|
�Cu�nto puede tardar un desconocido en acceder a
las claves bancarias, los correos personales,
los documentos de trabajo y los movimientos
registrados de una persona? una computadora
hogare�a conectada a internet es atacada un
promedio de 50 veces cada noche por virus,
hackers y programas maliciosos
que circulan por la red, y que pueden otorgar a
otro el acceso total a la PC y sus contenidos.
Especialistas en seguridad inform�tica y en
sistemas hablan sobre el estado de situaci�n y
el desconocimiento de los usuarios. La historia
del primer hacker entrerriano. La carrera
fren�tica de la tecnolog�a. Cr�nicas de un
futuro que lleg� hace tiempo.
�Podemos empezar con una historia rom�ntica?
Despu�s, como suele suceder, la cosa se pone
fea. Marzo de 1983, en una dependencia de la
Polic�a Federal:
un entrerriano de 24 a�os espera instrucciones
para iniciar su demostraci�n.
"�ad�nde quieren viajar?", pregunta. "a
cualquier lado, pibe, no te hag�s el vivo". El
interrogado entonces toma el t�lex (antepasado
del fax) y procede:
cuatro pasajes para Europa, como para que los
dos comisarios puedan llevar a sus mujeres al
viejo continente por una empresa decente. La
confirmaci�n llega en menos de un minuto. "Ya
pueden pasar a buscar los tickets por la
sucursal de Lufthansa", anuncia. Los polic�as se
miran. No entienden nada, pero hay que
verificar. Y cuando les dan los pasajes,
entienden menos que nada. �D�nde est� el delito?
�Se lo puede acusar de brujer�a?
La leyenda dice que la Divisi�n Computaci�n
-Delitos Inform�ticos- de la Polic�a Federal
argentina se cre� en 1946, pero que intervino
por primera vez en un caso cuando apareci� Yuyo
barrag�n. Ra�l Horacio Yuyo barrag�n,
considerado por muchos como el primer hacker de
argentina, naci� en el seno
de una familia modelo de Concepci�n del Uruguay.
En 1978, a los 21 a�os, trabajaba como gerente
de la sucursal Concordia de aerol�neas
argentinas cuando descubri� que la terminal de
t�lex que usaban para las ventas -conectada en
forma directa por cable coaxil a Santa Fe-
serv�a para mucho
m�s que para hacer su trabajo. Un d�a le lleg�
un pedido de varios pasajes
juntos: los tickets deb�an ser entregados en
Londres, ten�an como destino
buenos aires y deb�an ser pagados en Concordia,
pero la comunicaci�n con la
sede principal de aerol�neas, en capital
Federal, estaba cortada. barrag�n,
que cobraba comisi�n y no quer�a perder la
venta, decidi� probar sus
habilidades con el t�lex, y salte� la conexi�n
local. busc� en las gu�as de
tr�fico a�reo los c�digos y claves que
necesitaba, se comunic� con el
Sistema Internacional de Comunicaciones
aeron�uticas (SITa), hizo la reserva
con los datos de aerol�neas, y a los pocos
minutos tuvo la confirmaci�n. Ese
d�a no perdi� la venta de los pasajes, pero
posiblemente ya no le importaba:
hab�a descubierto la puerta de entrada al
sistema. Desde entonces, y m�s
despu�s de su despido (en 1979), barrag�n se
dedic� a explotar y vivir del
r�dito de sus habilidades. Comenz� a generar
pasajes -a trav�s de aerol�neas
primero, y por otras empresas despu�s- para
venderlos a mitad de precio.
Lo descubrieron por primera vez en 1982, cuando
pidi� un pasaje de Rosario a
Tel aviv por KLM, y huy� a brasil. La historia
que sigue es larga, y est�
plagada de leyendas incre�bles. Su primera
detenci�n en argentina fue la de
1983, por causa de un R�lex que hab�a recibido
como pago y que llev� a
reparar: no pudo justificarlo con una factura y,
acosado por la Polic�a,
tuvo que demostrar c�mo se ganaba la vida. as�
lo hizo, como se relata al
inicio, pero no fue esa la causa que lo llev� a
la Unidad 16 de la c�rcel de
caseros en abril de 1994, a partir de un pedido
que ofici� el juez Juan Jos�
Galeano. El magistrado solicit� para Yuyo
prisi�n preventiva cuando
investigaba un caso que involucraba a los
integrantes del grupo Los Pericos:
"Ellos hicieron en el 93 una gira por am�rica:
viajaron de ac� a caracas, a
Miami, a Chile y el regreso. En caracas
descubrieron que los pasajes que
usaban eran robados y se inici� una causa. El
representante de ellos dice
que yo le vend� los pasajes, y ac� estoy", les
explic� el mismo barrag�n a
los periodistas Raquel Roberti y Fernando
bonsembiante durante su arresto en
caseros. En la causa en la que Galeano reconoci�
su modus operandi, Yuyo
nunca reneg� de las habilidades que pose�a;
simplemente, insisti� con un
argumento de fuerza: �l no necesitaba revender
pasajes robados, porque no
val�a el riesgo. Estaba claro que le conven�a
m�s seguir su m�todo
tradicional de conseguir pasajes nuevos y
venderlos. Pablo andr�s Urbano
Hortal, entonces representante de Los Pericos,
identific� a barrag�n en la
rueda de reconocimiento como la persona que le
hab�a vendido los pasajes.
Sin embargo, otro miembro del grupo que estuvo
en el momento de concretar la
operaci�n, no pudo reconocerlo.
Que el disco que editaron Los Pericos en 1993
-el a�o que los agarraron con
los pasajes truchos en caracas-, se haya llamado
big Yuyo, puede que haya
sido una infeliz coincidencia. Lo que no se
puede dudar, es que a Yuyo sus
colegas lo consideran un grande: "Lo que hizo es
reloco. �Desde argentonia,
cuando ni se hablaba del magiclick! Es un
pionero. Y es m�s valioso porque
no hay registro de que otra persona haya hecho
por entonces algo parecido en
ning�n lugar del mundo; a lo mejor ser �nico lo
puso en esta situaci�n tan
dif�cil. Pero sobre todo, lo que hay que
rescatar es el hacking: �l pudo
hackear un sistema sin nada", dec�a El Chacal
-otro veterano del hacking
argentino- a los autores del libro Llaneros
solitarios. Hackers, la
guerrilla inform�tica. "El peligro -advert�a El
Chacal- es que lograrlo te
hace sentir poderoso, y el poder es adictivo."
Ya no es tan divertido
"Cuando hice mi tesis no exist�a esta p�gina",
me dice Gustavo Mart�nez,
licenciado en Comunicaci�n Social, y me extiende
un papelito:
www.globinfo.com.ar. "Hoy, en esa p�gina, por 15
pesos consegu�s los datos
de cualquier persona del pa�s. Cuando hice el
trabajo el acceso era m�s
dif�cil: todo eso no exist�a". afuera, el fr�o
recrudece con el atardecer.
adentro del bar el ruido es considerable, pero
eso no impide que nuestra
mesa, desde el inicio de la charla, quede
sumergida en una burbuja. "Uno de
los esfuerzos de mi trabajo fue intentar
contarle a los otros, como dice
Woody allen, que �yo ser� paranoico pero eso no
quiere decir que la gente no
me persiga�. En ese momento (2001/2002), todo el
anecdotario de mi tesis
giraba alrededor de casos del extranjero. Es
decir: casos que reflejaban el
manejo y el abuso del poder a trav�s de,
digamos, la posesi�n de datos
referentes a las personas. ac� hab�a pocos
casos. Y no volv� a abrir mucho
la tesis. Pero a m� lo que me preocupaba era
este tema: qu� poder tiene
aqu�l que sabe de m�, y yo ni siquiera s� que
sabe", me dice. Las paredes de
la burbuja se agitan. Es el feliz encuentro
entre dos paranoicos.
Globinfo argentina: "El informe de datos
personales m�s completo de la
argentina", anuncian. all�, por el m�dico precio
de 5 d�lares, uno puede
pedir un informe sobre el domicilio, los
tel�fonos, el "posible estado
civil", los "posibles familiares y vecinos", la
profesi�n u ocupaci�n, las
obras sociales, los cheques rechazados, los
juicios comerciales en capital
Federal, "y probablemente, mucho m�s!" sobre
cualquier persona en argentina.
Por supuesto, all� tambi�n se ofrece trabajo
para quien tenga la vocaci�n
necesaria: ".Nuestros reportes no son generados
autom�ticamente por una base
de datos o un programa de computaci�n, sino que
son producidos personalmente
por investigadores freelance. cada informe es
una investigaci�n artesanal,
que aunque se realiza en un tiempo acotado,
refleja la capacidad y sagacidad
del investigador, a la vez que el manejo
apropiado de las fuentes y
recursos".
"Creo que la mayor�a de los ataques inform�ticos
buscan informaci�n, porque
la informaci�n se comercia. La segunda raz�n
puede ser la b�squeda de una
recompensa econ�mica directa. Obtener un
beneficio econ�mico inmediato. No
vendiendo la informaci�n sino a trav�s del
acceso a una tarjeta de cr�dito
para comprar, o a trav�s del env�o de SPaM
(correo basura) para lograr una
venta o una comisi�n por una venta, o quiz� el
trabajo del tipo es hacer
publicidad a trav�s del SPaM", me dir� ese d�a a
la siesta, en la redacci�n
de UNO, Pablo Gietz, responsable de seguridad
inform�tica del banco de Entre
R�os. "Si vos tom�s una PC hogare�a normal
conectada a Internet, los ataques
son permanentes. Est� cronometrado el tiempo que
tarda una PC Windows sin
medidas de seguridad conectada a Internet en
caerse o en ser tomada por
control remoto; lo mismo para los virus. Eso es
permanente e inevitable. Que
pase o no pase depende de la habilidad que uno
tenga para poderlo filtrar.
En una PC hogare�a sin medidas de seguridad,
entran. Y una vez que entraron
ven si esa m�quina les sirve, si la informaci�n
les sirve, si pueden desde
ah� montar un ataque y hacer triangulaciones, y
est�n usando la m�quina de
una escuela, por ejemplo, pero el tipo la est�
operando en alemania."
a fines de 2006, la bbC decidi� hacer una
investigaci�n sobre la
vulnerabilidad de las PC hogare�as utilizando
una computadora "trampa": se
trataba de una m�quina que parec�a normal cuando
navegaba online, pero que
registraba todo lo que ocurr�a para descubrir
los peligros a los que se
enfrentaban los usuarios de Internet. "Los
resultados -se�alaba la
investigaci�n- fueron reveladores: en una sola
noche de acci�n especialmente
maliciosa, el PC fue atacado 53 veces,
incluyendo un intento de secuestro
que la habr�a convertido en una computadora
�zombie� a disposici�n de un
hacker, que la habr�a usado para cometer actos
delictivos sin conocimiento
del usuario. Tambi�n ocurrieron 11 incursiones
del virus �blaster� que
inhabilita la computadora en caso de �xito junto
a otras tres del virus
�Slammer� que destruye los PC y provoca que se
reinicien continuamente.".
Por lo general, se�ala Daniel benmelej,
inform�tico que se desempe�a en la
parte de gerencia de sistemas de Sidecreer, "el
com�n de la gente tampoco
conoce los riesgos a los que se enfrenta cuando
elige sus claves de acceso
en cosas muy comunes como en un cajero de banco.
Muchas veces utiliza
c�digos f�ciles de probar por terceras partes
para intentar entrar: fechas
de nacimientos o n�meros de documentos, nombres
de mascotas. Y en el caso de
algunos aplicativos a los que se puede acceder a
trav�s de internet, como es
el caso del Home banking, es muy com�n tambi�n
que la gente utilice claves
que son f�ciles de recordar. Esas claves que uno
recuerda con facilidad
pueden ser tambi�n razonadas o analizadas
f�cilmente por otras personas".
Roberto Miguel �lvarez arig�s, analista superior
de sistemas y colega
inform�tico de benmelej en Sidecreer, cierra el
c�rculo: "Sin darnos cuenta,
sobre todo a partir de la nueva apertura de
Internet, dejamos rastros y
huellas en cada lugar que visitamos. Por ah�,
uno no se da cuenta ni es
consciente al momento de hacerlo, sobre todo el
usuario com�n, pero es
utilizado por grandes empresas como medio para
recabar informaci�n, gustos
personales y todo tipo de datos que son
recopilados por empresas de internet. Esta informaci�n en teor�a es privada.
Los mismos sitios
establecen pol�ticas de privacidad, pero en
ciertos casos se cumple esto y
en otros no. Y en otros sitios, la informaci�n
de, por ejemplo, el tipo de
contrase�a escogida por determinados usuarios
que ingresan a otros sitios,
es vendida, y hay todo un mercado negro sobre
esto. Cuando alguien navega
por Internet y se da de alta en alg�n sitio y
pone un dato tan simple como
la profesi�n que tiene, esta informaci�n hace
vulnerable en ciertos aspectos
a la persona, ya que brinda conocimientos a
gente sobre la que tal vez uno
ni siquiera tiene noci�n que se los est�
dejando".
a elegir es otro precio
"En argentina estamos teniendo un promedio de 20
casos de robo de identidad
por d�a. ac� en Paran�, sucede. Tenemos
conocimiento que sucede. Y dentro de
la provincia tambi�n. Nosotros actualmente
estamos asesorando a una persona
en un caso de un banco que no cumpli� con sus
propias medidas de seguridad y
sacaron un cr�dito a nombre de una persona del
norte de la provincia, y a la
que actualmente le quisieron hacer un juicio por
una deuda que no era de
ella. Esta persona ahora est� haciendo juicio
contra el Veraz y contra el
banco que emiti� ese cr�dito y no era para ella.
ah�, por supuesto, entramos
tambi�n en el mercado negro de documentaci�n".
Para Luciano Salellas,
auditor en Seguridad Inform�tica de Sr Hadden
Security Consulting y
propietario de una mirada m�s enfocada desde la
perspectiva de Estado o,
concretamente, militar, "nos vamos a tener que
acostumbrar a la dependencia
porque no hay vuelta atr�s. Internet avanza cada
vez m�s: dependemos
permanentemente de la telefon�a celular, en
cualquier momento vamos a
empezar con la satelital y de Internet. Hoy en
d�a est� pr�cticamente toda
la informaci�n digitalizada: cuesti�n a la que,
a nivel ciudadano, va a
haber que adaptarse. ahora, dentro de lo que
tenga que ver con informaci�n
confidencial, que por ah� tenga que manejar una
fuerza de seguridad del
gobierno, o el propio gobierno, hay que
plantearse la opci�n de que cierta
informaci�n quiz� es mejor que siga en papel.".
Gietz tambi�n establece una distinci�n, pero en
otro sentido: "El tema de
los ataques es cuando son dirigidos. Una cosa es
recibir los ataques, como
yo te dec�a, de ruido normal que tiene Internet:
robots, o troyanos, o virus
que pegan para todos lados a ver a quien
enganchan, y otra es una persona
que dirige un ataque a vos empresa o a vos
persona. ah� es donde
generalmente estamos en un problema. Eso es lo
m�s feo de estar de este lado
de la cuesti�n. Igualmente, el nivel de
sofisticaci�n del ataque es
directamente proporcional al objetivo que
persigue la persona", se�ala. Y
despu�s, casi al final de la nota, cuenta sobre
la existencia de la
tecnolog�a Tempest, suficiente como para
alimentar cualquier paranoia basada
en datos reales: una tecnolog�a capaz de
reconstruir, a partir de las
se�ales que irradian los monitores, la imagen
mostrada en la pantalla que
las provoc�. Una tecnolog�a muy costosa, por
supuesto, pero probada en su
funcionamiento, y que permitir�a "a alguien
sentado en una camioneta afuera
del diario ver lo mismo que est�s viendo vos en
tu monitor". Si uno rastrea
informaci�n sobre la tecnolog�a Tempest a trav�s
de Internet puede llevarse
varias sorpresas; hay distintas posturas
respecto de c�mo reaccionar ante la
posibilidad de la exposici�n total. En un foro
virtual, una persona
preocupada por las b�squedas que ha hecho a
trav�s de Internet, pregunta:
"�Qu� posibilidad existe de que vengan a golpear
a mi puerta?" "�C�mo puedo
evitarlo?". Y uno de los foristas, entre otros
consejos, recomienda:
"-Pinchar la l�nea de un edificio de otra ciudad
distinta a la tuya con un
cable MUY largo.
-Es recomendable lanzar tu propio sat�lite de
comunicaciones, al que s�lo t�
tienes acceso.
-Pinchar uno de los cables de comunicaci�n
(backbones) suboce�nicos.
-Falsificar tu propia muerte.
-Empezar una org�a de destrucci�n con un aK-47
con todo aquel que te VEa. O
ser elegido presidente de los EE.UU. (En su
defecto de la NSa)
-Tener suficiente dinero como para que nada de
lo anterior te importe."
La noche ha ca�do definitivamente sobre la
ciudad. Y Gustavo Mart�nez me
habla de alicia en el pa�s de las maravillas.
"Nos invitan a la carrera loca
de alicia. �bueno, vamos a correr, vamos a jugar
a la carrera loca�, le
dicen a alicia. ��Y c�mo es la carrera loca?�.
La carrera loca es as�: �Es
la tele digital, es la tele digital, loco, nos
va a hacer bien a todos. Es
lo mejor que te puede pasar�. Pero cuando vos
empez�s a preguntar, te
responden: �No, segu�, lo vas a entender
corriendo. Vos corr� que vas a
entender�. El problema es no interrogarse. algo
pas� en el medio: nosotros
tenemos derecho a exigir, o a preguntarnos
algunas cosas". Y antes que se lo
pregunte obligadamente, lo responde: "Yo soy un
usuario permanente de
Internet. ahora, tengo perfectamente claro los
costos que estoy asumiendo.
Tengo perfectamente claro que de la privacidad
en Internet, olv�date. al
mercado no le interesa el concepto de
privacidad: cuanto m�s conozca de tus
h�bitos mejor.".
-�Y c�mo hac�s para dormir despu�s de pensar
todo esto?
-bueno.Yo me voy a ir de ac� sin nada.
Dice, y ambos nos levantamos de la mesa.
Un (in)justo final
Podr�a ser un buen remate para esta nota, por
supuesto, si no fuera
tristemente cierto. Fue, a modo de advertencia:
no es conveniente buscar
informaci�n sobre virus y hackers por Internet,
por m�s que se quiera
terminar una nota period�stica con informaci�n
directa de la fuente. Escribo
esto a las 5 de la madrugada. He reiniciado mi
computadora unas quince
veces. En las �ltimas dos horas se bajaron ocho
programas, entre antivirus y
detectores de programas esp�as y software
malicioso, para tratar de detener
los virus o gusanos que comenzaron a asediar a
esta PC desde que apareci� el
primer p�rrafo de esta nota, y utilic� t�rminos
como divulgaci�n de virus,
hacking, tecnolog�a tempest, acceso remoto,
privacidad y datos personales en
el buscador del Google. En una nota realizada
por mail, R�mulo balcar,
ingeniero en Sistemas de Informaci�n, hab�a
relatado que una de las cosas
m�s tediosas que le hab�an tocado pasar era
haber "tenido que luchar con
virus" en su propia "PC, por entrar a p�ginas de
hackers y descargar
programas". No he llegado a descargar programas:
apenas si intent� enterarme
de algunas cosas, pero recib� la misma
respuesta. Esta nota se termina aqu�,
con la computadora funcionando en Modo a prueba
de fallos, sin conexi�n a
Internet. Cualquier desacierto en la
informaci�n, cada cual sabr� a qui�n
echarle la culpa. �Se puede acusar a
desconocidos por brujer�a?
"...Los resultados -se�alaba la investi-gaci�n-
fueron reveladores: en una
sola noche de acci�n especial-mente maliciosa,
el PC fue atacado 53 veces,
incluyendo un intento de secuestro que la habr�a
convertido en una
computadora �zombie� a disposici�n de un
hacker..."
"...Hay una tecnolog�a capaz de reconstruir, a
partir de las se�ales que
irradian los monitores, la imagen mostrada en la
pantalla que las provoc�.
Una tecnolog�a muy costosa, por supuesto, pero
probada en su
funcio-namiento, y que permitir�a "a alguien
sentado en una camioneta afuera
del diario ver lo mismo que est�s viendo vos en
tu monitor."
FUENTE: DIaRIO UNO
(http://www.unoentrerios.com.ar)
http://www.unoentrerios.com.ar/?mod=buscardet&id=26618
Un agradecimiento especial al
Se�or:LUCIaNO SaLELLaS
aUDITOR EN SEGURIDaD INFORMaTIca
SR HaDDEN SECURITY CONSULTING
Tel: (0054-0343) 155-121-554
E mail: [email protected]
www.sr-hadden.com.ar
Por enviarnos este excelente �rticulo y colaboraci�n con
este portal. |
|
P�gina de Inicio
