Sin dudas, la serie Mindhunter, es la que mejor plasma la obsesión que tenemos los perfiladores criminales por entender quién, por qué y para qué. Quizás compartimos con los médicos u otras profesiones esa pulsión de conocer para entender. Ahora imagine esa curiosidad llevada a comprender cómo funcionan las máquinas, por ejemplo un semáforo o una alarma de auto, cómo se puede acceder para encenderlos, apagarlos, modificarlos o mejorarlos, con métodos no tradicionales.
La conducta de hackeo resulta atractiva porque quien lo ejecuta pareciera cabalgar en dos realidades distintas: la real y la virtual. El hacker es sobre todo, un gran curioso en la búsqueda de desafíos constantes, con habilidades específicas y a veces con una inteligencia superior a la media. Es una actividad con bases sociales e identidad colectiva, en ocasiones basada en el anonimato. Muchos se conocen virtualmente por sus seudónimos, pero no personalmente. La comunidad horizontal de las agrupaciones hackers sustituyen los lazos verticales del mundo real.
Seguridad. El hacker contribuye a la seguridad de los sistemas, su labor también se orienta a encontrar las fallas de seguridad y reportarlas, incluso colaboran en investigaciones criminales para cazar a productores de pornografía infantil o craquean, rompen páginas web que distribuye ese material.
Su generosidad es para con los futuros usuarios y la sociedad, porque con sus hazañas e irrupciones permiten mejorar la seguridad informática. En realidad, son el único test sólido para comprobar vulnerabilidades. Muchas empresas contratan hackers y exponen sus productos para que ellos los “rompan” y digan cómo lo hicieron: la idea es mejorar, es el progreso.
Al igual que en perfilación criminal, en el caso de los ha-ckers no importa la apariencia o los logros académicos que ostenten, son las habilidades y los resultados positivos los que dicen más que las palabras. Steve Jobs y Bill Gates, comenzaron siendo hackers e innovaron, logrando crear grandes imperios informáticos.
La ética del hacker y el espíritu en la era de la información, fue ampliamente descripta por el programador y doctor en filosofía finlandés Pekka Himanen. También existe Hackstory.es, iniciativa de Mercé Molist, que plasma toda la historia de esta actividad en la Península Ibérica. En el país con un enfoque metodológico para profesionales, lo hicieron Sallis, Caracciolo & Rodríguez con el libro Ethical Hacking.
Nuevas tecnologías. El ciberdelito responde al continuo desarrollo y la dinámica de las nuevas tecnologías. Está emparentado con los delitos de cuello blanco, cometidos por personas que poseen o aparentan determinado estatus y atacan la economía, se caracterizan por el abuso de confianza y la ausencia de violencia al principio.
En la década del 80, los delitos informáticos apuntaban a inutilizar la información de las computadoras o redes telefónicas y así lograban que algunos teléfonos públicos pudieran hacer llamadas urbanas e interurbanas sin costo. Probablemente los movía el afán de rebelión hacia las grandes empresas corporativas.
En los siguientes diez años, además de la inutilización de la información aparecieron los manifiestos. El hacker dejaba un mensaje y se daba a conocer con su seudónimo a nivel internacional y ganaba prestigio en el bajo fondo virtual. Uno emblemático fue el de The Mentor, que transmitía su sensación de incomprensión y rebeldía con el fin de buscar reivindicación y el reconocimiento, al igual que los manifiestos del Zodíaco, Jack “El Destripador” y Ted Kaczynski (Unabomber) con “La Sociedad Industrial y su futuro”.
Desde el 2000, el hackeo se asocia erróneamente a diversos delitos como el robo y venta de información confidencial al mejor postor. En este estadío, se aprovecha la vulnerabilidad de determinados sistemas y se conforma una especie de crimen organizado.
Aparecen los ataques a estructuras críticas de la seguridad nacional, bancos u objetivos como universidades, colegios, aplicaciones de software, robo de credenciales para a-cceder a servicios económicos y financieros como en el caso Carbanak, una campaña APT (Ataque Persistente Dirigido) descubierta por la compañía Kaspersky Lab.
En esa campaña, ciberdelincuentes de diversos lugares del mundo infectaron con malware a través de mails, las computadoras de empleados de más de cien bancos de treinta países, y llegaron a controlar transferencias de dinero y cajeros automáticos. Desde un lugar de Europa se hacía una transferencia internacional por computadora y, al momento, un cómplice retiraba ese dinero en un cajero automático de Asia sin siquiera apretar una tecla. También manipularon los saldos manualmente, de manera que al momento de hacer la transferencia, la cuenta de origen no reflejara ninguna diferencia de dinero con lo que tenía originalmente, así tuviera miles de millones de dólares.
Finalmente el cerebro de esto fue atrapado en Alicante, España y se lo llamó el “Robin Hood moderno”.
Antídotos. Los ciberdelincuentes también se crean y envían virus dañinos a la comunidad virtual luego de haber creado “el antídoto” para los mismos, que se venderá como producto salvador de última tecnología. Un ciberataque apoteósico fue Wannacry, que infectó computadoras domésticas, secuestró sus datos, exigió un pedido de rescate para devolverlos y habría sido llevado a cabo por el Grupo Lázarus.
Estos y otros ciberdelitos serán analizados en las X Jornadas Nacionales sobre Imagen, Comunicación y Redes Sociales el 11 de septiembre en la facultad de Derecho de la Universidad de Buenos Aires.
*Diplomada en Criminología, Criminalística y DDHH. Especializada en Técnica de Perfilación Criminal.
Cajeros que “escupen” dinero
En 1983 se estrenó la película Juegos de Guerra, en la que David Lightman, un joven talentoso con las computadoras, lograba infiltrarse en los sistemas informáticos y alterar sus calificaciones en el colegio, emitir boletos de avión, realizar llamadas sin costos y hasta ingresar en un juego gestionado por la Agencia Nacional de Seguridad que simulaba guerras termonucleares. Como en esa época no se hablaba mucho de computadoras, la mayor parte del público podía pensar que todas esas posibilidades eran pura ciencia ficción… Sin embargo, para muchos otros se habilitó un universo enorme en donde ya no volveríamos a ver estos dispositivos del mismo modo.
Con el pasar de los años la realidad superó la ficción y la infiltración a sistemas educativos, aerolíneas, telecomunicaciones y todo tipo de organizaciones se volvieron más y más frecuentes día tras día, implicando la necesidad de convertirse en tema en agenda para todas las organizaciones a nivel mundial.
Actualmente, los sistemas informáticos operan en todo el mundo, asegurando nuestra información financiera, protegiendo nuestra privacidad e inclusive manteniendo nuestra red eléctrica. Entonces, a medida que los ataques informáticos y las filtraciones de datos crecen, las organizaciones están obligadas a preguntarse cómo defender la información de forma eficaz.
La realidad es que los ciberdelincuentes cada vez se hacen más fuertes: dejaron de ser personas independientes y se convirtieron en grupos organizados, donde poco a poco fueron transformando su blanco de ataque. Ya no dirigen sus ataques a usuarios finales (comúnmente, llamados “el eslabón débil de la seguridad”) sino a entidades mucho más grandes y complejas, como bancos o redes, entre otros.
Hace pocos días, el FBI alertó a entidades financieras sobre una creciente modalidad de robo a través de una técnica denominada “Jackpotting”. Esta técnica es operada en cajeros automáticos (ATM) y no requiere de la fuerza ni de la violencia, sino que se activa ejecutando un código malicioso (Malware) dentro del equipo con el objetivo de vaciar o expulsar todo el dinero disponible.
Los cajeros automáticos poseen diferentes formas de ser gestionados y uno de ellos es mediante USB, donde es posible conectar un teclado o insertar un software que actúa en función de aquello que los atacantes deseen y programen.
El FBI cree que estas organizaciones pueden atacar a instituciones financieras (bancos y procesadores de pago), y obtener datos de las tarjetas individuales con el fin de clonarlas para que puedan ser utilizadas en los cajeros automáticos de la misma forma que su versión original. Ya se conocen varios casos similares como el del The National Bank of Blacksburg que, a través de un ciberataque, en 2016, perdió más de dos millones de dólares.
En 2010, el neocelandés Barnaby Jack presentó en la Ekoparty, la conferencia de seguridad informática que se realiza anualmente en Buenos Aires, una técnica que permite hacer escupir dinero a un cajero automático. En el escenario del Centro Cultural Konex mostró, en tiempo real, cómo vaciaba un cajero ubicado en la ciudad de Los Angeles.
Es importante comprender que en Argentina existe una enorme falta de conciencia acerca de estas problemáticas porque, si bien el Banco Central exige controles que promueven la protección de los activos informáticos, no incluye o no trata ciertos temas de manera más exhaustiva. Por otro lado, es interesante destacar que la responsabilidad de la operación de cajeros automáticos está compartida entre el banco y los fabricantes del dispositivo, creando una línea muy delgada y difusa al momento de tomar ciertas decisiones.
*Martin Tartarelli. Chief Operating Officer - Faraday Security Research.