ca0s, de Alcalá de Henares, 22 años; Kr0no, de Valencia, 23 años; X-C3LL, de Almería, 24 años y wHiTeHand, de Bilbao, el mayor, con 27 años. Ca0s, Xassiz y K41S3R fundaron Ka0 Team en 2009 y pronto se les unió Kr0no: "Nos dedicábamos a explotar webs gubernamentales, partidos políticos (creo que no quedó ni uno), Belén Esteban o cadenas de televisión", explica Xassiz.
En 2011 se convirtieron en Ka0labs, un grupo dedicado a la investigación, desarrollo de herramientas de hacking y "a seguir aprendiendo pero sin romper nada ajeno, aquí es cuando empezó a entrar más gente, hasta juntarnos los 14 o 15 que somos actualmente", recuerda Xassiz. En 2013, parte de Ka0labs se convirtió en Insanity (https://ctftime.org/team/812), un un equipo que compite en los concursos de hacking llamados Capture The Flag (CTF) (https://en.wikipedia.org/wiki/Capture_the_flag#Computer_security). Insanity es actualmente el quinto en el ranking de grupos de CTF españoles (https://ctftime.org/stats/2015/ES).
Xassiz tenía 12 años cuando entró en Internet. Pronto pasó de los chats, redes sociales y fotologs a "toquetear los ordenadores para hacer bromas a mi familia o en la biblioteca, lo típico de modificar el acceso directo a Internet Explorer por un "apagar Windows XP" y ya te sentías super juaker. A partir de eso empecé a encontrar cosas como "Programación Batch" y a meterme de lleno de el mundo de los foros, como el-hacker.com o elhacker.net, donde íbamos conociendo a más gente y formando círculos más cerrados".
Llegó el momento de interesarse más por la seguridad informática, casi por necesidad, explica el hacker: "Montábamos comunidades y siempre había piques que derivaban "defaceando" las webs rivales (asaltándolas y cambiando su portada). Y así me ví metido en un grupo de "defacing" venezolano que se dedicaba a atacar todo tipo de páginas. Había gente que practicaba un montón de horas. Después pasé por otro grupo, con gente de España, hasta que un día formamos Ka0 Team, a finales de 2009". ¡Sólo había pasado un año desde que entró en Internet!
La historia de Xassiz es parecida a las de sus compañeros. JKS empezó en el mundo de la ciberseguridad "sobre los 10-11 años", cuando un compañero de clase le enseñó un juego: "Me gustó y pasé un porrón de horas allí metido, un día se me ocurrió investigar cómo conseguir cosas gratis, ya que había que pagar". A los 14 se unió a varios grupos que se dedicaban a "defacear páginas web las 24 horas, siempre había alguna que otra página interesante y, gracias a tanta práctica, aprendí bastante sobre vulnerabilidades en aplicaciones web".
Y así todos: X-C3LL empezó con 14 años y su motivación fue la poca calidad que tenía Internet en su pueblo: "Empecé a meter el hocico en la seguridad, intentando conseguir de alguna forma poco legal aumentar la velocidad para descargar libros y ver vídeos". A wHiTeHand, cuando tenía 12 años, un amigo le dio un CD de una revista y resultó que "venía con el virus Marburg (http://hackstory.net/29a#Virus_destacados). Flipé tanto que quise saber cómo funcionaba exactamente aquello". A los 14 años, ca0s ya sabía programar en Visual Basic y C. A Kr0no, un compañero de clase le pasó un enlace a un foro donde se hablaba de "defacing" y virus y allí se quedó enganchado. MARCOSCARS02 tenía 15 años cuando empezó con "las típicas chorradas como saltarte el Internet del colegio".
Y es que el hacking necesita práctica pero ¿cómo practicarlo en un mundo donde el hacking está prohibido? Todos coinciden: en las competiciones tipo CTF. "Hoy en día son la mejor forma de aprender seguridad, son entornos controlados donde está permitido explotar vulnerabilidades, por lo que no cruzas la línea de la legalidad", explica wHiTeHand. "Simulan ser un entorno real y no tienes que ir haciendo "maldades" para aprender", asegura kr0no. Y JKS pone la puntilla: "También puedes aprender haciendo cosas ilegales, pero allá tú las consecuencias".
En cuanto a la hazaña del chico norteamericano que asaltó el correo del director de la CIA, no parece asombrar mucho a Ka0labs: "Técnicamente no ha sido nada complicado, debería ser una lección para Verizon: hay que invertir en la formación de los empleados, señores", asevera wHiTeHand. Y Kr0no lo ve como un típico tema de adolescentes que, "sin tener en cuenta la gravedad del asunto, lo hacen para fardar y hacerse los chulos delantes de los amigos".
Pete Herzog es de la misma opinión: "Los adolescentes son hormonales y hacen cosas estúpidas debido a sus frustraciones, a esa edad nuestra capacidad de razonamiento empieza a desarrollarse, así que cuando creen que están razonando correctamente, no tienen idea de lo ilógicos que son realmente". Así, según Herzog, donde un adulto ve una intención maliciosa, un adolescente verá una razón y una justicia que la justifican. El problema, según Herzog, es la respuesta del adulto: "Si roban o intimidan, entendemos que es parte de la adolescencia y hablamos con ellos para ayudarles, pero si hackean, entonces de repente es ilegal y queremos meterles en la cárcel".
Pete Herzog es un veterano hacker que vive cerca de Barcelona, fundador junto con su mujer, Marta Barceló, del respetado Instituto por la Seguridad y las Metodologías Abiertas (ISECOM) y de la Hacker HighSchool (http://www.hackerhighschool.org), una iniciativa surgida en 2003 para enseñar a los jóvenes de 13 a 17 años cómo vivir de forma segura en Internet. La Hacker HighSchool son 22 lecciones, escritas por hackers, que se ofrecen gratuitamente a escuelas de todo el mundo como actividad extraescolar o seminario complementario.
"Cuando un adolescente curioso puede bajarse un programa y atacar una web con un clic de ratón, sin saber qué está haciendo, tenemos un problema", asegura Herzog. La Hacker HighSchool pretende, por una parte, enseñar las bases de la seguridad informática para usarla de forma ética y contructiva. Y, por otra parte, la forma de enseñar emula el aprendizaje del hacker, a base de retos, azuzando la curiosidad y priorizando la práctica.
"Es importante no exponer a los niños a niveles de peligro mayores que el nivel de responsabilidad que pueden sostener por sí mismos, pero es también importante que los niños puedan probar sus propios límites de lo que es posible, y el hacking es ideal para ello", afirma Herzog en un reciente artículo de promoción de la Hacker HighSchool (http://darkmatters.norsecorp.com/2015/11/25/hacking-why-jonnie-cant-hack/) donde asevera: "Necesitamos parar de castigar a los adolescentes por hacer hacking porque están enfadados con alguien y transformar esta energía, igual como los gimnasios que convierten a un chaval de la calle en un boxeador".
Mientras, en el mundo real, La oficina del Sheriff del condado de Pasco, en Florida, acusaba hace unos meses a Domanik Green, de 14 años, de acceso no autorizado a un sistema informático, una felonía de tercer grado que conlleva penas de prisión. Previamente, la escuela de Green le había sancionado con 10 días de suspensión. Su delito: entrar en la red informática de la escuela para gastar una broma a un profesor.(http://www.tampabay.com/news/publicsafety/crime/middle-school-student-charged-with-cyber-crime-in-holiday/2224827)
Green consiguió la contraseña de acceso a la red con el viejo truco de espiar por la espalda a un profesor mientras este la escribía. Tener el nombre de usuario fue más fácil: era el apellido del profesor. Según Green, estas credenciales eran un secreto a voces entre los estudiantes, para quienes entrar en la red de la escuela se había convertido en un juego. Una de sus travesuras preferidas era conectarse desde diferentes aulas para saludarse por las cámaras web.
El caso de Green se convirtió en una polémica nacional en la que terció incluso la Electronic Frontier Foundation, enfrentando a quienes acusaban a la escuela de tener una seguridad tan laxa que hasta un niño se la saltaba, y a quienes pedían mano dura para dar una lección ejemplarizante. "A veces la gente no es consciente de los problemas que pueden surgir de toquetear lo que no se debe", reconoce Marcos, de Ka0labs.
Justo estos días acaba de publicarse el libro "¡Atención mamás y papás!". Su autor, Ángel-Pablo Avilés, considera que "el problema que tienen muchos adolescentes que se forman de manera autodidacta es la inconsciencia a la hora de discernir entre lo real y lo virtual". Creen, asegura Avilés, que sus actividades virtuales no tienen consecuencias reales: "Piensan que queda en un 'limbo binario' sin acarrear mayores problemas a su vida real, ni al objetivo que han vulnerado ni a ellos mismos, cuando las consecuencias pueden ser incluso penales".
Avilés cree que muchos padres están "un poco ciegos al respecto, por falta de conocimientos técnicos del potencial de la informática en manos de quien sabe utilizarla; creen que sus hijos no pueden hacer ningún daño con un ordenador". La solución a esta actitud no es otra que la formación por parte de los padres y también de los hijos: "Está claro que la mejor forma de aprender es "trasteando", pero siempre en entornos controlados y supervisado por expertos", afirma.
De hecho, cada vez son más las convenciones de seguridad informática que dedican un espacio a los más jóvenes, como DefConKids (http://www.npr.org/sections/alltechconsidered/2012/08/17/159015235/at-defcon-kids-camp-young-hackers-learn-to-pop-locks-and-drop-it) en Estados Unidos, o los talleres para niños y adolescentes del CyberCamp, celebrado este fin de semana en Madrid, donde entre otros ha hablado Ángel-Pablo Avilés: "Habría que implantar asignaturas que vayan más allá de enseñar ofimática a los alumnos, enseñarles programación e introducirlos en seguridad informática es vital para evitar muchos problemas a los que se pueden enfrentar por su natural curiosidad".
Un menor que cometa un delito informático en España no irá a la cárcel, pero sí podría acabar en un centro de menores. Para Avilés, en casos de este tipo "sería más eficiente obligar al adolescente, que ha cometido ese acceso a un sistema informático para por ejemplo modificar sus notas, a realizar trabajos para la comunidad enseñando informática a personas mayores".
Mientras, en Australia, un chaval de 20 años acaba de dejar con la boca abierta a las autoridades al conseguir huir del país, a pesar de estar a la espera de un juicio que podría haberle condenado a 10 años en prisión (http://www.abc.net.au/news/2015-11-26/teenage-hacker-dylan-wheeler-accused-of-hacking-us-army-flees/6977106). Dylan Wheeler fue detenido hace tres años, cuando tenía 17, acusado de pertener a un grupo que habría asaltado las redes de Microsoft y del Ejército norteamericano, robando propiedad intelectual por valor de 100 millones de dólares. Ya en lugar seguro, Wheeler explicó a la prensa que era "alarmante" lo fácil que había sido escapar de su país.
Hace ahora 15 años, en el 2000, se popularizó el término "script-kiddie", referido a los chavales que usaban herramientas creadas por otros para bombardear o hackear sitios. Era una palabra despectiva, inventada por quienes habían creado estas herramientas y tenían el conocimiento profundo de cómo funcionaban, algo de lo que adolecían los chavalines. Pero estos crecieron y también sus scripts. Tras ellos llega una nueva hornada. Y otras que vendrán. "Si hoy se hiciese un remake de la mítica película de 1955 "Rebelde sin causa", sería James Dean un hacker?" (http://www.darkreading.com/attacks-breaches/the-youthful-side-of-hacking-/a/d-id/1323321). Buena pregunta.
Mercè Molist