Hackers y Seguridad informática; Los Riesgos del Software Privativo y Más...


Para empezar aclarar que personalmente Yo no soy un Hacker ni me considero tal, de hecho nisiquiera programo código "de escritorio". Mi rol como tal en todo éste mundo sería algo así como Programador Web y lo que me interesa más pues es el diseño, el "frontend" antes que el "backend" sin embargo, ésto no significa que no entienda algunos conceptos básicos/intermedios de programación "para escritorio" tanto de Linux como de Windows, y por ende, por ejemplo, sé moverme en Bash como varios de ustedes quizá... Últimamente con todo ésto de la #OpFacebook y más y más gente interesada en el tan mencionado Hacking, (tanto "ético" como "no ético"), me dispuse a hablar de ésto y es que muchos usuarios y personas piensan en el Hacking como una especie de "habilidad mágica" que tiene que ver 100% con las computadoras y las habilidades de algunas personas especiales llamadas "Hackers" de hacer cosas maliciosas con ellas (así mismo como con las habilidades de aquellos "Hackers Buenos" que protegen la seguridad de los sistemas empresariales por ejemplo).

Pues como dije, No soy un Hacker ni nada, He hecho algunas prácticas estilo "security lab" y así, trabajado en la creación y detección/frenado de virus simples, he montado servidores, he burlado seguridad de redes Wi-Fi, (Los que sean hackers de verdad me dirán que es un juego de niños todo ésto) entre otras cosas Pero éso es todo, PRUEBAS TONTAS con cosas MÍAS bajo un Sandbox controlado y hablando del universo hacker es sólo un granito de arena en todo lo que es esta playa enorme...

Personalmente me interesa el rol del hacker bueno, aquél que se dedica a descubrir y entender vulnerabilidades y mecanismos de ataque para después parchearlos o proteger a aquellos que no tienen el conocimiento para protegerse, (Hacker "WhiteHat") Pero personalmente no estoy inmiscuido en ése mundo porque no es lo mío. Como dije arriba, las personas Creen que el Hacking tiene prácticamente todo que ver con chicos listos y sus computadoras, pero por lo que he aprendido, se sorprenderían al saber que la mayoría del hackeo tiene que ver con UNO MISMO como ya les había explicado en aquél post de las cuentas online...

Es como una estafa, cualquier persona que esté en contacto con éste arte sabe que el pichón o víctima hace prácticamente todo el trabajo, es decir, tu pones la carnada, lo que lo atrae, pero al final es la persona quien se amarra la soga al cuello y se entrega a ti sin luchar. El Hacking se basa en una filosofía parecida: Si bien sí tiene que haber un hacker y código, más bien éso tiene que ver en un 10% si quieren verlo así con el éxito de la operación y la mayor parte (Un Noventa en éste ejemplo) se cumple por parte de la misma víctima.

Desde una contraseña o una pregunta de seguridad muy sosas hasta el deseo de obtener algo prohibido, la víctima termina no sólo cayendo en la trampa, sino sirviéndose en bandeja de plata para el cazador. Un ejemplo muy práctico es el del Scam de Facebook que hizo un hacker Mexicano llamado XMUDA:

XMUDA es otro Mexicano Fedoriano como yo y muchos otros, algunos de mis lectores lo siguen en redes sociales y algunos de sus posts tratan de temas interesantes que ayudan a las personas con Fedora, aunque el mayor atractivo de su blog son las entradas orientadas al muy famoso "Hacking". Éste muchacho es todo un As en ésos aspectos por lo que he estado viendo y el primer contacto que tuve con sus prácticas de éste tipo fue por medio del video que hizo acerca de "Cómo hackear Facebook" mismo que encontré entre los más recientes (o algo así) cuando visité su blog hace poco antes de que se lo eliminaran de Wordpress. Vi el dichoso video por curiosidad y en él, el tipo explicaba cómo por medio de un script en bash podías spamear a la víctima con supuestos mensajes de facebook para después redireccionarlo a un enlace de tu elección, (el chiste es que éste fuera una página de trampa clon de facebook o algo así donde se capturaran sus datos, los cuales te serían enviados si habías hecho tu página de trampa bien) en fin, algo así. En el video se explicaba también que dicho código estaba encriptado y que iba a caducar en determinada fecha, para ésto, parte de la trampa requería que introdujeras una dirección de correo desde la cual mandaríamos los mensajes falsos; Xmuda dejaba en claro que iba a vender el código después.

Tras ver el video, me surgieron muchas dudas:

A) ¿Porqué tanto rollo? Hay maneras más fáciles de obtener una contraseña de Facebook y es más, hay maneras más fáciles de aplicar el mismo "ataque", era demasiada vuelta lo que él proponía.

B)  ¿Porqué necesita LOS DATOS DE ACCESO del Mail? Bueno, entendiendo que de algún lado debe de salir el SPAM, además, obviamente no pondrías tu correo electrónico real, sino el que usas para pura basura, el que no te importa para nada, ¿cierto? (Muchos "wannabes" no piensan así desgraciadamente)

C) Código encriptado... Aquí me salió lo Stallman: Si el código está encriptado y no es visible (de hecho ni lo bajé porque era demasiado sospechoso todo) como el tipo es un hacker, qué le impide a él hacerle algo a mi computadora mientras supuestamente hace lo que me prometió?

D) El tipo decía que iba a "vender el código" ¿Porqué alguien lo compraría si volvemos a lo primero: Es mucha vuelta a comparación de otros métodos para lograr lo mismo?

E) ¿Porqué sería efectivo (y vendible) si casi nadie accede a las notificaciones del facebook por medio del mail? No es un código provechoso para quien lo quiera usar para el fin supuesto...

Finalmente pensé "éste tipo no lo hubiera creado, subido y difundido si algún beneficio no se saca" y Oh Sorpresa! Hoy que me meto a su página de donaciones con la intención de ver si todavía no tenía web Me doy cuenta de que 1) Ya tiene nuevo dominio y blog (Cool!! :P) y 2) Cuando me fui al artículo sobre el hack para facebook había una publicación  de él diciendo que había usado ése código para robar las cuentas de los supuestos "hackers" que lo usaron... (Era más que Obvio jeje). 

En Resumen, XMUDA no es un "lamer" como muchos lo llamaron, y cualquiera con un poco de intuición y sentido deductivo como yo se podía haber percatado del doble filo de ésto que él hizo, así como también los VERDADEROS HACKERS no usan cuentas reales de correo para éstas pruebas Ni mucho menos SUS EQUIPOS REALES. Con ésto les quiero dejar en claro 3 cosas:

1) No hagan el mal con sus habilidades, no sacarán nada bueno.

2) Si quieren ser hackers, empiecen desde cero y no se fíen del código de nadie, mucho menos si no lo saben leer o bien, no está visible.

3) Así como el código encriptado de xmuda escondía un scam para los incautos "wannabes" ése mismo peligro existe con el software privativo, uno no puede leer el código que hay debajo, y por lo tanto sólo podemos "creer que hace" lo que nos dicen que hace. No es por ser paranoico ni nada, (De hecho yo uso software privativo, No está mal) Pero pues es importante que tengan en mente lo que les estoy comentando, al menos para que intenten leer los términos del servicio o los términos de licencia que cada pieza de software que instalan trae consigo.

Se trata de simple sentido común, y como dijo Xmuda por ahí en el post del FacebookScam en su blog: Aprendices de Hacker: Escriban Su propio Código.

Saludos.