1983
Tuve mi primer ordenador,
un Commodore 16, a los 9 años. Más tarde compré un
Spectrum pero, a los 14 años, mi madre vendió mi apreciada
maquinita, pues consideraba que pasaba demasiado tiempo con ella y que
me iba a perjudicar en mis estudios. Durante bastante tiempo estuve casi
totalmente apartado de la informática y solo veía un ordenador
cuando iba a casa de mi primo o de algún amigo.
1994
Ingresé en La
Escuela Naval Militar en Pontevedra. Recuerdo que teníamos una asignatura
de informática realmente patética, anacrónica, y que
teníamos unas cuantas máquinas en red. Suspendía todos
los exámenes, y mi única preocupación, cuando no me
dormía en clase, era intentar acceder a ordenadores de la red.
1995
No encajaba en el ejército,
así que comencé los estudios de Mecánica de Aviones.
Fue entonces cuando despertó mi interés por la tecnología
punta. Mientras mis compañeros se preocupaban por entender como
se podía arreglar una avería, yo no paraba de imaginar situaciones
límite a las que podía someterse un avión o planear
hipotéticos sabotajes. Me parecía terriblemente sencillo,
solo había que saber donde tocar. Daba miedo pensar que no hubieran
más medidas de seguridad en tan delicados y caros aparatos.
1997
Acabados mis estudios,
me fuí a vivir a Murcia y empecé Informática de Sistemas.
Mi vida dió un cambio radical, pues descubrí que me apasionaba
trabajar con ordenadores. Seguí los estudios a distancia ( U.N.E.D.
), pedí una beca y compré un Pentium II de última
generación. Entonces, sufrí una de las mayores decepciones
de mi vida: me denegaron la beca. Me acababa de gastar lo que tenía
en el ordenador y no pude pagar la matrícula. Sentí odio
hacia "el sistema". No entendía que un trámite burocrático
me impidiera estudiar algo para lo que me sentía totalmente válido.
Y tomé la ferrea decisión de aprender solo. Si el estado
no me ayudaba, lo haría por mi cuenta. Así que, armado con
mi Pentium y usando los ordenadores de la Universidad de Murcia, me adentré
en el estudio de las redes.
Septiembre de 1998
La universidad se convirtió
pronto en mi centro de pruebas particular. Cuando no estaba trabajando,
me metía en las salas de ordenadores (para lo cual había
conseguido un pase), y me quedaba hasta que cerraban. Un día, necesité
instalar un compilador en una máquina, pero los encargados de las
aulas no me dejaron, aludiendo que para ello necesitaba tener privilegios
administrativos. Ahí empezó todo. Probablemente, nada de
lo que sigue habría pasado si aquellos individuos hubieran sido
más comprensivos y hubieran encontrado una solución alternativa.
Noviembre de 1998
Tras un mes de estudio
del tipo de instalación y las medidas de seguridad, conseguí
acceder al fichero de "passwords" y una contraseña débil
me ayudó a hacerme con el sistema. Fue la primera vez que entré
de forma no autorizada en un ordenador. Descubrí también
que esa contraseña me permitía acceder de forma local (física)
a cualquier ordenador del parque informático de la universidad.
Un error que les costaría caro. Pronto deseé más poder.
Quería acceder a cualquier ordenador de forma remota y poder controlarlo.
No sé explicar en qué momento exacto sentí esta necesidad,
pero de alguna forma era como si algo me dijera: "Puedes hacerlo...demuéstrales
que puedes...".
El objetivo de mis deseos era el PDC (Primary Domain Controller), el "ordenador central". Ahí estaban almacenadas las contraseñas de todos los usuarios y la que yo buscaba, la del Administrador del Dominio. Si me hacía con esa clave podría tener control absoluto sobre más de mil ordenadores... Se me ponía la piel de gallina sólo con pensarlo. Y decidí tenderle una trampa: armé el suficiente jaleo como para que el propio administrador se interesara por mi y me citara para hablar en privado. Le expliqué cómo había conseguido acceso no autorizado y le metí todo el miedo que pude. Cuando salí del aula, me conecté desde un ordenador de la habitación contigua y empecé a capturar tráfico de la red, con la esperanza de "ver" un inicio de sesión de mi amigo. Si el plan había funcionado, se conectaría al PDC. Efectivamente, veinte minutos después, capturé su contraseña encriptada viajando por el cable. Ya era mío.
Nervioso como un niño con un juguete nuevo, me fuí a casa y dejé mi programa de crackeo de contraseñas funcionando. Era viernes, salí a tomar una copas. La mañana del lunes y tras dos días de cómputo, mi ordenador dejó de hacer ruido... encendí el monitor y allí estaba la clave que buscaba.
Diciembre de 1998
Durante más de
cuatro meses tuve acceso a casi todos los ordenadores de esa universidad.
Tenía una sensación de omnipotencia difícilmente explicable.
Leía el correo de la gente, podía apagarles el ordenador
remotamente, chafardeaba... Tras entrar en las máquinas de supuestos
"hackers" conocidos de Murcia y ver qué herramientas usaban y qué
habían logrado hacer, me decepcioné. Mi mito del "hacker"
se fué al garete. No encontraba a nadie que hiciera nada interesante,
todo parecían ser "leyendas", pero yo estaba ahí, en todas
partes, y nadie lo sabía. La cantidad de información sensible
con la que llegué a hacerme durante ese periodo (material de investigación,
proyectos, exámenes, claves...) hubiera sido suficiente para provocar
un auténtico caos.
Primavera de 1999
Me vine a Barcelona.
Encontré empleo como técnico de sistemas. Arreglaba ordenadores,
impresoras y cualquier elemento que se conectara a una red. Obtuve conocimientos
de cableado estructurado y pronto estuve administrando sistemas en Pymes.
No era fantástico, pero me dió la oportunidad de ver desde
dentro cómo estaban organizadas las redes en las empresas. Me decepcionaron
los conocimientos de la mayoría de encargados informáticos
y, para colmo, mi empresa no veía con buenos ojos mi afición
por la seguridad. Les demostraba, una y otra vez, cómo podían
saltarse las barreras que instalaban, pero jamás llegué a
descubrir si no les interesaba o no entendían nada. Así que
hacía una doble vida: de día era un humilde técnico
de sistemas, de noche pasaba horas investigando sobre seguridad informática
y aplicando lo que iba aprendiendo a un entorno real: Internet.
Mi cuarto pronto se convirtió en un laboratorio de pruebas con varios ordenadores y dispositivos de red. Cuando aparecía una vulnerabilidad nueva, la probaba en mis máquinas y, cuando dominaba la técnica, la usaba para acceder a ordenadores ajenos. Mi interés por los ataques remotos me llevó a buscar objetivos cada vez más difíciles. Las universidades ya no me intrigaban, ahora mis objetivos eran la administración pública y las grandes empresas. Los únicos que aún no me atrevía a tocar eran los bancos y algunas entidades gubernamentales.
Evidentemente, cuanto más importante era el objetivo, mayor número de inconvenientes para entrar: cortafuegos, detectores de intrusos, etc. Pero, afortunadamente, disponía de un buen laboratorio casero donde reproducía todo tipo de situaciones y aprendía a saltarme tales trabas. Nunca he compartido conocimientos con nadie, hasta hace muy poco. Los chats siempre me han parecido un foco de fanfarrones más preocupados por alimentar su ego que por intercambiar información seria. También los "clanes" cerrados me parecen ridículos.
En cuestión de pocos meses, entré en cientos de ordenadores. Mi interés, al principio, consistía en comprobar cuantos ordenadores de empresas importantes tenían sus servidores parcheados. Una vez dentro, miraba qué programas usaban y qué medidas de seguridad aplicaban, cuando las había. Estos ataques "masivos" no tenían como objetivo aumentar mi nivel técnico sino comprobar "in situ" y en tiempo real el estado de seguridad de las empresas. Estas auditorías remotas me han dado, con el tiempo, una gran facilidad para sacar conclusiones sobre los conocimientos de los administradores, sólo mirando la configuración de sus equipos. De todos los entornos que vi (un 90 % en España), los menos cuidados son los de la administración pública.
Otoño-Invierno
de 1999
Entré en la base
de datos de una gran constructora, había información sobre
contratos, beneficios, proyectos... de todos sus clientes. Otra vez, tuve
acceso a los directorios de un importante proveedor ISP español,
que alojaba mas de mil páginas web, entre ellas la de la Agencia
de Protección de Datos. También pude entrar en los servidores
web de muchos medios informativos, televisiones, periódicos... Esto
me parecía grave: alguien podría modificar la información
que publicaban. Mientras tanto, de día, realizaba mi trabajo como
técnico, pero cada vez con menos interés, porque lo que me
gustaba realmente era la seguridad. Me despidieron, así que
encontré un nuevo empleo en otra pequeña empresa, también
de servicios informáticos.
Enero del 2000
Durante mi breve estancia
en esta empresa pude ver algunas cosas interesantes. En una visita de rutina
a las instalaciones de una conocida ONG, descubrí algo extraño:
el rendimiento de la red había disminuido y me enviaron para hacer
un listado rutinario de máquinas y programas empleados. Descubrí
un programa instalado en varias máquinas, que estaba generando un
ataque distribuido a toda la intranet. Más tarde, supe que había
sido instalado por un ex-trabajador de mi empresa, con el ánimo
de venderle a la pobre ONG una consultoría. Simplemente, harían
como que se revisaba algo durante unos días y luego desinstalarían
las herramientas que disminuían el rendimiento, todo volvería
a la normalidad y el cliente, contento.
La verdad es que tampoco
encontré un hueco en esta empresa.
Abril del 2000
De pronto, apareció
una oportunidad en una conocida consultora de seguridad. No se fijaron
en mis estudios y, por fin, me vi como Técnico de Seguridad Corporativa.
Pero, de nuevo, me di cuenta de que expertos, lo que se dice expertos en
seguridad, intrusiones y hacking, no había. En todo caso, eran personas
con muchos conocimientos sobre productos determinados, pero con una visión
demasiado "académica". Aproveché el año para aprender
sobre las soluciones comerciales de seguridad. Mi idea es que, si conoces
la última tecnología (empleada en banca, telcos, ISPs, etc)
y eres capaz de burlarla, ya no hay límites.
Pude ver entornos interesantes, como los bancos... Para mi sorpresa y para desgracia de los clientes, comprobé que las auditorías que se llevaban a cabo, lejos de estar hechas por auténticos conocedores del tema, se asignaban a personajes con unos conocimientos de securización de redes muy limitados. Vi, una y otra vez, como las empresas gastaban decenas de millones de pesetas y seguían teniendo sus sistemas vulnerables. Adopté mi actidud habitual en estos casos, indiferencia, y me limité a hacer mi trabajo. Con los conocimientos que iba adquiriendo, pronto pude engañar a prácticamente cualquier dispositivo de los que instalábamos. Las noches siguieron siendo para la investigación y auditorías a sistemas, que cada vez eran más gordos.
Verano del 2000
Fue la época
más activa: sabiendo lo que iba a encontrar, empecé a husmear
por los entornos bancarios y otros sitios interesantes. A diferencia de
otras personas, cuando he accedido a un sistema no he solido notificarlo.
La razón es simple: la experiencia me dice que no sirve de nada,
nadie te escuchará. Nueve de cada diez administradores de sistemas
probablemente se enfadarán y ni preguntarán como puede subsanarse
el problema. En alguna ocasión, cuando el fallo era muy gordo o
el administrador muy cabezón y dejaba el sistema abierto durante
meses, marcaba la página. A veces, hacer el ridículo es la
única forma de reflexionar.
Octubre del 2000
En una ocasión,
me topé con el servidor web de una gran multinacional. Usando un
agujero recién descubierto tuve acceso a todo el sistema de ficheros
de la máquina. La cosa no hubiera tenido más importancia
de no ser por lo que me encontré dentro: estaban montando un sistema
de comercio electrónico para que sus clientes pudieran realizar
pedidos on-line. Al/los administradores no se les había ocurrido
otra cosa que almacenar las claves privadas localmente, y allí tenía
un hermoso fichero de texto con las contraseñas para activar estas
claves. Descubrí también un informe detallado, hecho por
la más prestigiosa consultora de nuestro pais, donde se explicaba
toda la infraestructura informática que se montaría para
dichas transacciones. Información demasiado delicada como para estar
tan al alcance. Avisé marcando la página.
Al día siguiente la mayoría de publicaciones electrónicas hablaba de ello, no era para menos. Pero más vergonzoso fue cuando, un mes después, esa misma web seguía siendo vulnerable.
Noviembre del 2000
Un día, me puse
a pensar dónde podría encontrar información personal
de mucha gente y se me ocurrió visitar empresas de trabajo temporal.
Tras realizar unos cuantos barridos de las ETTs más importantes
del país, me topé con una completamente abierta. Conseguí
ver la base de datos de sus trabajadores (unas 8.000 entradas), no estaba
mal, pero quería más. Entonces di con una que, en su página
principal, decía :"Tenemos una de las bases de datos más
importantes de Internet". Hummm... Así que empecé a escanear,
en busca de fallos. Era un servidor bien configurado, casi lo daba por
perdido hasta que mi ordenador cazó una contraseña válida.
Me adentré por la máquina y descubrí una base de datos
de más de 70.000 currículums, con todo tipo de información
personal. La página principal de esta web decía algo acerca
de la confidencialidad de los datos y de la LORTAD (Ley Orgánica
Reguladora del Tratamiento Automatizado de Datos). Que se lo digan
a estas 70.000 personas.
Diciembre del 2000
Hacía tiempo
que tenía ganas de probar suerte con los bancos así que,
una noche, armado con mi portátil, me conecté a un buscador
y seleccioné una serie de bancos no españoles para realizar
pruebas. He de decir que jamás he tomado precauciones a la hora
de penetrar un sistemas; casi nunca te buscan y, cuando lo hacen, si no
has causado daños poca cosa pueden hacer. Accedí a dos bancos
la misma noche, mientras miraba "Crónicas Marcianas". Uno de Senegal
y otro de Hawai, abierto de par en par, sin ningún dispositivo de
seguridad perimetral. Tuve acceso a los datos personales de más
de dos mil personas que realizaban transacciones a través de la
web. Increible.
Enero del 2001
El único inconveniente
de realizar tests de intrusión sin autorización es que crea
adicción. Había que ir más allá. Se me ocurrió
que podría ser interesante "visitar" a alguna empresa de seguridad
informática. Así que busqué un objetivo: una de las
cinco con más facturación del año 2000. Tenían
su servidor web sin parchear. Marqué la página y esperé.
Al día siguiente, un amigo que trabajaba allí me llamó
: "Lo has hecho tú ¿verdad?". Días después
me dijo que lo habían solucionado y decidí echar un vistazo.
Habían modificado el cortafuegos, pero el servidor web seguía
vulnerable. Me tomé el asunto como un reto y, una noche, invité
a mi amigo y a un compañero de trabajo. Estuvimos pensando cómo
podíamos saltarnos el cortafuegos y llegar al servidor vulnerable.
Fue la noche más emocionante de mi vida.
Hasta que tuve una inspiración. Las "cookies" permiten a los sitios web guardar información en los navegadores. Lo lógico sería que un sitio web no las aceptara, pero descubrimos que nuestro objetivo sí lo hacía. ¡Bingo! Ya teníamos una forma de subir algo a la . Ahora, el problema consistía en las limitaciones de dichos ficheros: no podía ocupar más de 4k. Nos las ingeniamos para crear una "cookie" a nuestra medida, fue bastante divertido, la probamos en mi laboratorio y funcionó. Al día siguiente, monté un servidor web, colgué la página con la "cookie" que habíamos creado y forcé al servidor víctima a cogerla. Como resultado, se creó un fichero en la máquina atacada. Lo renombré y, ahora, su web ofrecia un "banner" del tipo : "<intruso> 2 <empresa> 0". Técnicamente hablando, ésta fue la intrusión más interesante de todas.
Jamás apareció
nada en prensa. De hecho, casi nunca aparece nada. Las empresas callan
sus errores. Y si no por qué nadie se ha enterado de la intrusión
que hubo hace pocos meses en la Web de la Secretaría de Presupuestos
y Gastos del Ministerio de Hacienda (http://www.igae.minhac.es). Toda la
torpeza e indiferencia que muestran muchos administradores de sistemas
se convierte en eficiencia y velocidad para "limpiar" la imagen de la empresa.
Por eso, los 'hackeos'
más divertidos se hacen durante el fin de semana, porque sabes que
ningún administrador será capaz de solucionar el problema
remotamente, desde su casa, y la página quedará marcada hasta
el lunes. Cuando lleguen al trabajo, se les atragantará el café
y se producirá un fantástico efecto: el administrador empieza
a trabajar, remodela la página, sugiere cambios.. Y así conseguimos
mejorar la seguridad y el aspecto del sitio. ¡Gratis!
Primavera del 2001
Mientras trabajé
en la consultoría fui haciéndome una idea de los errores
típicos en la seguridad de sitios importantes. Más o menos,
en todos se cometen los mismos fallos y es muy sencillo, sabiendo esto,
acceder a sus segmentos privados. En una ocasión, instalaba un producto
en un conocido banco catalán cuando, revisando la configuración
del cortafuegos, vi que tenían agujeros realmente importantes que
permitían acceso desde el exterior. Se lo comuniqué al encargado
de dicha entidad y conseguí una bronca brutal... supongo que no
aceptó que se pusiera en duda su capacidad. Tuve enormes tentaciones
de realizar un ataque que bloqueara sus sistemas durante horas, pero las
denegaciones de servicio nunca han sido mi estilo.
A veces, te encuentras con ordenadores en lugares conocidos por su alta tecnología, en los que se supone que deberían tomarse más en serio la seguridad, y te encuentras cosas como ordenadores americanos militares accesibles sin demasiadas complicaciones. De la misma manera, puede pensarse que entrar en los sistemas de un banco es difícil. Nada más falso. El problema es moverte por dentro, pero no entrar. Hoy en día hay métodos que funcionan en el 90% de los sitios. La gente que trabaja en un banco tiene dirección de correo y, por lo tanto, está expuesta a la infección de troyanos. Es tremendamente sencillo "colar" un programa en un ordenador interno y abre muchas vías de ataque. La solución para eso pasa por una profunda restructuración de los sistemas y de la arquitectura de red. Pero es mucho trabajo y, en su lugar, instalan productos comerciales de 'buena reputación'.
Un amigo me preguntó
una vez que si era tan fácil acceder a los ordenadores de un banco,
por qué no lo hacía y me ingresaba unos cuanto millones.
Yo le dije :"Ofréceme 100 millones de pesetas, y verás hasta
donde puedo llegar...".
Verano del 2001
Hace menos de tres meses,
dejé la empresa en la que trabajaba. No estaba de acuerdo con su
forma de actuar. No me gustaba como realizaban las auditorías de
seguridad. Me parecía una estafa. El mercado se está llenando
de nuevos “expertos” , salidos de la nada, con estupendos trajes y unos
conocimientos más que mediocres de lo que es seguridad telemática.
¿Qué experiencia real en técnicas de intrusión
tienen estos personajes? Normalmente ninguna, porque jamás lo hicieron.
Se necesita a un ladrón para coger a otro ladrón y, eso,
no lo enseña ningún catedrático.