Introducción
Algo básico para poder empezar a esgrimir este artículo con un cierto rigor es lo más evidente -y que enseñamos en nuestros cursos de seguridad informática en Net&Software-, la diferencia entre hacker y cracker. Los hackers son expertos en informática que, si algo saben hacer muy bien, es descubrir, gracias a su motivación, ingenio y creatividad. ¿Qué descubren?. Vulnerabilidades en los sistemas informáticos. Los crackers, sin embargo, pueden y llegan a hacer lo mismo pero con fines delictivos.
Dejando de lado a los crackers, que no son el motivo de este artículo, nos centraremos en los hackers, aunque tendremos que hacer referencia a los crackers en otros momentos del artículo. El impulso y estímulo de un buen hacker es saber bien cómo funcionan las cosas. Los sistemas informáticos son enrevesados y la programación casi infinita, lo que genera la elocuencia del hacker para ganarse el meritorio título.
Los hackers no nacen aprendidos ni son infalibles. Tampoco temen al error ni piensan que éstos sean una pérdida de tiempo, si no una oportunidad de aprender qué no debe hacerse. Es algo básico para el progreso y formación del hacker.
El aprendizaje no viene de la nada, deben tener un conocimiento amplio de informática, mucho más allá de lo que un colegio puede enseñar. Pero no nos equivoquemos, el colegio es parte de la base para un buen hacker. La universidad ayuda, pero no enseña a un hacker a serlo, aunque solidifica las bases. El aprendizaje del hacker suele comenzar antes de entrar en la universidad, y algunos de ellos no terminan la carrera porque les frustra el aprendizaje de cosas que ya saben o metodologías que no aplican -muy distintas de lo que esperan-.
Piratería y sensacionalismo periodístico
Pero la enseñanza para ser un hacker no es algo malo ni es reprochable, y que podría -y quizás debería- ser enseñado por padres y profesores. Aquí es cuando la piratería se cruza en el camino, gracias a unos medios de comunicación, cuanto menos, sensacionalistas. Las personas que han tenido problemas con la piratería informática han sido tachados de hackers, cuando no lo eran. Sólo eran simples estafadores, timadores o directamente ladrones, que poco tienen que ver con la ética de un hacker. De hay mi empeño en la diferencia y en la concienciación de padres y profesores en esta enseñanza y distinción, algo que en Net&Software esperamos conseguir con este artículo.
Encoleriza cuando lees que un alumno ha hackeado la cuenta de una alumna de Twitter para divulgar noticias privadas o íntimas, cuando lo único que ha hecho el aprendiz de delincuente es obtener una contraseña por medios ajenos a la informática, para suplantar una identidad y cometer su acto delictivo. En ningún caso "ha hackeado" nada, pero encima se le da el apelativo equivocado y ensalzador para su ego; algo realmente equivocado. Pero algunos periodistas manipulan titulares para conseguir sólo las ventas que desean en su periódico -digital o no-, algo que realmente no se merece. Errores de ignorancia.
Lo que se presupone de los hackers
Lo que generalmente se piensa sobre los hackers es que son personas que pueden entrar en otros ordenadores, pueden hacerse con las cuentas de otras personas, o pueden leer su correo electrónico sin que usted lo sepa. Quizás también piense que pueden espiar a través de su cámara web sin su permiso y puedan verle y oírle en la supuesta intimidad de su propia casa. Esto no es cierto. Lo comprenderá cuando lea el artículo completo.
Un hacker tampoco es alguien que descarga una pequeña herramienta de script -perdonen por el tecnicismo- para entrar en el correo de alguien, por ejemplo. Esos sólo son unos ladrones o vándalos, que poco o nada saben sobre el hackeo.
El aprendizaje del hacker y el Open Source
El mejor método para aprender a ser un hacker, una vez que ya se tiene una sólida base de informática en programación, bases de datos y redes, es estudiar el software de código abierto -open source-, empezando por sistemas Linux. Otra buena forma de empezar es estudiando los gestores de contenidos para Internet de código abierto como Drupal, Wordpress o Joomla!, entre otros. En realidad, cualquier código libre es realmente bueno para comenzar la enseñanza del hacker.
La explicación es tan sencilla como que la ética, estructura y desarrollo de este tipo de software -el software libre- da al aprendiz de hacker las herramientas y el código para entender los sistemas de seguridad que se emplean y las vulnerabilidades que se detectan a diario junto a la manera como se solucionan. La comparación de versiones -vulnerable y corregida- es el método más eficaz para la comprensión de los errores de programación que llevan a la penetración en sistemas. (Esto es sólo un ejemplo de aprendizaje). Esto, en código propietario, sencillamente es imposible porque el código no está al alcance.
Por supuesto, el código libre también da herramientas hechas por programadores que, no sólo dan la funcionalidad adecuada para el desarrollo de un hacker, si no que, a su vez, puede ser estudiada.
Distribuciones de GNU/Linux como BackTrack, o herramientas como Armitage (interfaz de Metasploit) ayudan, pero no crean al hacker, sólo lo ayudan a formarse. El auténtico hacker realiza los exploit para estas herramientas o crean las suyas propias para la seguridad. La gente puede pensar que con saber usar alguna distribución de BackTrack con herramientas ya son hackers. Es un buen principio, pero el hacker no es eso. BackTrack es una distribución que tiene instaladas todo un abanico de herramientas para la seguridad, análisis forense e incluso de comprobación de vulnerabilidades de sistemas. El hacker tiene el conocimiento profundo de esas herramientas, aunque también sabe usarlas, claro.
El hacking
Es una metodología, una manera de investigar un sistema profundamente para llegar a un fin. Ese fin puede ser bueno o malo, pero aquí entra la ética que tenga la persona que realiza el hacking. Al igual que se abre un dispositivo para ver cómo funciona, el hacker "destripa" el software -lee el código- para conocer su funcionamiento, y conocer su seguridad o si es vulnerable.
Las matemáticas actuales y su forma de aprenderlas es ahora muy distinta de antaño. Hoy en día se hace muy metódicamente, afianzando desde el principio unas bases para construir un sistema con una lógica inviolable. La informática es muy distinta -aunque su principio son las matemáticas-, y la lógica de la informática es tan amplia que es muy complicado realizar algo parecido, es decir, te enseñan caminos pero escoges es el que desees para un resultado. Esto lo sabe el buen hacker, y la metodología prueba-error, el cambio de un "punto y coma" -por poner un ejemplo-, o incrustar unas palabras -sentencias para ser más estrictos- en cualquier sitio, da o puede dar como resultado un cambio inesperado, algo que no se da con esa casualidad, o de esa forma tan imprevisible, en las matemáticas. Por supuesto, excepto la prueba-error, todo lo demás tiene un sentido en la programación y debe hacerse con los conocimientos adecuados. No sirve meter la palabra "prueba" en un código, porque es una estupidez. Pero cuando se aprenden los intrincados métodos de la programación, existe una especie de "sentido común" que abre puertas inesperadas -o no tan inesperadas- para el hackeo de sistemas.
Finalmente si algo destaca la programación es que una misma cosa puede hacerse de miles de formas distintas. Y cuanto más complicada es esa cosa, más maneras de hacerlo existen, por lo que se abre el campo a la imaginación y la creatividad, principal avidez de un hacker. Aplicando esto mismo, no a la programación por sí misma, si no a Internet, donde existen un increíble número de aplicaciones, sistemas, dispositivos y procesos distintos, hace y nace el lugar idóneo para el hacker. Es como una gran zona de juegos, casi infinita.
Otros hackers ven la seguridad de la red como un desafío, un intento de engañar a los sistemas, intentando pensar de forma diferente a como lo hacen los diseñadores y constructores de redes. Ven, estudian la forma y las reglas de los sistemas y su interacción, para probar distintos métodos y conseguir lo que desean. Muy lejos de lo que se puede pensar, estos hackers ayudan a la seguridad de los sistemas, construyendo sistemas más seguros y con mejor tecnología.
Intentando hacer este texto legible a los que no conocen el hacking, realmente se hace difícil explicar todo esto en unas simples líneas de texto metiendo el mínimo número de tecnicismos, pero espero que entiendan lo especial del pensamiento informático -especialmente del hacking-.
El daño de los crackers
Lamentablemente, en ocasiones el hacking se hace por delincuentes, que lo único que quieren es conseguir algo ilegal, ser invasivo o simplemente destructivo. Estos hackers -que son crackers debido a su fin delictivo-, son los únicos "hackers" que las personas corrientes leen o escuchan en las noticias, y de aquí toda una cultura equivocada alrededor de los hackers.
Hackear en sí no es ilegal, y todo se reduce a la intención. Mientras no penetres en un sistema, si no que sólo detectes los problemas de seguridad que tiene ese sistema, será un proceso totalmente legal. Cualquier hacker también sabe -o debe saber- que es responsable de sus acciones y que si ocasiona daño realizando hacking, es ilegal y tendrá un precio.
Lamentablemente aquí entra un poco los hackers inexpertos, que dañan sistemas por accidente. No es un daño tan deliberado como los crackers, pero también son responsables de la mala fama de los hackers. Poniendo un ejemplo, si en Joomla! detectamos un fallo de seguridad, lo que no se puede hacer es penetrar el sistema y romperlo para demostrar que es cierto, cuando con unas simples directrices, puedes demostrar a los desarrolladores dónde recae el fallo.
La utopía de la escuela oficial de hackers o una carrera universitaria para hackers
Sí, de nuevo la enseñanza o la escuela de hackers debería existir. No es una odisea, es un bien necesario. Se podrían crear los valores de responsabilidad, rigor por las normas, comportamiento y legalidad, aparte del hacking y programación necesarios para realizar estos fines.
Lejos de lo que la gente pueda pensar de esto, la escuela "oficial" de hackers proveería más seguridad, mayor responsabilidad y mejores programas. Saber hackear un sistema te hace crear sistemas más seguros, con vulnerabilidades más controladas y con una reducción mayor de ataques malintencionados debido al aumento de la seguridad.
Pero la dificultad será casi infranqueable. Aquellos que crean que llegar a hacer esto es fácil se equivocan, por muy bien que se exponga la idea. Empezando por las administraciones, la gente de mente estrecha, la piratería, el uso indebido que puede hacerse de lo aprendido, y un largo etcétera de inconvenientes, no es una tarea que parezca plausible. Pero una utopía como esta podría ser al final la solución a muchos problemas actuales de seguridad, sin quitar el más mínimo mérito a los actuales hackers -los auténticos, los que hago referencia en este artículo-.
¿Y si existiera una titulación posterior a la Ingeniería Técnica en Informática de uno o dos años más?. ¿O si hubiera una Escuela Oficial?
El pago y tributo por pensar diferente
Un colectivo de hackers concreto ha sido sancionado porque, tras comprar un software propietario, lo han modificado para que funcionara de forma diferente o se han saltado las protecciones para poder copiar ese programa en un sistema diferente ya que habían pagado por él y su sistema se había quedado obsoleto. El hecho de manipular ese programa para poder instalarlo en otro sistema es ilegal -por muy injusto que sea-, y han sido perseguidos y castigados. En el caso de su ingenio e ideas haya sido compartido los ha hecho especialmente "importunados". Esto significa que los hackers deben saber que el código cerrado o propietario que pueden comprar es ilegal hackearlo, ni aún siendo para comprobar la integridad de la seguridad del sistema, ni aunque sea para hacerlo más seguro. Aquí es lo que la mayoría de la gente acepta en esos Acuerdos de Licencia para el Usuario Final que te exigen aceptar antes de instalar -o incluso abrir- el producto comprado. Estos acuerdos son tan astutos como injustos, pero es lo que hay y contra lo que es muy difícil combatir.
Las paradojas son diversas, pero pondré una que es muy inspiratoria. Tú no puedes compartir un determinado programa por ser propietario. Sin embargo te dan todas las facilidades para que subas tus datos más personales -documentos, fotografías, etc.- a la nube, un sistema controlado por otras personas y que no sabes las que pueden acceder a él y "vulnerar" tu propiedad. ¡Ven la paradoja!.
La tribu hacker
Los hackers a menudo -y de forma muy habitual-, son seres bastante cerrados -aunque no totalmente asociales-, bastante paranoicos y que dedican un ingente número de horas en su ordenador estudiando. Einstein dijo: "el genio se hace con un 1% de talento y 99% de trabajo". A un hacker esto se aplica prácticamente a todo el día menos cuanto duerme. Por ende, su vestimenta suele ser desarrapada y con dejadez en su cuidado personal -que no aseo personal-. De ahí surge un poco la asociación del heavy -pelos largos, barbas sin afeitar en días, o vestimenta austera- con los informáticos más radicales o hackers, aunque no sea siempre un estereotipo típico. También se hace la asociación de que es como un científico loco encerrado en su laboratorio.
Pero todo lo anterior sólo es una apreciación curiosa que puede diferir en muchos hackers, y según el tipo de ellos.
Más curiosidades
Hay gente que pregunta que quiere ser hacker, pero lo peor es cómo la gente responde, con frases como "¿crees que habrá un sitio donde te enseñen cómo robar tarjetas de crédito por Internet?".
Pues si han leído este artículo, podrán ver que la respuesta -que se salda con otra pregunta- no sólo es absurda y falta de sentido, si no que da una idea de lo equivocada que está la gente sobre los hackers. Para hacer hincapié en la ignorancia, la respuesta es la más valorada, incluso por el propio que pregunta. ¡Demencial!
Otras respuestas a preguntas similares son:
- "estudia en Youtube, que no necesitas conocimientos de redes o programación".
- "si quieres ser un hacker serio como Anonymous ve estos tutoriales...".
¡Pero se dan cuenta de las burradas que se sueltan en Internet detrás de un teclado!. En Youtube se aprende pero nada como una escuela especializada en estas cuestiones, pero saber de redes o programación, al igual que inglés, es fundamental. Y a ver si se aclara el tema, Anonymous son crackers, no hackers. Si no estás de acuerdo con ellos, te lanzan un ataque DDoS para colapsar tu servidor, vamos lo que hace un vándalo. Y si lees su filosofía se basa en la anarquía y en la delincuencia. Lo peor de todo es que si buscas "hacker" en Imágenes de Google, casi todas las fotografías que salen hacen referencia a este grupo.
Todo esto es una muestra ínfima de la ignorancia actual. Esto pasaría con menos frecuencia si existiera una escuela oficial de hackers, y si no hubiera falta de educación en colegios sobre el tema.
Proyectos interesantes, aunque con carencias
Existen proyectos libres que fomentan las habilidades de chavales para llegar a ser hackers -hackers de verdad-. Pero no dejan de ser proyectos con ciertas carencias, entre ellas de titulaciones, formativas o de apoyo de instituciones o administración. En España, ¡olvídate!. Si existe algo más allá que el ISECOM que alguien lo ponga en los comentarios del artículo y lo corregiré gustosamente, pero nada como lo explicado, y menos una titulación oficial.
Terminando
Ya que he citado antes al genial Albert Einstein, me van a permitir que vuelva a hacer referencia a él en algo que se equivocó (si es que puedo a atraverme a decirlo). Albert Einstein dijo: "si quieres obtener un resultado distinto, no hagas siempre lo mismo". Llevaba razón cuando se aplica a la mayoría de los casos científicos, pero en el caso de la informática, esta afirmación no se aplica. Los hackers lo saben y puede ser una de las cosas que no pongan en práctica.
No cerremos la mente, entendamos la seguridad del mañana, apliquemos soluciones que hoy podrían ser viables, y demos habilidades, sentimientos y valores a los jóvenes para la creación de toda una generación de nuevos hackers.
Conclusión
La red está cada vez más presente, y la nueva generación de niños tienen la tecnología más inculcada, aunque existe menos control para la seguridad de ellos. Los hackers serían un control al problema que se presenta en los próximos años, siempre que se formen de la forma adecuada. Habría que atajar el problema ahora que quizás haya tiempo.
¿Se atreve alguien a dar el primer paso?