Charla «Misha Glenny: ¡Contratemos a los hackers!» de TEDGlobal 2011 en español.
A pesar de miles de millones de dólares invertidos en seguridad cibernética, uno de los problemas de raíz ha sido ampliamente ignorado: ¿quiénes son las personas que escriben código malicioso? El investigador del submundo informático Misha Glenny perfila varios programadores convictos de todo el mundo y llega a una conclusión sorprendente.
- Autor/a de la charla: Misha Glenny
- Fecha de grabación: 2011-07-13
- Fecha de publicación: 2011-09-13
- Duración de «Misha Glenny: ¡Contratemos a los hackers!»: 1119 segundos
Traducción de «Misha Glenny: ¡Contratemos a los hackers!» en español.
Esto es algo muy atípico para TED pero vamos a comenzar la tarde con un mensaje de un patrocinador misterioso.
Anónimo: Querido Fox News, nos ha llamado desafortunadamente la atención que han hecho estragos tanto con el nombre de Anónimo como con su naturaleza.
Somos todos.
Somos nadie.
Somos anónimos.
Somos legión.
No perdonamos.
No olvidamos.
No somos más que la base del caos.
Misha Glenny: Anónimo, damas y caballeros, un grupo sofisticado de piratas informáticos motivados políticamente que surgieron en 2011.
Y dan bastante miedo.
Nunca se sabe cuándo será el próximo ataque, quién o cuál será la consecuencia.
Pero, curiosamente, tienen sentido del humor.
Estos muchachos entraron a la cuenta de Twitter de Fox News para anunciar el asesinato del presidente Obama.
Imaginen el pánico que habrá generado en la sala de prensa de Fox.
«
¿Qué hacemos ahora?
¿Nos ponemos un brazalete negro o descorchamos champán?
»
(Risas)
Y, por supuesto,
¿quién podría escapar a la ironía de que la víctima de piratería haya sido, para variar, un miembro de la corporación de Rupert Murdoch?
(Risas)
(Aplausos)
A veces uno mira las noticias y dice: «
¿queda alguien por piratear?
» Sony Playstation Network…
hecho, el gobierno de Turquía…
hecho, la Agencia Británica contra el Delito Grave Organizado…
como si nada, la CIA…
también.
De hecho, un amigo que trabaja en seguridad informática me dijo el otro día que hay dos tipos de compañías en el mundo: las que saben que han sido hackeadas y las que no.
Quiero decir, tres compañías que brindan servicios de seguridad informática al FBI han sido atacadas.
¡Por el amor de Dios!
¿Ya no hay nada sagrado?
De todos modos, este misterioso grupo Anónimo -y ellos mismos lo asegurarían- provee un servicio al demostrar lo inútiles que son las compañías para proteger nuestros datos.
Pero también hay un aspecto muy serio de Anónimo: persiguen una ideología.
Dicen que están luchando contra una conspiración ruin.
Dicen que los gobiernos están tratando de apoderarse de Internet y de controlarla y que ellos, Anónimo, son la voz auténtica de la resistencia -sea contra las dictaduras de Medio Oriente, contra las corporaciones globales de medios, contra las agencias de inteligencia o quienquiera que sea.
Y sus políticas son un poco atractivas.
Es verdad, son un poco rudimentarias.
Hay en ellas un fuerte olor de anarquismo a medias.
Pero algo es cierto: estamos al principio de una lucha enorme por el control de Internet.
La Web lo enlaza todo y muy pronto va a mediar en casi toda la actividad humana porque Internet ha forjado un entorno nuevo y complicado para un viejo dilema que enfrenta las demandas de seguridad con el deseo de libertad.
Pero esta es una lucha muy complicada.
Y, desafortunadamente, los mortales como Uds.
y yo, probablemente no podemos entenderlo muy bien.
Sin embargo, en un ataque inesperado de arrogancia, hace un par de años, decidí que intentaría hacerlo.
Y en cierto modo lo hice.
Estas eran todas las cosas que estaba mirando al tratar de entenderlo.
Sin embargo, para tratar de explicar el asunto necesitaría otros 18 minutos, así que esta vez van a tener que confiar en mí; les aseguro que todas estas cosas tienen que ver con la seguridad informática y el control de Internet de alguna u otra manera pero en una maraña que hasta Stephen Hawking probablemente tendría dificultades al tratar de entenderla.
Así que ahí están.
Y como ven, en el medio, está nuestro viejo amigo: el hacker.
El hacker es absolutamente central para muchos de los problemas políticos, sociales y económicos que afectan la Red.
Y por eso pensé: «Bueno, estos son los chicos con los que quiero hablar».
Y,
¿qué creen ustedes?
Nadie más habla con los hackers.
Tal parece que de verdad son completamente anónimos.
Así que a pesar de que estamos empezando a inyectar miles de millones, cientos de miles de millones de dólares, en seguridad informática -para las soluciones técnicas más extraordinarias- nadie quiere hablar con estos chicos, los hackers, quienes son los que hacen todo.
En su lugar, preferimos estas soluciones tecnológicas muy deslumbrantes que cuestan gran cantidad de dinero.
Y no va nada destinado para los hackers.
Bueno, yo digo nada, pero en realidad hay una unidad de investigación muy, muy pequeña en Turín, Italia, llamada Proyecto de Perfiles de Hackers.
Y están haciendo investigaciones fantásticas de las características, las habilidades y la socialización de los hackers.
Pero dado que es una operación de N.U.
quizá por eso los gobiernos y las empresas no tienen interés en ello.
Dado que es una operación de N.U., por supuesto, carece de financiación.
Pero creo que están haciendo un trabajo muy importante.
Dado que tenemos un superávit de tecnología en la industria de la seguridad informática tenemos una clara falta de, llámenme antiguo, inteligencia humana.
Hasta ahora he mencionado a los hackers Anónimo que son un grupo de hackers con motivación política.
Claro, el sistema de justicia penal los trata como típicos criminales comunes.
Pero, curiosamente, Anónimo no usa la información hackeada para obtener ganancias.
Pero,
¿y los ciberdelincuentes de verdad?
El cibercrimen organizado real se remonta a unos 10 años atrás cuando un grupo de talentosos hackers ucranianos desarrollaron un sitio web que llevó a la industrialización del crimen informático.
Bienvenidos al ahora reino olvidado de CarderPlanet.
Esta es la forma en que se autopublicitaban en la Red hace una década.
CarderPlanet era muy interesante.
Los criminales informáticos iban allí a comprar y vender datos robados de tarjetas de crédito, para intercambiar información sobre el nuevo malware que estaba allí.
Y recuerden, este es un momento en el que veíamos por primera vez el así llamado malware comercial.
Es material que viene listo para usar, que puede implementarse incluso si uno no es un hacker muy sofisticado.
Así que CarderPlanet se volvió una especie de supermercado para criminales informáticos.
Y sus creadores fueron increíblemente inteligentes y emprendedores dado que enfrentaban un desafío enorme dada su naturaleza de cibercriminales.
Y ese desafío es:
¿Cómo hacer negocios, cómo confiar en alguien de la Red que quiere hacer negocios con uno cuando sabemos que son criminales?
(Risas)
Está en su naturaleza ser poco fiables y van a querer estafarte.
La familia, como se conocía al núcleo interno de CarderPlanet, apareció con esta idea brillante llamada «sistema de garantía».
Nombraron a un oficial como intermediario entre el vendedor y el comprador.
El vendedor, digamos, había robado datos de la tarjeta de crédito; el comprador quería conseguirlas.
El comprador le envía al oficial administrativo algunos dólares en electrónico y el vendedor enviaría los datos de la tarjeta de crédito robada.
El oficial luego verificaría si funcionaba la tarjeta robada.
Y si lo hacía luego él le pasa el dinero al vendedor y los datos de la tarjeta robada al comprador.
Y esto fue lo que revolucionó al crimen informático en la Web.
Y luego de eso, simplemente explotó.
Tuvimos una década de champán de gente que conocemos como Carders.
Yo hablé con uno de estos Carders; a quien llamaremos RedBrigade -ni siquiera era ese su apodo- pero prometí que no revelaría quién era.
Y él me explicó como en 2003 y 2004 se iba de juerga en Nueva York, sacando 10.000 dólares de un cajero automático, 30.000 dólares de otro, usando tarjetas de crédito clonadas.
Estaba haciendo, un promedio por semana de $150.000 libre de impuestos, por supuesto.
Y dijo que tenía tanto dinero escondido en su departamento de lujo que no sabía qué hacer con eso e incluso cayó en una depresión.
Pero esa es una historia un tanto diferente de la cual no voy a hablar ahora.
Lo interesante de RedBrigade es que no era un hacker avanzado.
Él medio que entendía la tecnología y se daba cuenta que la seguridad era muy importante si uno quería ser un Carder pero no pasaba día y noche encima de la computadora, comiendo pizza, bebiendo Coca, ni ese tipo de cosas.
Estaba allí en la ciudad pasándola bien, disfrutando de la buena vida.
Y esto se debe a que los hackers son solo un eslabón de la cadena del crimen informático.
Y con frecuencia son el elemento más vulnerable de todos.
Se los voy a explicar presentándoles seis personajes que conocí haciendo esta investigación.
Dimitry Golubov, alias SCRIPT, nacido en Odessa, Ucrania, en 1982.
Desarrolló su brújula moral y social en el puerto del Mar Negro durante la década del 90.
En este entorno te adaptabas o morías; participar en actividades criminales o de corrupción era algo totalmente necesario si uno quería sobrevivir.
Como usuario experto de computadoras Dimitry llevó el capitalismo mafioso de su ciudad natal a la red de redes.
E hizo un gran trabajo.
Hay que entender que desde los nueve años el único entorno que conoció fue el ambiente de pandillas.
No conocía otra forma de ganarse la vida y hacer dinero.
Después está Renukanth Subramaniam, alias JiLsi, fundador de DarkMarket, oriundo de Colombo, Sri Lanka.
A los ocho años huyó junto a sus padres de la capital de Sri Lanka porque las turbas cingalesas vagaban por la ciudad, en busca de tamiles como Renu para asesinarlos.
A los 11 años fue interrogado por el Ejército de Sri Lanka, acusado de terrorismo y sus padres lo mandaron solo a Gran Bretaña como refugiado en busca de asilo político.
A los 13 años con poco inglés y habiendo sido intimidado en la escuela se refugió en el mundo de las computadoras en el que mostró gran habilidad técnica, pero pronto fue seducido por la gente de Internet.
Fue declarado culpable de fraude hipotecario y de tarjetas de crédito y será liberado de la cárcel de Wormwood Scrubs de Londres en 2012.
Matrix001, era administrador de DarkMarket.
Nacido en el sur de Alemania en una respetable familia de clase media; su obsesión por los juegos en la adolescencia lo llevó a la piratería.
Pronto empezó a controlar servidores enormes en todo el mundo en los que guardaba los juegos que había saqueado y pirateado.
Su caída en la delincuencia fue gradual.
Y cuando por fin se dio cuenta de su situación, y entendió las consecuencias, ya estaba muy comprometido.
Max Vision, alias ICEMAN; cerebro de CardersMarket.
Oriundo de Meridian, Idaho.
Max Vision era experto en pruebas de penetración y trabajaba en Santa Clara, California, a fines de los 90 para compañías privadas y, en forma voluntaria, para el FBI.
A finales de los 90 descubrió una vulnerabilidad en todas las redes del gobierno de EE.UU., y él fue y le puso un parche -porque esto incluía las instalaciones de investigación nuclear- evitándole al gobierno estadounidense una vergüenza enorme en seguridad.
Pero como hacker empedernido que era dejó un pequeño gusano digital a través del cual sólo él podía entrar.
Pero esto fue descubierto por un investigador avezado y entonces fue condenado.
En su régimen carcelario abierto cayó en la órbita de los defraudadores financieros, y esos defraudadores financieros lo convencieron de trabajar para ellos luego de la liberación.
Y este hombre con un cerebro de escala planetaria actualmente cumple una condena de 13 años en California.
Adewale Taiwo, alias FeddyBB; ciberladrón de cuentas bancarias de Abuja, Nigeria.
Creó su grupo, de nombre poco creativo, [email protected] antes de llegar a Gran Bretaña en 2005 para hacer una maestría en ingeniería química en la Universidad de Manchester.
Impresionó en el sector privado con el desarrollo de productos químicos para la industria petrolera y al mismo tiempo manejaba un fraude bancario y de tarjetas de crédito millonario a nivel mundial hasta su arresto en 2008.
Y, por último, Cagatay Evyapan, alias Cha0; uno de los hackers más notables de la historia de Ankara, Turquía.
Él combinó las tremendas habilidades de un geek con las habilidades arrolladoras de ingeniería social de un maestro criminal.
Una de las personas más inteligentes que he conocido.
También tenía la red de seguridad virtual y privada más eficaz que la policía haya encontrado jamás entre los cibercriminales a escala mundial.
Ahora, lo importante de todas estas personas es que comparten ciertas características a pesar de provenir de ambientes muy diferentes.
Todos aprendieron de piratería al inicio y mediados de la adolescencia.
Todos ellos demostraron una capacidad avanzada las matemáticas y las ciencias.
Recuerden que cuando desarrollaron sus habilidades técnicas todavía no habían desarrollado su brújula moral.
Y la mayoría de ellos, salvo SCRIPT y Cha0, no presentaban habilidad social real en el mundo exterior; sólo en la Web.
Y la otra cosa es la alta incidencia de hackers como éstos con características consistentes con el síndrome de Asperger.
Yo he discutido esto con el profesor Simon Baron-Cohen, que es profesor de psicopatología del desarrollo en Cambridge.
Él ha hecho una labor pionera en el autismo y confirmó, también para las autoridades locales, que Gary McKinnon -que es requerido por los EE.UU.
por hackear el Pentágono- sufre de Asperger y una condición secundaria de depresión.
Y Baron-Cohen explicaba que ciertas discapacidades pueden manifestarse en el mundo de la informática y la piratería como habilidades tremendas, y que no deberíamos arrojar a la cárcel personas con tales discapacidades y habilidades porque se han descarriado socialmente o han sido engañados.
Ahora, aquí nos falta algo, porque no creo que gente como Max Vision deba estar en la cárcel.
Y permítanme ser franco al respecto.
En China, en Rusia y en muchos otros países que están desarrollando capacidades ciberofensivas, están haciendo exactamente eso.
Están reclutando piratas informáticos antes y después de que se vean involucrados en actividades de espionaje criminal e industrial; los están movilizando en nombre del Estado.
Tenemos que atraer y encontrar formas de ofrecer orientación a esta gente joven porque son una generación notable.
Y si nos atenemos, como lo hacemos en este momento, únicamente al sistema de justicia penal y a la amenaza de las penas punitivas, vamos a alimentar a un monstruo que no podremos domesticar.
Muchas gracias por escuchar.
(Aplausos)
Chris Anderson: Así que la idea a difundir es contratar hackers.
¿Cómo superar esa especie de temor de que el pirata que contratamos preserve ese gusanito digital?
MG: Creo que hasta cierto punto, uno tiene que entender que está en la naturaleza del hacker hacerlo.
Son implacables y obsesivos con lo que hacen.
Pero todas las personas con las que he hablado que han quedado fuera de la ley, todos han dicho: «Por favor, dennos una oportunidad de trabajar en la industria legítima.
Nunca supimos cómo llegar hasta allí, ni lo que estábamos haciendo.
Queremos trabajar con Uds».
Chris Anderson: Muy bien, tiene sentido.
Muchas gracias Misha.
(Aplausos)
https://www.ted.com/talks/misha_glenny_hire_the_hackers/
