Los hackers que sabían demasiado (PC&I 26)
Un hacker (ver wikipedia.org) es un experto, o aficionado, que busca defectos para mejorar la seguridad y prevenir posibles errores futuros. Pekka Himanen en su excelente libro “La ética del hacker”, propone incluso hacer extensiva esta definición a ámbitos más allá de la informática (entusiastas, autodidactas, o curiosos). A los “hackers malos” se les debe llamar “crakers”.
Así pues, -¿por qué titulo este artículo “Los hackers que sabían demasiado”? -¿Se puede “saber demasiado”?
Hay muchos ejemplos de hackers que, por haber descubierto lo que otros no querían que se supiese (o incluso porque se pensó que lo hicieron), tuvieron que pagar un precio muy elevado. El documental “Freedom Downtime” (producido por 2600) nos relata varios casos:
“Phiber Optik” (Mark Abene) fue arrestado por primera vez en 1990 (y todo su material informático confiscado) tras la caída del sistema telefónico de AT&T. Posteriormente se demostró que fue un fallo del software de la empresa, y que ningún hacker tuvo nada que ver, pero este incidente desencadenó una corriente de pánico entre las autoridades hacia los hackers.
En 1991 fue arrestado de nuevo y acusado de “manipular ordenadores y allanamiento informático en primer grado” (de lo que se declaró inocente) y de una falta de “robo de servicio por no pagar llamadas telefónicas” (de lo que se declaró culpable) por lo que fue sentenciado a 35 horas de trabajos comunitarios.
En diciembre de ese mismo año fue arrestado de nuevo (en plena paranoia de las autoridades por el caso AT&T, que tuvo como consecuencia multitud de redadas e investigaciones como las operaciones “Sundevil” y “Crackdown Redux”), y fue acusado en julio de 1992 de 11 delitos. Se declaró inocente de 9 de ellos, y culpable de 2 (“conspiración y acceso no autorizado a computadoras de interés federal”). “Conspiración” se definió como darle a un amigo información de cómo desviar una llamada y acceder a la página de Educational Broadcasting Company y dejarles un mensaje. “Acceso no autorizado a computadoras de interés federal” se definió como acceso no autorizado a los ordenadores de Southwestern Bell, causando 370.000$ en daños. Responsables de la propia Southwestern Bell reconocen en el documental que no se causó daño alguno. Por ello la fiscalía pidió 50 años de cárcel y dos millones y medio de dólares de multa. Fue sentenciado (pese a no haber pruebas y ser un menor) a un año y un día de prisión, 3 años de libertad condicional, y 600 horas de trabajo comunitario. El propio juez reconoció que se trataba de una sentencia “para dar ejemplo”. Salió de prisión en noviembre de 1994.
“Bernie S.” (Edward Cummings) fue acusado de poseer un marcador de teléfono modificado (caja roja) y un ordenador con software para modificar un teléfono móvil. Por ello fue a la cárcel desde el 14/3/95 hasta el 13/10/95. Salió en libertad condicional.
El 12/1/96, en la vista oral de su libertad condicional, se le acusó de “manipular pruebas” (por quitar las pilas a un marcador de teléfono, cosa que en realidad hizo un amigo que iba con él). Además el agente del Servicio Secreto Tom Varney le dijo al juez que consideraba a Bernie S. un gran riesgo para la sociedad, ya que en su casa habían encontrado libros como el “Anarchist Cookbook”, un listado de frecuencias y códigos del Servicio Secreto disponibles libremente en Internet y una sustancia que parecía explosivo C4 (aunque reconoció que en realidad sólo era material de dentistas para hacer empastes). Por ello el juez lo envió a prisión hasta el 13/9/96, y le impuso una fianza de 250.000$ (ese mismo juez, ese mismo día, impuso una fianza de 50.000$ a una persona reincidente que atropelló y mató a otra mientras conducía ebrio). Durante el tiempo en prisión (pasó por varias, la mayoría de máxima seguridad) fue apaleado por otro prisionero, le negaron analgésicos y medicación, lo encerraron en una celda de aislamiento la mayor parte del tiempo… Todo oficialmente por quitar una pila a un marcador de teléfonos.
En realidad, como relata él mismo en el documental, la verdadera razón de esta campaña de difamación y abuso a la que ha sido sometido fue que publicó en su web las fotos de dos agentes del servicio secreto registrando su despacho, uno de ellos metiéndose el dedo en la nariz. Ese agente era Tom Varney.
Kevin Mitnik (quien nos enseñó a muchos lo que es la ingeniería social) estuvo 5 años en prisión por, supuestamente, haber accedido a ordenadores de empresas norteamericanas y haber causado millones de dólares en daños (daños que nadie fue capaz de probar, pero no fue necesario: el juez estaba tan presionado, y asustado, como reconoció posteriormente, que hasta le prohibió acercarse a un teléfono público). Kevin sólo quería aprender cómo funcionaban dichos sistemas.
Pero hay quien ha pagado un precio aun mayor por acceder a un conocimiento que “no debía” (-¿no debería ser todo el conocimiento susceptible de ser accedido y compartido, mientras no se trate de datos personales?).
Boris Floricic (“Tron”), era un alemán que lo sabía todo sobre códigos de tarjetas de crédito y telefónicas, y que inventó un teléfono encriptado que superaba las medidas de vigilancia de las redes policiales y de espionaje internacionales (como Echelon). El 17 de octubre de 1998 su familia denunció su desaparición. La policía no empezó a buscarlo hasta después de ponerle una denuncia por fraude informático, para poder así requisar su portátil y archivos. Apareció muerto 8 días después (además, no pudo estar colgado “suicidado” 8 días en un parque público sin que nadie le viese). Entre sus pertenencias encontraron una carta de NDS (la empresa de Peter Murdoch -propietario de News Corporation- que hace las tarjetas de los terminales de televisión satélite digital). Canal Plus acusó a NDS de intentar crackear, con la ayuda de “Tron”, Nagra (la smart card del grupo suizo Kudelski) para que EchoStar cambiara de proveedor de smart cards por la falta de seguridad. Nunca llegaremos a saber qué es lo que tramaban. Pero sí lo que había detrás de todo ello: mucho dinero y poder.
Hay muchos más casos de hackers encarcelados injustamente, o asesinados. A algunos de ellos los conocí personalmente (online) y sé que eran todos personas interesadas en aprender, no en hacer el mal a nadie. -¿Por qué fueron a por ellos? Porque sabían demasiado, y sobretodo porque en su paranoia no se lo contaron a nadie.
Así que el mejor consejo que se le puede dar a un hacker que trabaja sobre algo interesante pero potencialmente peligroso (como las emisoras de radio que desde hace décadas emiten una serie de números recitados por una persona; los informes de la empresa que fabrica las máquinas de voto electrónico de EEUU y que demuestran que son muy fáciles de manipular; cómo romper el algoritmo de encriptación SHA0; los planes del Pentágono de invadir la triple frontera Argentina/Brasil/Paraguay tras el 11-S, o los contratos que se otorgaron a Haliburton para repartirse el petróleo de Iraq mucho antes de invadirse aquel país e incluso antes del 11-S, o sus informes secretos sobre torturas a prisioneros militares; o cómo acceder a cámaras de seguridad y otros dispositivos “seguros” a través de Google) es que difunda esa información lo más amplia y rápidamente posible. Así, además de asegurarse de no ser el único que lo sabe “y no debería”, nos ayudarán a todos a comprender mejor este mundo en el que vivimos, y de paso a hacerlo más seguro, pudiendo corregir los fallos de seguridad que nos rodean y que son la verdadera amenaza.