1

      ¿Qué tipo de hacker eres tú?

      Hace unos años, me mudé a una casa que tenía un maravilloso garaje adosado. Era perfecto para aparcar y proteger mi bote y mi pequeña autocaravana. Era de construcción sólida, sin nudos en las maderas. La instalación eléctrica era profesional y las ventanas, de alta calidad y preparadas para vientos de 150 mph (241,39 km/h). Gran parte del interior estaba revestido con una aromática madera de cedro rojo, el mismo tipo que usaría un carpintero para revestir un baúl o un ropero para que oliera bien. Aunque yo no sé ni clavar un clavo, fue fácil para mí ver que el constructor sabía bien lo que hacía, cuidaba la calidad y se preocupaba por los detalles.

      Unas semanas después de mudarme, vino un agente de policía y me contó que el garaje había sido construido de forma ilegal unos años atrás sin licencia y que tenía que derribarlo o hacer frente a una serie de multas por cada día de incumplimiento. Fuí a la policía para solicitar una dispensa, ya que el garaje estaba construido desde hacía muchos años y me lo habían vendido como parte de la compra de la vivienda. Nada que hacer. Tenía que ser derribado de inmediato. Las multas de un solo día eran más de lo que podía conseguir vendiendo los componentes para chatarra si lo derribaba con cuidado. Financieramente hablando, cuanto antes lo derribara y lo hiciera desaparecer, mejor.

      Saqué un mazo de martillo (básicamente, una hacha de hierro gruesa para trabajos de demolición) y en unas horas ya había convertido toda la estructura en un montón de madera y otros residuos de construcción. No me costó comprender que el trabajo que a un artesano cualificado le había costado probablemente semanas, o meses, en construir, yo lo había destruído con mis manos no cualificadas en mucho menos tiempo.

      Contrariamente a lo que muchos piensan, el hackeo malicioso tiene más de mazo que de artesano.

      Si eres lo suficientemente afortunado para dedicarte al hackeo informático, tendrás que decidir si lo que quieres es proteger los bienes comunes o bien conformarte con objetivos más pequeños. ¿Quieres ser un hacker malo o un defensor justo y poderoso? Este libro es la prueba de que los hackers más inteligentes y mejores trabajan para el lado bueno. Ellos deben ejercitar sus mentes, crecer intelectualmente, y no han de preocuparse por si los arrestan. Trabajan a la vanguardia de la seguridad informática, se ganan la admiración de sus compañeros, promueven el avance humano en nombre de lo bueno y son recompensados económicamente por ello. Este libro trata sobre héroes a veces desconocidos que hacen posible nuestras increíbles vidas digitales.

      NOTA Aunque los términos hacker o hackeo pueden hacer referencia a una persona o actividad con buenas o malas intenciones, el uso popular tiene casi siempre una connotación negativa. Yo he podido descubrir que los hackers pueden ser buenos y malos, pero en este libro utilizo los términos sin calificaciones que impliquen connotaciones negativas o positivas simplemente para ahorrar espacio. Toma el significado completo de las frases para juzgar la intención de los términos.

      La mayoría de los hackers no son genios

      Desgraciadamente, casi todos los que escriben sobre hackers informáticos criminales sin una experiencia real los idealizan como si fueran seres superinteligentes y míticos, como dioses. Ellos pueden adivinar cualquier contraseña en menos de un minuto (especialmente bajo la amenaza de una pistola, si os creéis todo lo que viene de Hollywood), entrar en cualquier sistema y crackear cualquier secreto encriptado. Trabajan sobre todo por la noche y beben grandes cantidades de bebidas energéticas mientras ensucian sus puestos de trabajo con restos de patatas fritas y cupcakes. Un alumno utiliza la contraseña robada de su profesor para cambiar sus notas y los medios de comunicación lo adulan como si fuera el nuevo Bill Gates o Mark Zuckerberg.

      Los hackers no tienen por qué ser brillantes. Yo soy la prueba viviente. A pesar de que he podido entrar en todos los lugares en los que me han contratado para hacerlo, nunca he entendido por completo la física cuántica o la teoría de la relatividad. Suspendí dos veces inglés en el instituto, no he sacado nunca más de un Bien en matemáticas y mi promedio de notas del primer semestre en la universidad fue un 0,62: 5 Insuficientes y 1 Sobresaliente. El único Sobresaliente fue en natación, porque había sido vigilante de playa durante 5 años. Mis malas notas no eran solo porque no me esforzara. Simplemente no era tan inteligente y no me esforzaba. Más tarde aprendí que estudiar y trabajar duro suele ser más valioso que haber nacido inteligente. Terminé acabando mi carrera universitaria y sobresaliendo en el mundo de la seguridad informática.

      Aun así, incluso cuando a los hackers malos los escritores no los llaman superinteligentes, los lectores suelen asumir que lo son porque siempre se muestran practicando algún tipo de magia negra avanzada que el resto del mundo no conocemos. En la psique colectiva mundial, es como si «hacker malicioso» y «superinteligencia» deban ir siempre juntos. Y esto no es así. Unos cuantos son inteligentes, la mayoría son normales y algunos no son demasiado brillantes, como el resto del mundo. Los hackers simplemente conocen datos y procesos que el resto de la gente ignora, como un carpintero, un fontanero o un electricista.

      Los defensores son más que hackers

      Si hacemos una comparación intelectual, como promedio, los defensores son más inteligentes que los atacantes. Un defensor debe saber todo lo que sabe un hacker malicioso y, además, cómo detener el ataque. Y esa defensa no funcionará a menos que casi no requiera participación del usuario final, trabaje de forma silenciosa entre bambalinas y lo haga siempre a la perfección (o casi). Muéstrame un hacker malicioso con una técnica particular y yo te mostraré múltiples defensores que son mejores y más inteligentes. Lo que ocurre es que el atacante normalmente recibe más portadas. Este libro contiene argumentos para un tratamiento más equilibrado.

      Los hackers son especiales

      Aunque yo no clasifico a todos los hackers como superinteligentes, buenos o malos, todos ellos comparten una serie de características. Una de estas características que tienen en común es una gran curiosidad intelectual y el deseo de probar cosas fuera de la interfaz y los límites proporcionados. No tienen miedo a hacerlo a su manera. Los hackers informáticos suelen ser hackers de la vida, que hackean todo tipo de cosas más allá de los ordenadores. Hay gente que, cuando llega al control de seguridad de un aeropuerto, ya está pensando en cómo podría colar un arma por los detectores, aunque no tenga ninguna intención de hacerlo. Gente que piensa si las entradas tan caras de un concierto se podrían falsificar fácilmente, aunque no tenga ninguna intención de entrar gratis. Gente que cuando compra un televisor, se pregunta si podrá acceder a su sistema operativo para conseguir alguna ventaja. Muéstrame un hacker y yo te mostraré a alguien que siempre está cuestionando el status quo e investigando.

      NOTA Mi hipotético esquema para colar armas por el control de seguridad del aeropuerto pasa por utilizar sillas de ruedas y esconder las armas y los explosivos dentro de las partes de metal. Las sillas de ruedas normalmente pasan por los controles de seguridad de los aeropuertos sin ser sometidas a fuertes registros.

      Los hackers son persistentes

      Después de la curiosidad, la característica más útil de un hacker es la persistencia. Todos los hackers, sean buenos o malos, conocen la agonía de pasar horas y horas intentando una y otra vez que algo funcione. Los hackers maliciosos buscan debilidades en las defensas. Un error del defensor hace toda la defensa más débil. Un defensor debe ser perfecto. Todos los ordenadores y los programas informáticos deben ser parcheados, toda configuración, adecuadamente segura, y todo usuario final debe estar perfectamente capacitado. O, al menos, este es el objetivo. El defensor sabe que las defensas aplicadas no siempre funcionan o que no son aplicadas como deberían, por lo que crea niveles de «defensa en diferentes profundidades». Tanto los hackers maliciosos