Qui vol ser un ‘hacker’?
A internet cada cop és més fàcil trobar eines que ajuden a fer ‘hacking’ informàtic. Però, per als interessats, tres advertències: no és un gran negoci, als amateurs els enxampen de seguida i les penes són altes
El corrent social del fes-t’ho tu mateix a casa també ha arribat al món de la seguretat informàtica i el hacking. A internet es poden comprar i utilitzar conjunts d’eines informàtiques per atacar mòbils o ordinadors de sobretaula com si fos un servei més dels que es poden contractar legalment a través de la xarxa. Fins i tot hi ha emprenedors que venen els paquets per convertir-te en un pirata informàtic casolà que t’ofereixen, com a valor afegit, assistència a través de xat per si de cas no te’n surts prou bé. Quins recursos es poden trobar en línia per ser aprenent de hacker? Quant costen i quins perills impliquen? Quines lleis s’infringeixen si es duen finalment a terme els atacs per als quals s’han dissenyat aquestes eines?
Durant els anys vuitanta i noranta, els hackers, tant els de barret blanc, els considerats bons, com els de barret negre, els considerats dolents, solien ser persones aïllades que treballaven gairebé en la intimitat. En les últimes dues dècades, el negoci de la delinqüència informàtica s’ha professionalitzat i s’ha transformat en grans empreses, modernes i organitzades. Com ara les establertes a Râmnicu Vâlcea, considerada la capital del cibercrim mundial. La nova configuració del mercat ha obert la porta a la possibilitat que qualsevol usuari no especialitzat pugui comprar les eines en línia per fer-se aprenent d’expert en seguretat. A les xarxes pot trobar tot el que necessita. “Hem notat un augment en la demanda d’eines de particulars i és un mercat molt gran, molt mediatitzat per la cobdícia”, explica Gareth Davies, administrador de la pàgina Darknet.org.uk, un dels fòrums més grans d’intercanvi i venda d’eines de hacking. Aquesta cobdícia de què parla Davies té, entre altres orígens, les freqüents informacions sobre les operacions d’atacs informàtics a gran escala. “La gent veu les xifres de negoci a les notícies sobre robatoris informàtics fets pels dolents, amb campanyes de phishing, manipulació de bitcoins en ordinadors aliens o usant programari per segrestar ordinadors, i també vol fer-ho”, assegura Davies.
‘Kits’ a partir de 39 euros
Segrestos massius d’ordinadors com els dels virus WannaCry i Petya de principis de l’estiu passat tenen el poder d’atraure cap al cantó fosc molts particulars que veuen fàcil imitar-ho. Quan s’adonen de la gran oferta de programes i la facilitat per adquirir-los, l’avarícia fa la resta. Tamara Hueso, analista sènior de seguretat a la consultora Deloitte, reconeix que “avui saber-ho tot sobre hacking és a l’abast de qualsevol persona”. A partir de 39 euros es poden comprar aquests programes, anomenats RaaS ( ransomware as a service ), que permeten fer atacs semblants als que va patir Disney i que va acabar amb l’última entrega de Pirates del Carib filtrada a internet abans de l’estrena.
L’empresa de seguretat Sophos ha fet una investigació en el mercat online d’aquestes eines i ha trobat que l’oferta és aclaparadora. Un dels exemples és el RaaS Philadelphia, creat per l’empresa Rainmakers Labs i que, per 389 euros, permet segrestar arxius i personalitzar les funcions segons l’objectiu. A més, s’ofereix amb assistència tècnica i un tutorial en forma de vídeo penjat a YouTube. Un altre dels programes més sofisticats que es pot comprar és Frozr Locker, que ofereix un suport tècnic online que permet als clients resoldre dubtes o personalitzar el tipus de virus a l’hora de fer els atacs. Més curiós encara és el model de negoci del RaaS Satan. S’entrega gratuïtament però quan es fa servir i se segresta la informació de la víctima, els venedors del programa es queden el 30% del pagament del rescat en bitcoins.
Beneficis minsos
La idea que projecta en la ment de molts hackers casolans el relat de les grans campanyes mundials d’atacs informàtics és, però, més falsa que real. “Fins i tot els actors més grans d’aquest univers obtenen beneficis molt minsos”, adverteix Gareth Davies. Però l’enrenou mediàtic genera un mercat secundari massiu per a aquesta mena de programari maliciós, “que fa que molts programadors es facin rics venent aquest tipus d’aplis de hacking ”, descriu Davies. Tamara Hueso ho confirma: “Després de l’atac massiu del ransomware Wannacry, aquestes eines s’han fet populars a causa de l’ampli ressò mediàtic: feia més d’un mes que estaven publicades abans de l’atac i ben poca gent era conscient que existien”.
Comprar aquesta mena d’eines és fàcil però utilitzar-les adequadament no ho és tant. Juan Carlos Ruiloba, investigador tecnològic i pèrit informàtic, excap de la secció informàtica a Barcelona de la Policia Nacional, adverteix dels perills de fer-se aprenent de bruixot en aquest camp. “Tenir accés a eines no et converteix en hacker sinó en lamer (que es podria traduir com a llest aprofitat ), que són víctimes fàcils per ser detectats i saber-ne la identitat”. I les penes per a aquesta mena de delictes no són petites. Segons l’article 197 del Codi Penal, van dels sis mesos als dos anys i mig de presó per a accions com ara intrusions en sistemes informàtics aliens sense autorització, robatori de contrasenyes i intercepció d’informació a través de mitjans digitals.
Assistència tècnica personalitzada
Un altre exemple del funcionament empresarial d’aquest sector és una apli distribuïda a través de fòrums xinesos i que permet fabricar programari per segrestar telèfons Android i demanar un rescat per alliberar-los. Tècnicament s’anomena TDK ( kit de desenvolupament de troians) i crea programes semblants a l’Android.Lockdroid.E, que encripta les dades del telèfon i demana un rescat per recuperar-les. L’apli presenta una interfície molt fàcil d’utilitzar, en què es pot personalitzar des del tipus de segrest del telèfon infectat fins al missatge que la víctima rebrà per saber que ja no controla l’aparell. No cal saber escriure ni una línia de codi, només cal seguir unes instruccions senzilles per tenir el virus personalitzat en pocs minuts. El venedor també ofereix assistència tècnica en línia per ajustar els detalls del virus que es vol crear.
Més oferta, més demanda
Potser la proliferació d’oferta també activa la demanda. No cal endinsar-se en la web profunda per contractar delinqüència informàtica. A la internet de superfície n’hi ha tanta com es vulgui. Als fòrums més especialitzats és fàcil trobar, per exemple, exèrcits d’ordinadors zombis preparats per atacar en massa servidors de grans empreses o corporacions públiques. Els preus varien molt, però des de cinc-cents dòlars ja se’n poden llogar. Tamara Hueso reconeix que a la xarxa “es pot comprar tant el programari maliciós com la feina d’un hacker, sigui blackhat o whitehat ”. La diferència entre aquests dos conceptes és important. Els whitehats (barrets blancs) són experts en seguretat informàtica que descobreixen errades de seguretat amb la intenció d’informar-ne els propietaris dels sistemes i facilitar-los una solució. Els blackhats (barrets negres) descobreixen aquestes vulnerabilitats i se n’aprofiten, demanant diners per no atacar els sistemes on han detectat l’errada.
Les fallades de seguretat en els sistemes informàtics són habituals i els particulars sovint tenen oportunitats de guanyar diners detectant-les. Les mateixes empreses ofereixen recompenses per descobrir-les i comunicar-les. Tamara Hueso veu aquest comerç com a molt positiu perquè és una manera de fer els sistemes més forts i segurs. “Els particulars poden participar en BugBounties, competicions públiques per detectar errades de seguretat a canvi de recompenses”, explica Hueso. Esclar que si l’errada que trobes és molt gran, el preu que te’n poden pagar al mercat negre serà molt més gran que el que et pagarà la mateixa empresa que té la vulnerabilitat. Gareth Davies explica que “el preu es dispara quan es tracta d’eines especialitzades del tipus Zero-day (és a dir, una vulnerabilitat encara no solucionada) per a navegadors, sistemes Windows o Mac i mòbils com ara iOS i Android”.
L’ètica com a límit
Amb els estris que qualsevol pot trobar als fòrums especialitzats de seguretat informàtica, el que es pot arribar a fer gairebé no té límits. “Una persona que estigui connectada a internet podria dur a terme qualsevol acció des de casa seva, l’oficina i, fins i tot, des de llocs públics com ara un cibercafè o un aeroport”, reconeix Hueso. ¿Tothom es pot convertir en un hacker a casa seva? Per a Juan Carlos Ruiloba “és com seguir una recepta de cuina, tot depèn del manual i de l’habilitat per entendre els passos de la recepta per fer un ciberatac”. Però si no se sap amb exactitud què s’està fent, pot ser perillós per al mateix aprenent de hacker. No és el mateix una organització criminal que adopta contramesures d’ofuscació i antianàlisi per evitar ser atrapada “que un particular que compra un RaaS i que serà fàcilment descobert pels blue hackers de les forces de seguretat”, adverteix Ruiloba.
Gareth Davies té clar que “és relativament senzill convertir-se en un aprenent de hacker ”. “Però si parlem d’un coneixement real sobre seguretat informàtica o creació de programes de penetració a través d’escletxes de seguretat t’has d’endinsar més en el mercat negre”.
Tendències ‘hacker’
Sigui com sigui, també en aquest mercat d’aprenents de delinqüents informàtics hi ha modes. Davies, que veu cada dia el comerç d’aquesta mena d’eines a la seva web, explica que “el que més es porta són eines relacionades amb els bitcoins o ethereum”, que són les monedes virtuals més populars a la xarxa. “Es poden trobar petits programes que es dediquen a camuflar-se en el trànsit de les grans webs d’internet per detectar transaccions entre els navegadors dels usuaris, com ara els pagaments de segrestos fets amb aquesta moneda”. La tendència més clara a internet per a particulars se centra en els telèfons mòbils. Tot i això, Davis dubta que aquesta mena d’eines s’arribin a popularitzar perquè “ara mateix encara no és gaire rendible infectar telèfons mòbils més enllà de fer-ho per aconseguir dades a l’engròs”.
El que deixa clar aquest nou panorama del que es podria anomenar “ hackers d’estar per casa” és que a poc a poc es va prenent consciència de la importància d’adoptar mesures per protegir els nostres sistemes informàtics. “En els últims anys ha quedat clar que ningú està segur al 100% i que les conseqüències d’atacs cibernètics poden ser físiques i catastròfiques”, opina Tamara Hueso. És per això que cal protegir-se, demanant l’ajuda de professionals que assegurin els nostres sistemes.