portada

Apuntes sobre cómo aprender a hackear (se incluye algún ‘por qué’)

Cada vez que alguien nos escribe pretendiendo ‘contratarnos’ para que vulneremos la privacidad de su pareja (a eso algunas le llaman ‘trabajo’) solemos contestar que no intervenimos en conflictos que se puedan resolver con una charla adulta y que atacar una persona que te quiere y a la que en teoría querés es un acto de violencia que nos resulta inaceptable, eso sin contar que estás buscando a una desconocida para que cometa un delito en tu nombre. La variedad de respuestas que recibimos a esos comentarios es bastante interesante, aunque es más divertida que interesante. NO, aquí no nos dedicamos a ayudarle a nadie a atacar a su pareja, ni a ninguna otra persona. Aunque cuando no se trata de buscar sicarias sino de gente que tiene un problema real nuestra respuesta es otra, porque personas que han sufrido una vulneración de su intimidad o una usurpación total de identidad, en esos casos sí ayudamos y asesoramos en cuanto a cómo protegerse y sobre qué herramientas legales existen para terminar con acosos y vulneraciones varias. Paralelo a esto, muchas nos consultan cómo aprender a hackear. Se trata de una pregunta difícil de responder, porque no hay algo en particular que aprender, sino una pluralidad de cosas.

Hackear no es sólo programar, hackear es un compendio de estrategias que se despliegan para lograr un determinado objetivo. Ante la pregunta ‘¿cómo aprender a hackear?’ o ‘¿pueden enseñarme a hackear?’ solemos responder que no enseñamos a hacerlo y que nadie puede. ¿Por qué? Porque creemos que es algo que se aprende en base a la investigación que cada hacker hace para cumplir su objetivo. No podés aprender a ‘hackear’ si no hay algo que quieras hackear. Podés aprender a programar, podés aprender mucho de ingeniería social, podés aprender mucho de arquitectura o ingeniería de software, pero nada de eso te transforma en hacker sino en programadora, ingeniera social, arquitecta o ingeniera de software. Lo cierto es que muchas personas quieren aprender a ‘hackear’ y para eso necesitan saber de programación, de redes, de ingeniería social, de sistemas operativos, de psicología, de diseño, y muchas otras cosas, pero si no te has propuesto un objetivo, no vas a llegar a hackear nada.

A mí me pasó que quería poder jugar en los arcades de los 90 sin tener que pagar. Aunque la ficha tenía un costo muy bajo, yo era una niña y no tenía el dinero que necesitaba para poder jugar en un arcade toda la tarde. Entonces al ver que el juego finalizaba, comenzaba a presionar las teclas y la palanca del juego de forma aleatoria por desesperación. Un día uno de los juegos que me gustaban volvió a iniciarse tras esa serie de combinaciones. Tenía un juego gratis, una segunda oportunidad. Algo parecido a resucitar. Si a eso le sumás mis 8 años de aquel momento, era la gloria. Al perder intenté reproducir la misma secuencia para lograr otro juego gratis, pero no lo logré. La sucesión de juegos y partidas perdidas se fue prolongando, y con eso terminé profundizando mi atención hasta que logré la secuencia que me regalaba otra vida. El resultado fue que jugué muchísimo pagando una sola ficha, pero también que la diversión de hacerlo disminuyó enormemente: si perdía, no pasaba nada, y eso me hizo perder el interés en el juego.

Luego de eso vinieron otros desafíos, muchos con la PC, otros tantos con el Family Game que teníamos en casa, por lo que terminé/empecé en el viejo y queridísimo foro Hackerss.com (así, con dos S) en el que pregunté cómo podía lograr lo que quería. Su respuesta fue tan lapidaria como increíble: ‘aquí nadie te dirá cómo hacer nada, te diremos qué tenés que aprender para poder hacerlo’. Así, gente como Alluz, Benek, Paisterist y varias otras foristas, fueron indicando ante mis consultas las búsquedas que necesitaba completar para poder tener un conocimiento que me permitiera cumplir mi objetivo. Cuando una busca en Internet, termina leyendo enormes cantidades de información, experiencias y teorías. Ese fue el aprendizaje real, porque cuando se me planteaba un nuevo interrogante, era habitual que hubiera leído algo al respecto, simplemente porque buscando otro dato me había topado y leído respuestas que no tenían que ver con mi búsqueda pero que luego me resultaban útiles. Allí aprendí que Internet es una fuente inagotable de conocimientos, caótica, plagada de gente con opiniones diversas (muchas veces contrarias a la mía) que no por eso es mi enemiga, lo fundamental es que aprendí de desafíos y cómo resolverlos, aunque lo más habitual era perder y tener que aprender más.

No me considero una maestra al respecto, no pienso de mí que sea una gran programadora ni nada por el estilo, hoy llevo años con criterios éticos distintos a los de mis orígenes (de los que no reniego para nada) en los que mis búsquedas eran lúdicas, individuales, para exclusivo beneficio personal y carentes de un sentido político. Lo mío es, hasta cierto punto, la ingeniería social, y fue lo que terminé aprendiendo. Soy una hacker que es útil en equipo y casi inocua en solitario, a la que no le gusta cuando alguien se beneficia de la ignorancia de las demás ni cuando utiliza sus conocimientos para beneficiar corporaciones. Tengo el sombrero gris, dirán algunas (las que trabajan para hacer más fuertes a las corporaciones y las que trabajan para obtener beneficios de la ignorancia ajena, que en mi opinión son las verdaderas malas de la película). Lo curioso es que es algo que me atrevo a decir desde hace no muchos años, porque me parecía que el sombrero gris tiene demasiadas medias tintas, como una suerte de postura tibia. Estaba equivocada: el sombrero gris es buscar una sociedad de pares, y como las definiciones las aportan las malas de la película, nos hacen ver como las pechofrío del tema. Todo lo contrario: somos las que nos animamos a desafiar a las malas de la película. Esto, claro, es sólo mi opinión, por lo que existe el mismo margen de estar en lo cierto y equivocarme. Bueno, eso es porque la ‘verdad’ no existe (frase que al mismo tiempo es autorrefutante).

Últimamente las consultas sobre cómo aprender a hackear han aumentando muchísimo. Eso me alegra mucho, porque significa que pronto habrá nuevas camadas de hackers en condiciones de seguir batallando. EEUU, el país que se dedica a exportar guerras y genocidios, es tan consciente de nuestro poder actual, que ha modificado sus teorías bélicas. Hoy la guerra asimétrica no es una guerra entre estados en desigualdad de condiciones. Hoy la guerra asimétrica parte de la base de que una sola persona puede tirar abajo a un ejército completo. Ésas somos las hackers de sombrero gris.

En este contexto, cada vez que alguien nos consulta ‘¿cómo puedo aprender a hackear?’ contestamos: ponete un objetivo y aprendé lo que necesites para lograrlo. Cuando me toca responder, agrego aquello que me dijeron de chica: no te vamos a enseñar, te vamos a decir cómo aprender. Sonará muy Señor Miyagi, pero es cierto, aprender es un proceso para llegar a un objetivo. Se estudia medicina para ser médica, se estudia para ser investigadora, se estudia para ser científica, no se estudia sólo para saber. Si te cuento cómo obtener una contraseña, vas a depender de mí en todo lo que no sepas, porque en realidad no sabés nada, sólo estás repitiendo algo. Si te digo: deberías aprender HTML, CSS y PHP como mínimo para desarrollar un xploit que te permita lograr un buen ataque phishing, siempre que desarrolles una estrategia de ingeniería social adecuada, y vos te ponés a estudiar desde ese enfoque, vas a terminar aprendiendo a hackear, porque lo que estás buscando no es saber todo eso sino lograr tu objetivo. Pero no es algo que yo -ni nadie- pueda responder, es un camino que tenés que recorrer.

Entonces ¿cómo aprender a hackear? La respuesta es ponerte un objetivo. ¿No lo tenés? Buscalo. Ayer, por ejemplo, noté que los terminales de estacionamiento medido de la ciudad de Neuquén, tienen un sistema operativo Windows 10. El sistema toma información de una tarjeta magnética en la que se carga crédito y está interconectado -al parecer- con redes móviles. Si alguien averiguara cómo es que se intercomunican, la relación entre la tarjeta y el sistema, y escribiera un ataque en su tarjeta magnética, el sistema ejecutaría esa orden porque está constantemente en modo terminal (lo que permite ejecutar comandos), por lo que bastaría con desarrollar un poco de software y probarlo en las distintas terminales, aprovechando vulnerabilidades de Windows para ejecutar esos comandos y lograr las acciones que queramos. Algunas podrán aprovecharlo para estacionar gratis, otras podrán subir a Internet cómo lo hicieron y poner al alcance una alternativa que impida que el estado te cobre por estacionar en la calle (atenti: esa calle y su mantenimiento están ahí porque las pagó la sociedad, ninguna intendenta puso dinero de su bolsillo, es nuestro dinero el que va a esa calle, incluso al estacionamiento medido y con ello a las arcas de la empresa cipaya que puso Windows en los terminales, por lo que cobrarnos por estacionar es cobrarnos dos veces y hacerlo para rédito económico desmesurado y ajeno, algo inaceptable). Pero también alguien podría divertirse generando una crisis política en el estado y económica en la empresa que se beneficia de que el gobierno decida cobrarnos otra vez por lo que ya pagamos (y seguimos pagando, ya que el mantenimiento y afines se cubren con impuestos, y es correcto que así suceda).

Alguien, también, podría aprovechar los baches de seguridad que existen en los Windows XP que todavía están en muchos cajeros automáticos del mundo y extraer todo el dinero disponible. Eso sería un delito, claro, pero no le estás robando a una persona, sino que le estás robando a una de las corporaciones que hacen del mundo un lugar peor -a diario- y que además tiene su dinero asegurado. Si le roban a alguien que tiene su dinero asegurado, el banco no pierde dinero, y la aseguradora tiene un negocio montado sobre ese dinero asegurado y ese seguro le redunda en beneficios económicos, ganan dinero por reponer el dinero que pueda robárseles a sus clientas, por lo que no hay nadie que pierda. Sigue siendo un delito, pero es un delito sin víctimas. A alguien podría parecerle justo, como ha sucedido históricamente, financiar la revolución robando dinero a los bancos. Perdóneme la purista y leguleya que termine con el vello púbico erizado ante la afirmación anterior y la que sigue, pero a muchas puede parecernos ético y legítimo, aunque sea ilegal, financiar la revolución robando bancos, que a la postre tampoco pierden dinero por eso.

Hackear requiere de comprender la complejidad de un sistema que está conformado por una diversidad de componentes: el sistema operativo del terminal o el cajero, el lenguaje que permita ejecutar una serie de comandos, las puertas de ingreso que pueden existir, las ganzúas que necesitamos para abrirlas, los errores que pueden haber estado en la cabeza de quien desarrolló el sistema (el operativo, el de intercomunicación, el que ejecuta los comandos sobre ambos, y el largo etcétera que podríamos poner).

Ayer sentí de nuevo la euforia de ver una puerta de entrada, recordé cuán divertido puede ser buscar cómo abrirla, cuán interesante es estudiar cómo saltar una pared sin perder una pierna en el alambrado ni terminar presa por cumplir un objetivo. Por supuesto que esta nota NO es para invitarte a que rompas este sistema, sino para comentarte cómo podés hacer para buscar un objetivo. El mío no es romper el estacionamiento medido sino con este tipo de abusos que desarrolla la gente que está con Macri aprovechando el poder que le confiere un pueblo que confía en ellas para beneficiar a un puñado de empresarias amigas (que serán las que paguen el auto nuevo y la campaña futura). La revolución no vendrá del estacionamiento medido, pero el empoderamiento puede empezar por ahí. Decime si eso no es un hackeo al sistema.

¿Cómo aprender a hackear? Proponete un objetivo y estudiá cómo alcanzarlo.

¡Happy Hacking!

image/svg+xmlTribuna Hacker existe gracias a

4 comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *